lunes, 22 de mayo de 2017

CharruaCon: Una conferencia de seguridad en pleno WannaCrypt

CharruaCon: Una conferencia de seguridad en pleno WannaCrypt


Sobre la conferencia

El 11 y 12 de mayo tuvo lugar en la ciudad de Montevideo, Uruguay, la conferencia de seguridad CharruaCon.

Desde SMARTFENSE tuvimos el agrado de ser Sponsors de este evento gratuito que brindó la oportunidad a sus más de 600 inscriptos de distintas nacionalidades de disfrutar de dos jornadas empapadas de seguridad.

Con una gran cantidad de charlas sobre ciberseguridad y dos paneles de debate llevados adelante de la mano de reconocidos expertos en la materia, la Torre de las Comunicaciones de ANTEL se convirtió durante dos días en un foco de aprendizaje y actualización para todas las personas interesadas en la seguridad de la información. Éstas, además, encontraron aquí un lugar donde extender sus relaciones profesionales, crear nuevos contactos y reencontrarse con viejos colegas.

34532082681_861459a010_k.jpg

El lugar perfecto para la tormenta

El amanecer del segundo día de la conferencia nos encontró con las primeras noticias de WannaCrypt. Pocos lugares podrían haber sido tan indicados para estar en la concepción de estas noticias que la CharruaCon.

Desde los primeros minutos, la conferencia se llenó de una gran cantidad de discusiones, charlas y especulaciones acerca de este nuevo Ransomware, del cual, hora tras hora, se iban conociendo nuevos detalles. Mientras algunos aprendían, otros se agarraban la cabeza expresando su perplejidad por cada nuevo dato que se iba obteniendo. Hubo quienes además comenzaron a analizar muestras del malware allí mismo, y las repercusiones de cada descubrimiento no tardaban en extenderse por toda la conferencia.

34500579882_33ef4e5ff1_k.jpg
Éstos son los sabores extra que tiene la asistencia a este tipo de eventos. La experiencia de no sólo informarse, aprender y actualizarse a partir de grandes referentes de la materia, sino también tener la oportunidad de estar ahí, en donde tantas personas amantes y expertas en seguridad están reunidas, en el momento que ocurre un incidente mundial de ciberseguridad que quedará en la historia.

Capturando la bandera

Una conferencia con foco en el hacking no está completa sin un reñido CTF. CharruaCon no fue la excepción y 64 participantes pelearon por obtener su lugar en el podio enfrentándose a una gran variedad de retos y teniendo el desafío de no sólo resolverlos, sino también documentar sus resoluciones.

Screenshot from 2017-05-21 21:59:30.png
Luego de una destacada actuación, el primer puesto fue para Martín Tartarelli de Infobyte, quien se llevó la Katana de la CharruaCon, una taza oficial de SecAdmin y un libro de 0xWord.

33852969573_b6fd677ac5_k.jpg

Agradecimientos

Agradecemos a Adrián Ramírez y Mateo Martínez por la organización de este evento, como así también a todas las empresas que han brindado su apoyo al mismo en calidad de Sponsors. Además, damos las gracias a todos los asistentes a la conferencia, y esperamos reencontrarnos de nuevo en una próxima edición, quién sabe con qué nuevas sorpresas que acompañen la ya de por sí excelente organización, calidad y nivel de este evento.

C_jU_agXUAArXrt.jpg:large.jpeg
Leer Más

martes, 9 de mayo de 2017

El Arte de Engañar al Usuario - Parte 2

El Arte de Engañar al Usuario - Parte 2



EN ESTA SEGUNDA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS ALGUNAS DE LAS HERRAMIENTAS Y TÉCNICAS COMÚNMENTE UTILIZADAS POR LOS INGENIEROS SOCIALES PARA CONSEGUIR SUS OBJETIVOS.

Técnicas y Herramientas del Ingeniero Social

Imaginemos poder conocer en profundidad a una persona sin siquiera hablar con ella, detectar si miente, convencerla de casi cualquier cosa o hasta incluso descubrir relaciones secretas. Todo esto es posible utilizando técnicas y herramientas específicas, las cuales son aprovechadas dentro de la Ingeniería Social para poder realizar distintos ataques y asegurar así el éxito de los mismos.

Pasemos ahora a conocer algunas de ellas como así también a entender cómo o dentro de qué contexto un Ingeniero Social podría utilizarlas:

Expresiones faciales

Las expresiones faciales son básicamente emociones que pueden verse en el rostro de las personas debido al movimiento voluntario o involuntario de los músculos faciales.

Si bien las mismas son estudiadas desde hace mucho tiempo, éstas toman mayor relevancia a partir de diferentes estudios que publicó el científico Paul Ekman. Uno de ellos fue el de Microexpresiones que a comparación del resto estas duran una fracción de segundo y se producen cuando una persona esconde un sentimiento el cual puede ser de: alegría, tristeza, ira, asco, desprecio, sorpresa y miedo.

Como podemos ver a través de las expresiones faciales un Ingeniero Social puede conocer lo que siente una persona en algún momento dado por más que ésta quiera esconderlo.

Al poder “leer” correctamente las expresiones faciales un Ingeniero Social obtendrá innumerables beneficios. A continuación vamos a nombrar algunos de ellos:

  • Mejorar la Inteligencia emocional: al poder entender a otros con solo observar sus expresiones faciales (sean estas reprimidas o no) ayudará a manejar mejor la inteligencia emocional del Ingeniero Social.
  • Desarrollar la capacidad de empatía: estudiando las expresiones faciales de una persona en diferentes situaciones se puede llegar a saber qué cosas gustan o disgustan a la misma y de esta manera se podrá utilizar esta información para crear empatía, una acción muy importante dentro de la Ingeniería Social.
  • Detectar emociones ocultas: como comentamos al principio, observando las Microexpresiones pueden detectarse emociones ocultas y las mismas podrán servirle al Ingeniero Social para manipular a su víctima.
  • Entender a los demás: es mucho más fácil entablar “relaciones” si se puede entender a las personas. De esta manera, y con ayuda de la empatía, las víctimas se sentirán a gusto y comprendidas (algo no menor), por lo cual no se les pasará por la cabeza que el atacante está tratando de manipularlos para obtener algo de ellos.
  • Reconocer y manejar mejor sus propias emociones: es muy importante poder manejar las emociones para conservar el “poder” en todo momento y por sobre todo no delatar el ataque que estará realizando.
  • Desarrollar Habilidades Sociales: tal como lo dice la misma palabra Ingeniería “Social”, es muy importante desarrollar habilidades sociales y así poder moverse cómodamente dentro de diferentes situaciones.

Lenguaje corporal

Se dice que la mayor parte de nuestra comunicación la expresamos con el cuerpo y solo un porcentaje más pequeño de manera verbal, imagínense entonces la cantidad de cosas que podríamos saber de una persona casi sin hablar con ella.

Para poder comprender un poco más, vamos a ver algunos ejemplos de cómo nuestro cuerpo “habla”: 

  • Ansiedad: un estudio realizado por la Biblioteca Nacional de Medicina de Estados Unidos indica que los seres humanos pestañeamos normalmente unas 17 veces por minuto. Ahora si esta frecuencia aumenta a más de 30 pestañeos por minuto podremos darnos cuenta que estamos frente a una persona que posee una seria ansiedad.
  • Inseguridad: existen varias posturas que se traducen en inseguridad, una de las más conocidas es hacer el “4” con ambos brazos, esto ocurre típicamente cuando se habla por teléfono (generalmente la mano izquierda queda apoyada sobre el bicep derecho y la mano derecha toca el rostro o sostiene el teléfono).
  • Autoevaluación negativa: cuando una persona se está autoevaluando negativamente, ya sea por algún error cometido o inseguridad sobre algún suceso, tiende a colocar el dedo índice y pulgar de la mano sobre las comisuras de sus labios, asumiendo así la responsabilidad por lo sucedido.
  • Distancia entre personas al saludarse: si se desea conocer cuán “cercanas” son dos personas, solo hace falta mirar cuando éstas se saludan, ya que en relaciones distantes sus genitales permanecen distanciados. En cambio, cuanto más cerca están en el momento del saludo, mayor es la confianza que éstos individuos poseen.
  • Dominio y poder: Existe un tipo de ataque llamado “Pretexting/Impersonate” que consiste básicamente en utilizar un pretexto y/o hacerse pasar por otra persona, ya sea en forma presencial o remota. Si bien lo veremos con más detalle en un próximo post, existe una técnica para demostrar dominio y poder que podría ser usada junto con este ataque para hacerse pasar, por ejemplo, por un superior.
    Esta técnica se aplica al saludar a una persona. Lo que se realiza, en conjunto al saludo, es llevar la mano izquierda al hombro (parte superior) de la víctima separando el dedo pulgar de los demás. Esto proyecta propiedad (¡es mio!) y la víctima se sentirá en inferiores condiciones predominando así el dominio y poder sobre el atacante.

Negociación

Muchas veces la negociación es confundida con la venta y sólo pensada dentro de un ámbito comercial. En realidad la negociación está en distintos momentos de nuestras vidas como por ejemplo cuando tenemos que “negociar” un viaje o una actividad con nuestros padres, pareja, hijos, amigos, etc. También es utilizada por Abogados para llegar a un mejor acuerdo o quizás por Médicos para lograr que sus pacientes sigan un determinado tratamiento.

Como ya podemos imaginarnos esta herramienta es muy poderosa dentro de la Ingeniería Social, ya que el atacante podrá convencer a su víctima para que ésta realice alguna acción u otorgue alguna información de interés.

Veamos algunos conceptos y cómo estos se relacionan con todo lo expuesto hasta aquí:

  • Poder: tal como comentamos anteriormente, uno de los puntos importantes dentro de una negociación es el poder y ello se basa mucho en la información previa que se tenga de la contraparte. Para obtener y mantener el poder dentro de una negociación, es importante la confianza en uno mismo y mantener la calma pase lo que pase (inteligencia emocional).
  • Confianza: uno de los pilares dentro de la negociación es la confianza entre las partes y algo muy importante para ganar esta confianza es la empatía. Es por ello que muchos libros hacen referencia a “la reunión de la reunión” que no es ni más ni menos que la charla previa que se da en una reunión donde se habla de deportes, clima, familia, temas de interés general, etc., teniendo ésta muchas veces mayor duración que la reunión en sí.
  • Conocer la autoridad: es muy importante dentro de una negociación conocer los niveles de autoridad de los participantes. Para hacerlo sin preguntar, se pueden utilizar las expresiones faciales y el lenguaje corporal. No siempre tratar con la autoridad de alto nivel es lo mejor, hacerlo con el resto del equipo en determinadas ocasiones suele dar mejores resultados.
  • Impacto emocional: existen libros enteros que hablan sobre las emociones dentro de una negociación. Tal como comentamos anteriormente (poder) es muy importante saber manejar las emociones, tanto las que no se pueden contener como así también las que no se pueden demostrar.

Magia e ilusionismo

El Arte de Hackear el Cerebro”. Esta es una definición que leí una vez en un libro y me gusto mucho, ya que la Magia y el Ilusionismo se aprovechan de distintas “vulnerabilidades” que posee nuestro cerebro para poder así otorgarnos ese efecto increíble que es el asombro. Por su parte dentro de la Ingeniería Social se utiliza mucho uno de los pilares que posee la Magia y el Ilusionismo y este no es ni más ni menos que la distracción.
Veamos ahora algunas de las “vulnerabilidades” que son explotadas por este apasionante arte:

  • Multitasking = NO: nuestro cerebro no está preparado para ocuparse 100% de varias cosas a la vez. Quizás a veces nos parezca que podemos hacer 2 o más cosas a la vez, pero estemos seguros que siempre algo se nos escapa y es justo allí donde toma lugar el engaño.
  • Alterando la percepcion: existe el “efecto de la desinformación” y este es es utilizado, por ejemplo, cuando se nos da a elegir una carta de un mazo entre varios, pero de alguna manera nos fue inducido para que elijamos de uno especifico (por ejemplo elegi una carta de la derecha) y luego el mago “reconfirma” a nuestro cerebro que tuvo la oportunidad de elegir una carta de cualquier mazo diciendo: “Elegiste cualquier carta, no?”.
  • Resistencia a ser condicionada: muchas veces se utiliza la técnica de forzaje y esto es básicamente forzar a que el espectador elija lo que el mago quiere. En este caso se está aprovechando de la vulnerabilidad que tiene nuestro cerebro a resistirse ser condicionada y no poder elegir libremente.
  • Necesidad de llenar los espacios en blanco: nuestro cerebro posee la imperiosa necesidad de rellenar los espacios en blanco y es justo allí donde funciona el famoso truco de la mujer partida en dos. Al cortar y separar la caja donde se encuentra “la mujer” nuestro cerebro se niega a creer que son dos mujeres y es por ello que aunque no queramos de primera impresión (muchas veces de segunda, tercera,... :)) vamos a creer que se partió en dos realmente.
  • Cambios sutiles: se dice que nuestro cerebro solo percibe el 5% de lo que realmente está sucediendo en su entorno, mientras que el otro 95% lo descarta para no saturarse. ¡Adivinaron si!, ese cómodo 95% es aprovechado para realizar lo necesario para que el truco cause el efecto increible que el mago está buscando.

Sobre esta serie

Este es el segundo de una serie de posts sobre la Ingeniería Social. En el post anterior hemos visto la definición de Ingeniería Social y entramos en detalle en la metodología que sigue el Ingeniero Social para alcanzar sus objetivos. En las próximas publicaciones hablaremos acerca de los diferentes tipos de ataques que llevan a cabo los Ingenieros Sociales, tanto personalmente como en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.

¡Nos vemos en el próximo post!

Enlaces de Interés

Leer Más

martes, 2 de mayo de 2017

El Arte de Engañar al Usuario - Parte 1

El Arte de Engañar al Usuario - Parte 1


LA INGENIERÍA SOCIAL ES MUY UTILIZADA HOY EN DÍA POR LOS CIBERDELINCUENTES, YA QUE ES REALMENTE EFECTIVA EXPLOTANDO VULNERABILIDADES Y NO ESTAMOS HABLANDO DE SERVICIOS Y SISTEMAS OPERATIVOS, SINO DE ALGO MUCHO MÁS IMPORTANTE: “VULNERABILIDADES HUMANAS”.

Definición

El origen del término Ingeniería Social se remonta a fines del siglo 19, y dista mucho de lo que hoy conocemos como tal, desde entonces podemos encontrar varias definiciones del mismo. En nuestras charlas y seminarios nos gusta definirlo como: “El Arte de Engañar al Usuario” o “Human Hacking”, si bien lo acotamos únicamente al mundo IT, a lo largo de esta serie de posts vamos a poder apreciar que es utilizada en muchos otros entornos, tanto para el bien como para el mal.

Ya entrando en una definición un poco más formal, esta sería una de las más adecuadas:

“La ingeniería Social puede definirse como un conjunto de técnicas utilizadas para lograr que una persona, o un grupo de personas, tome una acción. Esta acción puede estar, o no, en contra de sus mejores intereses”.

Ciclo de Ataque

Todo buen Ingeniero Social seguirá una metodología, ya que la misma le dará un mayor porcentaje de éxito y para ello podrá apoyarse en las distintas fases dentro del siguiente ciclo de ataque:
  • Recolección de la información
  • Desarrollo de la relación
  • Explotación de la relación
  • Ejecución para lograr el objetivo
A continuación, detallamos cada una de dichas fases:

Recolección de la Información

Tal como dijo alguna vez Chris Hadnagy (escritor, instructor y Chief Human Hacker en Social-Engineer.com): “Un Ingeniero Social es tan bueno como la información que tiene o que puede conseguir”.

La búsqueda de información es tan importante que se estima que el 60% del tiempo que se emplea en un ataque de Ingeniería Social se le dedica a esta tarea.

Desarrollo de la relación

Este es un punto crítico ya que la calidad de la relación construida por el atacante determinará el nivel de la cooperación de la víctima y por consecuencia aumentará el porcentaje de éxito para lograr el objetivo.

Esta etapa puede ser tan breve como el acto de ir corriendo hacia una puerta con una gran sonrisa y generar un contacto visual con la víctima, por lo que la misma mantendrá la puerta abierta para que el atacante pueda ingresar a la empresa, conectar a nivel personal por teléfono, mostrar fotos de la familia y compartir historias con la recepcionista, etc. También puede ser tan extensa como construir una relación a través de alguna red social, generalmente valiéndose para ello de un perfil falso (hombre o mujer, dependiendo de la víctima elegida)

Explotación de la relación

En esta fase, el atacante aprovecha las relaciones construidas en la fase anterior tratando de no levantar sospechas. La explotación puede tener lugar a través de la divulgación de información aparentemente sin importancia o el acceso concedido y/o transferido al atacante.

Los ejemplos de la explotación exitosa pueden incluir:
  • La acción de la víctima al mantener abierta la puerta para permitir el ingreso del atacante a las instalaciones de la empresa.
  • La revelación de credenciales (nombre de usuario y contraseña) a través del teléfono.
  • La introducción de un Pendrive con Malware en una computadora de la empresa.
  • La apertura de un archivo adjunto infectado en el correo electrónico.
  • La exposición de secretos comerciales en una discusión con supuesto "pares".

Ejecución para lograr el objetivo

Esta fase es cuando se logra el objetivo final del ataque, o por distintos motivos el ataque termina sin levantar sospechas de lo ocurrido. En general el atacante tratará de poner fin a un ataque sin cuestionar lo sucedido, ya que de otra forma levantaría sospechas en la víctima. En cambio, tratará de dejar una sensación como si hubiera hecho algo bueno por la otra persona, permitiéndole así futuras interacciones con la misma.

Aquí es también donde trata de no dejar ningún cabo suelto, borrando las huellas digitales, información en general, etc.

Una estrategia de salida bien planificada y silenciosa es el objetivo del atacante y acto final en el ataque.

Sobre esta serie

Este es el primero de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones hablaremos acerca de las diferentes técnicas y herramientas que utilizan los Ingenieros Sociales como así también de los diferentes tipos de ataques que llevan a cabo, tanto personalmente como en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.

¡Nos vemos en el próximo post!
Leer Más

miércoles, 19 de abril de 2017

OWASP Latam Tour - CIO vs CISO: OWASP al rescate

OWASP Latam Tour - CIO vs CISO: OWASP al rescate


Sobre el Tour

Recientemente se llevó a cabo en la ciudad de Córdoba, Argentina, por primera vez, el OWASP Latam Tour, específicamente en el Instituto Universitario Aeronáutico de la ciudad.

El objetivo del OWASP Latam Tour es concientizar sobre la seguridad de las aplicaciones en la región de América Latina, para que personas y organizaciones puedan tomar acciones sobre los verdaderos riesgos de seguridad de las aplicaciones.

Todo el mundo es libre de participar en OWASP y todos sus materiales están disponibles bajo una licencia de software libre y abierta.

Nuestra participación

SMARTFENSE estuvo presente en el evento y nuestro CEO, Mauro Graziosi, brindó una charla basada en la “Guía de Seguridad en Aplicaciones para CISOs” de OWASP, guía disponible en el idioma español gracias a una traducción en la que también participó nuestro CEO como revisor.

La presentación fue titulada: "CIO vs CISO: OWASP al rescate", y describió las diferentes problemáticas a las que se enfrenta un CISO en su trabajo diario, tomando en cuenta diversos escenarios posibles, y demostrando cómo esta guía de OWASP nos ayuda a la hora de resolver estas problemáticas.

Sobre la guía

Esta guía está específicamente diseñada para ayudar a los CISOs a instaurar la seguridad en las aplicaciones web de una forma permanente. Es por este motivo que se enfoca en lograr un nivel de compromiso en las inversiones de tal manera que quede institucionalizada en la organización, apoyada tanto en la gestión de riesgos como en métricas que demuestren la importancia de incorporar diferentes medidas desde etapas tempranas de desarrollo.

Está compuesta de estos cuatro capítulos:
  • Razones para invertir en Seguridad de las Aplicaciones
  • Criterios para gestionar los riesgos de seguridad en aplicaciones
  • Programa de Seguridad de Aplicaciones
  • Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad

Además, el Apéndice B permite rápidamente mapear cada una de las medidas vistas en la guía hacia un documento o proyecto dentro de OWASP, por lo que la unión entre el QUÉ y el CÓMO queda al alcance de la mano, siendo una guía que se enfoca en conseguir resultados tanto a corto como a largo plazo.

El capítulo de OWASP Córdoba

De reciente formación, el capítulo de OWASP Córdoba ya ha contado con su primer Latam Tour, el cual ha tenido una gran aceptación por parte de la comunidad de la provincia y alrededores, y del cual han surgido varias iniciativas interesantes para llevar adelante en los años venideros gracias a la buena predisposición y ganas de colaborar de todos los presentes.

En SMARTFENSE seguimos desde nuestros comienzos diferentes guías de OWASP para el desarrollo de nuestros productos y hemos brindado todo nuestro apoyo a este nuevo capítulo en el que nos hemos comprometido a participar activamente. Esperamos que el mismo continúe su crecimiento, y, si estás interesado, te invitamos a participar poniéndote en contacto con nosotros.

Leer Más

lunes, 10 de abril de 2017

Aprendizaje basado en juegos: Cómo lograr un entrenamiento más divertido y eficaz para tus usuarios finales

Aprendizaje basado en juegos: Cómo lograr un entrenamiento más divertido y eficaz para tus usuarios finales


Reza un viejo proverbio chino:

"Dime algo, y lo olvidaré. Enséñame, y lo recordaré. Hazme partícipe, y lo aprenderé."
Jugar y aprender van de la mano. Cuando estamos involucrados activamente con un juego nuestra mente experimenta el deseo de entender el funcionamiento de un nuevo sistema.

En mi artículo anterior comenté sobre la necesidad de buscar nuevos enfoques para la difícil tarea de hacer que los procesos de capacitación y concientización en seguridad de la información produzcan cambios de comportamiento genuinos en los usuarios finales, y mencioné el uso de Ludificación como una estrategia para aumentar la motivación durante éstos procesos.

Hoy quiero mencionar un par de conceptos nuevos que muy a menudo son confundidos con ludificación, se trata del Aprendizaje Basado en Juegos (Game Based Learning o GBL) y Juegos Serios (Serious Games).

Ludificación, Aprendizaje basado en juegos y juegos serios

Mientras que aplicar ludificación implica utilizar elementos motivadores que incentiven la competición entre los usuarios, el uso de GBL consiste, directamente, en presentar los contenidos de un proceso de formación a través de un videojuego. Es decir, mientras que la primer técnica implica tomar elementos de juegos e insertarlos en el proceso de capacitación, en la segunda es la persona quien es trasladada al ámbito del juego para lograr un objetivo educativo.

Los procesos de GBL generalmente van de la mano con los denominados Juegos Serios, una caracterización aplicada a los juegos cuyo objetivo principal no es el entretenimiento, sino que fueron creados con otra finalidad, como por ejemplo generar consciencia sobre un determinado tema o enseñar.

¿Qué podemos aprender de un videojuego?

El carácter educativo de los videojuegos no es algo nuevo, su utilización en dicho ámbito data de mucho tiempo atrás. Un juego bien diseñado puede transportarnos a un mundo virtual que nos resulta familiar y nos parece relevante, lo cual resulta motivador porque es fácil ver y entender la conexión entre la experiencia de aprendizaje y la experiencia de la vida real.

Dentro de un proceso efectivo de aprendizaje basado en juegos, la persona trabaja para acercarse a un objetivo, eligiendo acciones y experimentando las consecuencias de las mismas. Puede cometer errores en un entorno que resulta libre de peligros y, a través de esa experimentación, aprender y practicar la forma correcta de hacer algo. Esto lo mantiene altamente motivado en ensayar comportamientos y procesos de razonamiento que pueden transferirse fácilmente desde el entorno simulado a la vida real.

Jugando a aprender Security Awareness

En el área de seguridad de la información, aunque la lista no es demasiado grande aún, ya existen algunos videojuegos orientados al entrenamiento de usuarios finales. CyberCiege, picoCTF y Hackend son algunos ejemplos que ilustran la variedad de tópicos y los diferentes géneros que pueden abarcarse.

Aunque todavía no existen estudios rigurosos que midan con exactitud el efecto de estos juegos en usuarios finales, la inclusión de los mismos en las campañas de concientización resultan en una disminución de hábitos inseguros en dichos usuarios.

Conclusión

Los videojuegos han demostrado poseer un gran potencial como herramientas educativas. El Game Based Learning busca aprovechar dichas capacidades utilizando Juegos Serios para transmitir conocimientos, y es un proceso mediante el cual es posible lograr profundos cambios de comportamiento en las personas.

Aunque todavía queda un largo camino por recorrer en el empleo de videojuegos como herramientas para formación en Security Awareness, su uso es ciertamente una tendencia y la cantidad de juegos disponibles es cada vez mayor. Habrá que estar atentos y empezar a conocer las alternativas que pudieran resultarnos útiles para abordar determinados tópicos. ¿Se animan entonces a incluir estos videojuegos en sus programas de capacitació?
Leer Más