El crecimiento de la tecnología a nivel mundial ha permitido que las empresas tengan la necesidad de implementar más recursos tecnológicos, los cuales buscan la optimización de los procesos al interior de las mismas; a su vez dicho crecimiento conllevó la generación de delitos informáticos desarrollados por delincuentes informáticos que aprovechan las vulnerabilidades que tienen algunas organizaciones.
De esta forma la Ingeniería Social utiliza el método de engañar a una persona con el fin de sustraer información o acceder a un sistema de información, por lo tanto en la actualidad no importa el nivel de seguridad de una empresa o que tan seguro es un sistema de información, ya que con el hecho de una persona esté a cargo o controle una área específica, estará vulnerable a un ataque mediante la ingeniería social, por esta razón, es necesario establecer una serie de acciones, las cuales permitan evitar estos posibles ataques al interior de las mismas.
Todos los ataques de ingeniería social dependen de que la víctima confíe en el atacante y le otorgue información o datos o acceso. Se ha demostrado que las personas se desempeñan mal en la detección de mentiras y engaños y generalmente sobreestiman sus capacidades de detección. Los usuarios humanos, que son el eslabón más débil en la cadena de seguridad de la información, siguen siendo susceptibles de ser manipulados por los ingenieros sociales.
Es por ello, que con el desarrollo de este documento se propone un Plan de Acción que posterior a su implementación dará como resultado recomendaciones, las cuales permitan contrarrestar los posibles ataques informáticos basados en ingeniería social a nivel Gobierno, y de esta manera las entidades puedan implementar mayor control en la seguridad de la información al interior de las mismas, resaltando que dichas recomendaciones van de la mano con políticas de seguridad de la información las cuales deberán ser diseñas e implementadas por cada una de las organizaciones del estado.The growth of technology worldwide has allowed companies to have the need to implement more technological resources, which seek to optimize processes within them; In turn, this growth led to the generation of computer crimes developed by computer criminals who take advantage of the vulnerabilities of some organizations.
In this way, Social Engineering uses the method of deceiving a person in order to subtract information or access an information system, therefore currently it does not matter the level of security of a company or how safe a system is of information, since with the fact of a person being in charge or controlling a specific area, he will be vulnerable to an attack through social engineering, for this reason, it is necessary to establish a series of actions, which allow these possible attacks to be avoided inside of them.
All social engineering attacks depend on the victim trusting the attacker and granting him information or data or access. It has been shown that people perform poorly in detecting lies and deceptions and generally overestimate their detection abilities. Human users, who are the weakest link in the information security chain, remain susceptible to being manipulated by social engineers.
That is why, with the development of this document, an Action Plan is proposed that, after its implementation, will result in recommendations, which will allow counteracting the possible attacks on social engineering based at the Government level, and in this way the entities can Implement greater control in information security within them, highlighting that these recommendations go hand in hand with information security policies which should be designed and implemented by each of the state organizations
