La Ingeniería Social
La ingeniería social (Social
Engineering) se ha convertido, hoy por hoy, en una de las principales armas de
los hackers, Crackers, etc… Es la forma
en que se puede conseguir información sin usar una computadora.
En
el ámbito de la seguridad informática, la Ingeniería Social se considera la
práctica de obtener información privilegiada (contraseñas, cuentas bancarias, datos
confidenciales…) de ciertas personas mediante engaños telefónicos o a través de
Internet haciéndose pasar por personas o empresas que no son.
Un ejemplo es el email que te llega
desde una correo electrónico de Hotmail diciéndote que son la Dirección de
Hotmail y que si no activas tu cuenta en el siguiente formulario te la borrarán
porque Hotmail tiene muchísimas cuentas inactivas (todo esto más detallado claro). Introduces tu email y contraseña
en un bonito formulario y cuando le das a enviar tus datos llegan a un usuario
que se ha aprovechado de la llamada ingeniería social, es decir, de tu
confianza. Una de las prácticas más extendidas es el Phishing.
Según
Kevin Mitnick, uno de los hackers y
phreakers más conocidos de EEUU (en su historia está basada la película Hackers
2 o El Asalto Final), existen 4 principios básicos en la Ingeniería Social que
son comunes a todas las personas (o en su gran mayoría).
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No
- A todos nos gusta que nos alaben.
Debemos tener en mente que la
información no es más que una herramienta que otorga la posibilidad de ser
usada y manipulada en beneficio de quien la posee. Se puede ver a un sistema
informático como un cúmulo de información que ahí está, pero espera ser
develada.
“A
lo largo de mi experiencia en el campo de la seguridad informática he podido
aprender o descubrir que no importa si instalas antivirus, un firewall, un
antispyware o cualquier otro software de seguridad, la información siempre
estará vulnerable y siempre, siempre habrá uno más listo que otro. Solo es
cuestión de tiempo para que descubran la vulnerabilidad y explotarla. En algo
estoy de acuerdo con Mitnick, el ser
humano es más vulnerable.”
Continuamente escuchamos en los medios
de comunicación, robos a entidades bancarias vía internet, miles de personas
afectadas, los ahorros de toda su vida desaparecen sin explicación , surge la
pregunta ¿cómo lo hicieron?. La ingeniería social es parte de la respuesta,
Kevin Mitnick hizo popular este término. La ingeniería social no solo es
aplicada por los delincuentes informáticos, también es utilizada por los
ladrones de toda la vida, cuando averiguan el nombre de los ocupantes de una
casa y vigilan sus actividades diarias.
Como
el caso de una señora que todos los años a una fecha determinada recibía la
encomienda de una hija, cierto día dos hombres, con apariencia de mensajeros,
llegaron a su casa y le informaron que llevaban una caja con ropa que enviaba
su hija desde Los Ángeles, confiada les abrió la puerta, ellos entraron y en
menos de cinco minutos robaron sus objetos de valor. En una posterior declaración la señora dijo: "No sé cómo
averiguaron el nombre de mi hija; son astutos".
Lo cierto es que el criminal tiene
éxito porque conoce a plenitud a su víctima; hay que desconfiar de todo,
orientar bien a los empleados para que por ningún motivo abran la puerta a
desconocidos o den información comprometedora. Y eso aplica para el ciberespacio
y nuestra vida diaria. El siguiente es parte de un artículo redactado por Violeta Villar, para la agencia EFE, en
él, Kevin Mitnick explica "Que es
la ingeniería social según su óptica o experiencia".
Según
Mitnick: La ingeniería social es una de las principales herramientas de un
delincuente. Ese término se refiere a los sistemas de engaño que emplea el
atacante para obtener información o bienes. "En muchas empresas pretenden
usar un firewall para protegerse de ese tipo de agresiones, pero eso no es
suficiente, dice Mitnick.
El afirma que los ataques a compañías
no sólo tienen un fundamento tecnológico. "Atribuyo al error humano el
conocimiento que tienen los hackers de ciertas situaciones internas, lo cual
favorece el acceso a las bases de datos o a sistemas que en teoría son seguros.
Los ingenieros sociales tienen cientos de trampas guardadas en la manga",
dice. En materia de métodos no todo está escrito, pero Mitnick dio el ejemplo
del truco que usó con Motorola: "Mi objetivo era conocer el código fuente
del proyecto ultratack (de telefonía móvil). Así que llame por teléfono y fingí
ser otro empleado de la empresa. Un contacto me llevó a otro y, al final, logré
hablar con la gerente, quien me facilitó el código fuente (las instrucciones
originales con las que se crea un programa). Yo no quería venderlo ni nada, mi
único interés era ver ese código".
