Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Protéjase usted mismo del "Pretexting"
 
VSantivirus No 2249 Año 10, jueves 21 de setiembre de 2006

Protéjase usted mismo del "Pretexting"
http://www.vsantivirus.com/na-pretexting.htm

Por Nela Adans
nela@videosoft.net.uy


Una noticia publicada en Internet, habla de que se utilizó el "pretexting" para investigar a periodistas y a miembros del consejo de la compañía Hewlett-Packard, sobre un caso de reciente notoriedad.

Desde hace largo tiempo que en muchos países, investigadores privados y otros, han usado esta táctica para obtener la información y expedientes personales de las personas investigadas.

"Pretexting", consiste en llamar a una compañía de teléfonos simulando ser un cliente para obtener información del mismo, sin contar con el permiso del cliente en sí.

Se trata de una forma de "ingeniería social", bien conocida en el ámbito de los piratas informáticos, e implica el uso de estratagemas para obtener datos y documentos.

La gama de trucos va desde lo creativo a lo simple. En el caso de Hewlett-Packard, los investigadores contratados por la compañía, simplemente se hicieron pasar por las víctimas -en este caso, miembros del propio consejo de Hewlett-Packard- y por periodistas, para obtener de las compañías de teléfonos, sus "propios" expedientes.

En el lado más creativo, el año pasado Verizon Wireless acusó a corredores de datos en línea de hacer centenares de miles de llamadas a las líneas de servicio al cliente de la compañía, presentándose como empleados del "grupo de atención diferenciada" de Verizon, un departamento no existente. Obtuvieron información, demandando hacer las peticiones en nombre de clientes con discapacidad auditiva.

Contra estas iniciativas, parece que es poco lo que el consumidor ordinario, el director de una industria de alta tecnología, o el periodista especializado puede hacer. Pero hay algunas opciones.

* Comprar un teléfono tarjetero. Las empresas no guardan un expediente con detalles de las llamadas. Esta solución no es conveniente o deseable para todo el mundo, pero si a usted le preocupa que sus expedientes telefónicos sean obtenidos fraudulentamente por terceros, o requeridos por autoridades, las ofertas prepagas de un servicio telefónico es la mejor opción en cuanto a privacidad.

Los teléfonos prepagos vienen generalmente con una determinada cantidad de minutos disponibles para utilizar al comienzo. Este saldo puede ser aumentado comprando las tarjetas prepagas para el teléfono por el valor que usted necesite.

Naturalmente, su número de teléfono prepago aparecerá en los expedientes telefónicos de las personas que le llamen, y en los de aquellos a quien usted llame. Pero los servicios prepagos no requieren que proporcione su nombre.

Es más seguro pagar su teléfono y tarjetas prepago con efectivo, y agregar solamente los minutos a través de la interfase incorporada del propio teléfono -no utilice el sitio Web del proveedor del servicio, por que podrían rastrear su dirección IP-.

* No proporcionar datos de usted mismo. Un mínimo de información puede ayudar a los estafadores o scammers para conseguir mucho más; en el caso de Hewlett-Packard, los investigadores utilizaron los últimos cuatro dígitos de los números de las tarjetas de Seguridad Social de las victimas, para así identificarse a las compañías telefónicas que engañaron.

No proporcione información personal sobre el teléfono, en un correo electrónico o personalmente, a menos que usted hubiera iniciado el contacto. Incluso en ese caso, sea cauteloso sobre proveer más información de la necesaria.

* Elegir sus propias contraseñas. Las compañías generalmente usan los números de documentos de identidad y fechas de nacimiento como autentificación, a pesar de que esos datos no son muy privados. No deje que lo hagan e insista a las compañías proveedoras del teléfono que utilicen una contraseña indicada por usted o una única identificación en lugar de números relacionados con sus datos personales. Y utilice distintas contraseñas para diferentes cuentas.

* Romper los documentos. Destruya los documentos que contengan información personal antes de desecharlos, y no deje tales documentos en donde otras personas puedan verlos.

* Mantener los datos fundamentales fuera de línea. No publique las fechas de nacimiento u otra información personal identificable sobre usted o su familia en su página personal, blog, etc. Es obvio, pero digno de repetirlo.

* No pagar las cuentas en línea. Sí, sabemos que es conveniente, y sabemos que los bancos y las empresas de servicio público presionan a los clientes para establecer cuentas de facturación en línea para eliminar el coste de los expedientes de papel. Pero resista el impulso. Las cuentas en línea lo exponen a riesgos, no importa lo qué los negocios digan.

Los sitios Web raramente son tan seguros como las compañías insisten que son. Incluso cuando ellos sean seguros, usted puede ser engañado, al usar un sitio falso que se ve exactamente como el verdadero, o con software malévolo que registra cada golpe de teclado en su computadora y pasa la información a un pirata informático.

Y siguiendo en el tema, no archive sus impuestos en línea tampoco. Sí, también es conveniente. Pero no es seguro. Es posible que los piratas informáticos puedan obtener la misma información hackeando un servidor de datos vulnerable o robando una computadora portátil de un empleado, pero eso está fuera de su control. Lo que sí está en sus manos es el control de sus archivos.

* Averiguar si le han atacado ya. En una investigación interna de expedientes "pretexting", AT&T identificó cerca de 2,500 de sus clientes como víctimas posibles. Y eso en apenas una sola compañía telefónica. Para descubrir si sus registros han sido víctimas de pretexting, póngase en contacto con su compañía de teléfonos para determinar si alguna persona ha solicitado sus expedientes.

* Presionar para el cambio. Ejercer presión sobre sus legisladores para forzar a las compañías telefónicas a mejorar la seguridad de los registros de los clientes.

El Electronic Privacy Information Center ofrece un número de sugerencias para aumentar la seguridad, incluye forzar a la empresa a seguir el rastro cada vez que un registro de un cliente sea accedido para saber quién lo hizo.

Los hechos a través del tiempo también sugieren que las compañías telefónicas estén requeridas a notificar a sus clientes cuando alguien haya abierto sus expedientes. Las compañías, en pleitos recientes contra pretexters, han admitido que centenares de miles de veces han entregado información de clientes a personas no autorizadas. A pesar de todo, las leyes actuales no cubren estos expedientes, puesto que no se consideran información personal identificable.

Además se debe exigir a las compañías notificar a los clientes de cambios en su cuenta, por ejemplo cuando alguien establece una nueva facturación en línea y da su número de teléfono.

Muchos bancos envían ya la verificación escrita a los clientes por correo, cada vez que el cliente o algún otra persona solicita un cambio de contraseña de la cuenta o información del contacto.

AT&T había hecho esto. Tom Perkins, miembro del consejo de Hewlett-Packard y otros involucrados por la investigación de Hewlett-Packard, habrían sido alertados en enero, que alguien intentaba tener acceso a sus expedientes en línea.


Fuente:

Protect Yourself From Pretexting
http://www.wired.com/news/technology/1,71769-0.html






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS