El arma
infalible: la Ingeniería Social
La
seguridad de la información se encuentra estrechamente ligada a la vanidad
humana. En el ambiente informático, es muy conocido el dicho “una
computadora apagada es un computadora segura”tivo? El usuario.
N. Ahora bien, si la computadora está apagada, ¿quién es el objeo hay un solo sistema en el mundo que no dependa de un ser humano, lo que
conlleva una vulnerabilidad independiente de la plataforma tecnológica.
Con el término ingeniería
social se define el conjunto de técnicas psicológicas y habilidades
sociales utilizadas de forma consciente y muchas veces premeditada para la
obtención de información de terceros.
La
Ingeniería Social puede definirse como una acción o conducta social destinada a
conseguir información de las personas cercanas a un sistema. Es el arte de
conseguir de un tercero aquellos datos de interés para el atacante por medio de
habilidades sociales. Estas prácticas están relacionadas con la comunicación
entre seres humanos.
Toda
persona padece las mismas debilidades dentro y fuera del sistema informático o
de la red de trabajo. En este sentido, las técnicas de engaño conocidas
mundialmente y vigentes desde los inicios de la humanidad, sólo deben ser
adaptadas al nuevo medio por el cual las personas maliciosas apuntan a
concretar sus ataques. La efectividad de tal adaptación es complementaria con
el aprovechamiento, para su explotación, de cualidades propias del ser humano
como, por ejemplo: credulidad, inocencia, curiosidad, ambición, desconocimiento,
confianza, modos de relacionarse con otros, gusto por el morbo, etc.
En
el mundo de la seguridad de la información, el “arte de engañar” es utilizado
para dos fines específicos, principalmente:
1.
El usuario es tentado a realizar una acción necesaria para vulnerar o dañar un
sistema: esto ocurre cuando el usuario recibe un mensaje que lo lleva a abrir
un archivo adjunto, abrir la página web recomendada o visualizar un supuesto
video.
Un
caso de “éxito” de este tipo de infecciones es el gusano Sober que, mediante un
sencillo mensaje, logró ser el de mayor propagación del año 2005. Este malware
alcanzó una distribución masiva con asuntos de correos tales como “Re:
Your Password” o “Re: Your email was
blocked”.
2.
El usuario es llevado a confiar información necesaria para que el atacante
realice una acción fraudulenta con los datos obtenidos. Este es el caso del
Scam y el Phishing, en los que el usuario entrega información al delincuente
creyendo que lo hace a una entidad de confianza o con un pretexto de que
obtendrá algo a cambio, generalmente un “gran premio”.
Estos
casos evidencian otra importante característica de la Ingeniería Social: la
excelente relación costo beneficio obtenida con su aplicación, la convierte en
una técnica de lo más seductora: con sólo una llamada telefónica, un correo
electrónico o un mensaje de texto vía SMS el atacante puede obtener acceso a
información valiosa del usuario, la empresa o incluso acceder a una red de
sistemas. Si bien se podría entrar en particularidades según cada caso, es
fundamental comprender que no hay tecnología capaz de
proteger contra la Ingeniería Social, como
tampoco hay usuarios ni expertos que estén a salvo de esta forma de ataque. La
Ingeniería Social no pasa de moda, se perfecciona y sólo tiene la imaginación
como límite.
.jpg)
.jpg)
¿Qué es la
Ingeniería Social?
La Ingeniería
Social es el acto de manipular a una persona a través de técnicas psicológicas
y habilidades sociales para cumplir metas específicas. Éstas contemplan entre
otras cosas: la obtención de información, el acceso a un sistema o la ejecución
de una actividad más elaborada (como el robo de un activo), pudiendo ser o no
del interés de la persona objetivo.
La Ingeniería
Social es un arte que pocos desarrollan debido a que no todas las personas
tienen “habilidades sociales”. Aún así, hay individuos que desde pequeños han
demostrado tener la aptitud y con un poco de entrenamiento convertirla en el
camino ideal para realizar acciones maliciosas. Por ejemplo, hay crackers
que en vez de perder horas rompiendo una contraseña, prefieren
conseguirla preguntando por teléfono a un empleado de soporte técnico.
Formas
de ataque
Las
formas de ataque son muy variadas y dependen de la imaginación del atacante y
sus intereses. En general, los ataques de Ingeniería Social actúan en dos
niveles: el físico y el psicosocial. El primero describe los recursos y medios
a través de los cuales se llevará a cabo el ataque, y el segundo es el método
con el que se engañará a la víctima.
Las
formas usadas a nivel físico son:
Ataque
por teléfono. Es la forma más persistente de Ingeniería
Social.
En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose
pasar por alguien más, como un técnico de soporte o un empleado de la misma
organización. Es un modo muy efectivo, pues las expresiones del rostro no son
reveladas y lo único que se requiere es un teléfono.
Ataque vía
Internet. Desde que Internet se volvió uno de los medios de comunicación más
importantes, la variedad de ataques en red se incrementaron tanto como la gran
cantidad de servicios que existen en él. Los ataques más comunes son vía correo
electrónico (obteniendo información a través de unphishing o infectando el
equipo de la víctima con malware), web (haciendo llenar a la persona objetivo
un formulario falso) o inclusive conversando con personas específicas en salas
de chat, servicios de mensajería o foros.
Ataque vía correo
postal. Uno de los ataques en el que la víctima se siente más segura,
principalmente por la fiabilidad del correo postal. El perpetrador envía correo
falso a la víctima, tomando como patrón alguna suscripción de una revista,
cupones de descuento, etc. Una vez que diseña la propuesta para hacerla
atractiva, se envía a la víctima, quien si todo sale bien, responderá al
apartado postal del atacante con todos sus datos.
Ataque cara a cara.
El método más eficiente, pero a la vez el más difícil de realizar. El
perpetrador requiere tener una gran habilidad social y extensos conocimientos
para poder manejar adecuadamente cualquier situación que se le presente. Las
personas más susceptibles suelen ser las más “inocentes”, por lo que no es un
gran reto para el atacante cumplir su objetivo si elige bien a su víctima.
¿Cómo
defenderse contra la Ingeniería Social?
La
mejor manera de enfrentar el problema, es concientizar a las personas al
respecto. Educarles sobre seguridad y fomentar la adopción de
medidas preventivas. Otros mecanismos sugeridos son:
Nunca divulgar
información sensible con desconocidos o en lugares públicos (como redes sociales,
anuncios, páginas web, etc.).
Si se sospecha que
alguien intenta realizar un engaño, hay que exigir se identifique y tratar de
revertir la situación intentando obtener la mayor cantidad de información del
sospechoso.
Implementar un
conjunto de políticas de seguridad en la organización que minimice las acciones
de riesgo.
Efectuar controles
de seguridad física para reducir el peligro inherente a las personas.
Realizar
rutinariamente auditorías y pentest usando
Ingeniería
Social para
detectar huecos de seguridad de esta naturaleza.
Llevar a cabo
programas de concientización sobre la seguridad de la información.
La Ingeniería Social aplicada al malware
La
Ingeniería Social es ampliamente utilizada por creadores de malware y
delincuentes informáticos debido al alto nivel de eficacia logrado engañando al
usuario.
Es
en la preparación de un engaño en particular, donde la Ingeniería Social
comienza a ser aplicada por parte los creadores de códigos maliciosos y otro
tipo de atacantes. Cuanto más real parezca el mensaje, más confiable sea la
fuente y más crédulo sea el usuario, mayores posibilidades tendrá el atacante
de concretar con éxito sus propósitos y llevar a cabo la reproducción del
malware.
Marcas
y eventos conocidos
Una
de las prácticas más usuales es el aprovechamiento de la confianza que el
usuario tiene en alguna empresa o marca reconocida.
El
uso de nombres de compañías u organizaciones no sólo se aplica al malware
adjunto a mensajes de correo electrónico, sino también en troyanos, phishing y
scam.
Una
práctica altamente frecuente para la propagación de gusanos y otros códigos
maliciosos, tiene como base el envío de mensajes como si proviniesen de una
reconocida empresa de software, con información sobre una supuesta
vulnerabilidad y asegurando que el archivo adjunto o el enlace es un parche de
seguridad crítico.
En
el caso del Scam y el phishing, la metodología es similar, diferenciándose en
que no se suelen incluir archivos adjuntos. Además, los mensajes creados para
favorecer el phishing suelen utilizar nombres de compañías relacionadas con el
ambiente financiero (bancos, tarjetas de crédito, etc.), sitios de Internet
reconocidos (como Google, Yahoo!, PayPal, eBay, etc.), compañías de telefonía y
muchas otras.
Dado
que la mayoría de las empresas y organizaciones tienen políticas de uso en las
que explican que no enviarán mensajes de correo electrónico con archivos
adjuntos, los usuarios nunca deben hacer caso a este tipo de mensajes.
¿Qué tiene que
ver la Ingeniería Social con la seguridad informática?
La seguridad informática tiene
por objetivo el asegurar que los datos que almacenan nuestros ordenadores se
mantengan libres de cualquier problema, y que el servicio que nuestros sistemas
prestan se realice con la mayor efectividad y sin caídas. En este sentido, la
seguridad informática abarca cosas tan dispares como:
Los aparatos de aire
acondicionado que mantienen los sistemas en las temperaturas adecuadas para
trabajar sin caídas.
La calificación del equipo de
administradores que deberá conocer su sistema lo suficiente como para
mantenerlo funcionando correctamente.
La definición de entornos en los
que las copias de seguridad han de guardarse para ser seguros y como hacer esas
copias.
El control del acceso físico a
los sistemas.
La elección de un hardware y de
un software que no de problemas.
La correcta formación de los
usuarios del sistema.
El desarrollo de planes de
contingencia.
Ingeniería
social (seguridad informática)
En el campo de la seguridad
informática, ingeniería social es la práctica de obtener información
confidencial a través de la manipulación de usuarios legítimos. Es una técnica
que pueden usar ciertas personas, tales como investigadores privados,
criminales, o delincuentes computacionales, para obtener información, acceso o
privilegios en sistemas de información que les permitan realizar algún acto que
perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
La ingeniería social también se
aplica al acto de manipulación cara a cara para obtener acceso a los sistemas
computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de
la introducción de contraseñas habituales, lógicas típicas o conociendo su
pasado
y presente; respondiendo a la
pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
La principal defensa contra la
ingeniería social es educar y entrenar a los usuarios en el uso de políticas de
seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más
famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la
ingeniería social se basa en estos cuatro principios:
Todos 1. queremos ayudar.
2. El primer movimiento es siempre
de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos
alaben.
Técnicas de
Ingeniería Social
Tres tipos, según el nivel de
interacción del ingeniero social:
Técnicas Pasivas:
Observación
Técnicas no presenciales:
Recuperar la contraseña
Ingeniería Social y Mail
IRC u otros chats
Teléfono
Carta y fax
Técnicas presenciales no
agresivas:
Buscando en La basura
Mirando por encima del hombro
Seguimiento de personas y
vehículos
Vigilancia de Edificios
Inducción
Entrada en Hospitales
Acreditaciones
Ingeniería social en situaciones
de crisis
Ingeniería social en aviones y
trenes de alta velocidad
Agendas y teléfonos móviles
Desinformación
Métodos agresivos
Suplantación de personalidad
Chantaje o extorsión
Despersonalización
Presión psicológica
Cuándo nace la
Ingeniería Social en España
Corre el año 1986/87, se empiezan
a instalar algunos sistemas BBS en Madrid, Barcelona, Zaragoza. No había acceso
a Internet mas allá de las universidades (en estas sólo el profesorado tenía
acceso, es el nacimiento de RedIris) y de las conexiones UUCP
(http://www.learnthenet.com/spanish/glossary/uucp.htm) que, más tarde, montaría
la compañía Goya Servicios Telemáticos y que eran carísimas para la mayoría de
usuarios. No existía Web, únicamente News, Mail y los protocolos de búsqueda de
información tipo gopher o archie. Los servidores estaban instalados sobre todo
en USA.
En estas redes, las llamadas
entre los nodos las realizaban usuarios "mecenas" que corrían con el
precio de esas llamadas. Los módems eran muy lentos, 1200 o 2400 bps. Los más
rápidos, y las llamadas eran muy caros. Esto tenía como consecuencia que un usuario
no pudiera bajarse toda la información que quería ni conectarse a demasiadas
BBS, so pena de arruinarse con la factura del teléfono... o arruinar a sus
padres.
Así las cosas, era difícil
compartir información propia con otros usuarios y más aún conseguir información
técnica interesante que sí se podía encontrar en otros lugares de Europa y
Estados Unidos. Los grupos de hackers buscaban formas de abaratar las llamadas
de teléfono y conectarse a otros lugares. En su mayoría menores con edades
entre los 11 y los 20 años, no disponían de más ingresos que la paga del
domingo.
Se utilizaban muchas técnicas
para no pagar las llamadas, desde el uso de "blue box", que eran
útiles cuando el sistema de tarificación emitía para su control tonos en la
"banda vocal", esto es, en la que se transmitía la voz, hasta accesos
a través de sistemas PAD (Packet Assembler Dissasembler).
Sistemas casi siempre de grandes
compañías que permitían, desde una conexión de teléfono normal, conectarse a
redes de paquetes como la española X.25 y a los que se accedía desde números
900 (¿Cuántos hackers de la época utilizaron el famoso PAD de la Shell Oil?) y
también números de tarjetas de teléfono americanas, las llamadas “callings
cards” de MCI o de AT&T, que se conseguían de forma más o menos ilegal.
En muchos casos, para conseguir
informaciones de cómo utilizar ciertas funcionalidades de una central de
telefónica, o el acceso a una red, era necesario el uso de ingeniería social.
Así, algunos hackers comenzaron a especializarse en esas tareas. El abanico de
posibilidades se multiplicó: no sólo el sistema telefónico sino las
configuraciones de servidores, contraseñas de sistemas, datos de compañías
empezaron a ser objetivo de los ingenieros sociales, que al facilitárselos a
otros hackers les facilitaban en mucho sus tareas, ya que se podían dedicar a
lo que realmente les interesaba, aprender sistemas.
Algunos
ingenieros sociales españoles
Agnus Young
D-Orb
LeStEr the Teacher
Omega
The Saint
Ingeniería Social: Corrompiendo la mente
humana
Hoy en día, uno de
los activos más valiosos para las organizaciones es la información. Compartir
información con otras entidades, sugiere la mayoría de las veces una invasión
de la privacidad.
Sin embargo, hay un
recurso inseguro que almacena información muy sensible: la mente humana. Ya sea
por olvido o por el reto que implica asegurar la información dentro de las
cabezas de sus empleados, las organizaciones no le prestan mucha atención a
este aspecto.
No hay comentarios:
Publicar un comentario