En opinión de Mitnick hay varios
factores que hacen vulnerable una organización: "Primero, la gente tiene
mucha confianza en los demás; solemos creer lo que nos dice la otra persona.
Segundo, hay miedo de perder el trabajo; el atacante puede identificarse como
un ejecutivo y esta condición obliga al empleado a actuar de acuerdo con sus
órdenes". En las compañías grandes no hay suficiente contacto humano.
Cualquiera de la noche a la mañana puede disfrazar sus intenciones de robo con
el uniforme del mensajero o del vigilante.
También puede ocurrir cuando las
empresas tienen una alta rotación de personal; las caras nuevas pasan y entre
ellas puede aparecer el delincuente" dijo Mitnick. Agregó que las situaciones parecen insólitas, pero
ocurren. Un hacker disfrazado de mensajero es capaz de entrar con un computador
portátil, conectarlo a la red de la oficina y permanecer varias horas ante la
vista de todos.
Ya leyeron mi punto de la ingeniería
social y la de Kevin Mitnick. Ahora veremos como un ingeniero social puede
conseguir información más detalla y para ellos creare un objetivo ficticio.
“Quiero
aclarar que todo esto es de uso educativo cualquier daño que puedan causar con
este manual, explicación o como lo quieran llamar Marcos Escorche queda libre
de cualquier mal uso del conocimiento.”
Ingeniero Social actuando en tiempo
real
El objetivo del hacker o Cracker es
conocer que existe algún tipo de información y hallar el modo de conseguirla
sin violentar sistemas. No existe ningún tipo de información que sea totalmente
inútil para un hacker. Un hacker siempre sabe que es bueno conocer algo, captar
y almacenar uno o dos datos, porque nunca sabemos cuándo vamos a necesitar
retrotraer la información que se recibe o adquiere. Nunca hay que dejarla en la
memoria propia, simplemente porque que es muy volátil y la información puede
perderse para siempre, a menos que uno tenga memoria fotográfica.
Existen datos que requieren ser
anotados en papel, incluso una servilleta puede ser útil de vez en cuando, o
pasarlos a un medio extraíble como en un DDP, memoria flash o un hasta CD-ROM.
A diferencia de lo que la mayoría de
las personas creen, un sistema informático no solo se compone de hardware (el
equipo físico) y software (los programas). Las máquinas no funcionan solas y siempre
existen personas de carne y hueso detrás de ellas y de cada sistema. Hasta el momento no se conoce una máquina
que para ponerse en funcionamiento se acerque ella misma a la fuente de poder y
se enchufe sola.
El personal del departamento de
sistemas computacionales de cualquier empresa también forma parte integral del
sistema informático, al igual que la computadora y los programas que en ella
residen. Es de saberse que las personas vivas son las que tienen más
vulnerabilidades que los fríos sistemas de proceso, muchos grandes ataques se
han generado a partir del enfoque al personal.
Debemos
recordar que se puede atacar al software y se puede atacar al personal. Cuando hablamos
de atacar al software nos referimos simplemente a enfocar nuestra atención en
el Sistema Operativo o en los programas de usuario. Hay mucha variedad en el
ataque contra el software, existen vulnerabilidades que pueden ser explotadas
en nuestro beneficio, pero también hay que conocer cómo detectarlas y
prevenirlas, porque esto llega a ser un problema de seguridad importante.
Al hablar de atacar al personal nos
referimos a lo que se ha dado a llamar Ingeniería Social. Esta técnica consiste
básicamente en mantener un trato social con las personas que custodian los datos.
Es simplemente atacar a quien posee la
información.
La ingeniería social indaga en las
costumbres de las personas, en conocerlas más profundamente para perpetrar
posteriormente un ataque más elaborado, con la calidad de un corte de bisturí.
Esta actividad incluye desde la suplantación de identidades confiables hasta la
búsqueda en botes de basura de la información relevante y, con toda
probabilidad, es el tipo de ataques del que menos se habla, pues no existe un
manual práctico, depende mucho de las circunstancias, del Know-how del atacante
y sus habilidades, de los conocimientos que pueda poseer la víctima, etc. Bien
manejada, la ingeniería social es uno de los métodos más efectivos de
recolección de información. No hay duda de eso como ya lo vieron anteriormente
en mi explicación y la de Mitnick.
Atacando al Personal
Las personas siempre son la mejor
fuente de información a la hora de revelar datos que no deben. Y no es porque
esa gente peque de estúpida o que sean muy ingenuas, sino que es condición
natural de muchas personas la sociabilidad, las ganas de ayudar al prójimo y
sentirse útiles, he aquí donde vemos los principios de la ingeniería social
nombrados anteriormente. En muchas ocasiones, la información se resbala por
error y el hacker siempre estará preparado para recibir cualquier pequeño dato
y guardarlo.
Sobra decir que esto le puede jugar una
mala pasada a los empleados que manejan la información sensible si se llegan a
topar con alguien que tenga la capacidad de aprovecharse de ella, hasta pueden
perder su empleo. Lamentablemente, tras sufrir una experiencia de este tipo,
las personas se vuelven desconfiadas. Esta es la actitud adecuada siempre.
Cuando se manejan muchos datos críticos hay que volverse un poco paranoico. La
desconfianza es el principio de la seguridad tanto en la vida real como en la
virtual.
Aunque los humanos solemos ser
inherentemente buenos, el sentido común indica que hay que poner ciertos
límites, pero desde luego, no hay que bajar la guardia. Esta es la razón por la
que nadie sale de su casa sin haber echado llave a la puerta.
Un hacker tiene que ser también un buen
psicólogo, entender el comportamiento humano, prever las reacciones y
anticiparse a los acontecimientos. Debe ser capaz de ir más allá de lo que
indica un simple gesto o lo que realmente quiere decir una frase.
Para atacar al personal se pueden usar
técnicas agresivas. Si sabemos su correo electrónico, se puede falsear el
propio y escribirles un correo parecido a este:
From: administrador@empresavictima.com
To: isabeltontamevi@empresavictima.com
“Saludos
Isabel soy Marcos Escorche, de aquí de
Sistemas.
Me
parece que alguien nos ha estado espiando. El programa detector de espías se
activó y aunque no se menciona nada en el reporte, pues no me confío. Voy a
cambiar todas las contraseñas del personal y necesito las antiguas para colocar
las nuevas.
Por
favor envíame tu contraseña a esta dirección de correo (sólo dale un
“Forward”.) A vuelta de correo te enviaré una nueva para que puedas memorizarla
y después de que lo hagas, haz favor de eliminar este correo inmediatamente para
mayor seguridad.
Gracias.!”
Personas con mayor don de gentes pueden
lograr mayor información, variando las preguntas, situaciones, etc. Por
supuesto, esto puede también ser infructuoso y no obtener ni un ápice de
información.
Ahí está el riesgo y la prueba. Sin
embargo, según estadísticas, resulta sorprendente lo mucho que se usa esta
técnica, el porcentaje de éxito del que goza y los resultados que arroja.
Hay que tener ciertos aspectos en
mente. A las personas les gusta ayudar, pero sin sentirse agobiadas ni
atacadas, siempre hay que saber dónde está el límite. Es bien sabido que la
gente se siente más atraída por personas que parecen “desvalidas”. Frases como
“Hola, soy nuevo”, “soy estudiante y necesito cierta información” predisponen a
la potencial víctima a facilitar información.
En resumen, solo hay que saber dónde,
cuándo y cómo aplicar la técnica.
Como parte de la técnica puede estar el
ir personalmente a la oficina y comprobar cómo trabajan, echando una ojeada a
las pantallas mientras te paseas por las instalaciones. Esto mejora cuando la
empresa a la que visitas es de las grandes, donde el personal casi no se
conoce.
Hay veces que en una llamada telefónica
no se obtienen los datos buscados. Como en una compañía grande no siempre
contesta la misma persona, la recolección se haría en varias llamadas y
anotando en papel cada pedacito de información vital. A ésta técnica se le
conoce como “picotear el maíz”. Al final solo se requiere unir todos los
pedazos para apreciar el cuadro final. Esto es lo que sucede a menudo con
compañías como América Online (AOL).
Consejos
Para
evitar ser atacados les daré un par de
consejos que son efectivos si saben cómo aplicarlos bien.
- Crear políticas de seguridad y velar porque cada una sea cumplida.
- Entrenar muy bien al personal.
buena información :D Muy interesante!
ResponderEliminarGracias!
ResponderEliminar