Pruebas de penetración de ingeniería social

Las pruebas de penetración de ingeniería social son la práctica de intentar estafas típicas de ingeniería social en los empleados de una empresa para determinar el nivel de vulnerabilidad de la organización a ese tipo de explotación.

Las pruebas de penetración de ingeniería social están diseñadas para evaluar el cumplimiento de los empleados con las políticas y prácticas de seguridad definidas por la gerencia. Las pruebas deben proporcionar a la empresa información sobre la facilidad con la que un intruso puede convencer a los empleados de que rompan las reglas de seguridad o divulguen o proporcionen acceso a información confidencial. La empresa también debe comprender mejor qué tan exitosa es su capacitación en seguridad y cómo se compara la organización, en términos de seguridad, con sus pares. 

Las pruebas de ingeniería social se pueden realizar como parte de pruebas de penetración más completas (pruebas de penetración). Al igual que los métodos de piratería ética, las pruebas en sí mismas generalmente replican los tipos de esfuerzos que utilizan los intrusos del mundo real.

Las pruebas físicas, por ejemplo, pueden involucrar a un evaluador que intenta ingresar a un edificio seguro en un momento en el que ingresan muchos empleados, tal vez hablando por teléfono y cargando varios artículos para ver si alguien simplemente mantiene la puerta abierta en lugar de seguir el procedimiento aprobado de dejar que la puerta se cierre después de ellos, por lo que cualquier persona que los siga debe usar una tarjeta de empleado o una insignia para ingresar. 

Las vulnerabilidades de phishing, un método común de ingeniería social, se utilizan a menudo para probar la vulnerabilidad de los empleados. Los evaluadores pueden enviar un correo electrónico supuestamente de alguien en la gerencia pidiéndole al empleado que abra un archivo adjunto inesperado, proporcione información confidencial o visite un sitio web no aprobado.

Un evaluador podría llamar a los empleados haciéndose pasar por alguien en TI, proporcionándoles nuevas contraseñas y diciéndoles que cambien sus contraseñas actuales por las nuevas. 

Vea la presentación de Valerie Thomas sobre pruebas de pluma de ingeniería social: