Ingeniería Social, el arte del engaño

ingenieria1Durante este tiempo que llevo escribiendo el blog he tratado ya diferentes temas que afectan a la seguridad de sistemas y datos, y en todos los casos siempre los amigos de lo ajeno han tratado de aprovechar puntos débiles de los sistemas para intentar entrar en ellos y, de esa forma conseguir su objetivo, atacar los mismos.

Sin embargo no he hablado, de manera interesada, de un elemento común a todos los sistemas, un elemento muy vulnerable, de hecho se trata del más vulnerable, como dicen por ahí, “el eslabón más débil de la cadena”, se trata de nosotros mismos, de las personas que manejamos los sistemas, administradores de sistemas, usuarios, técnicos, etc.

En el ámbito de la seguridad informática, ingeniería social es el conjunto de acciones encaminadas a conseguir información manipulando psicológicamente a las personas, con el fin de conseguir información, fraude o acceso no autorizado a los sistemas informáticos.

ingenieria2

Luego un sistema vulnerable a técnicas de ingeniería social, es aquel que podría ser atacado mediante la manipulación psicológica de las personas.

Complicado artículo entonces el que afronto, confío en intentar tratar, con el mayor rigor, algunos de los temas que trataré, ya que se salen del ámbito informático e invaden el mundo de la psicología de manera clara.

Por empezar por algún sitio decir que por defecto las personas tendemos, por lo general, a ser confiadas, aunque no haya comprobado este extremo basta con decir que el hecho de ser desconfiado, normalmente está mal visto socialmente, y si de entrada alguien no confía en ti te da una percepción negativa de esa persona, el famoso “beneficio de la duda” tiene la culpa de todo esto y en ocasiones va, incluso, en contra de la racionalidad y a esa persona se la llama “desconfiada”.

confiaza

A esta confianza natural, debemos de sumar acciones que permiten sumar confianza, por ejemplos historias falsas, documentos que a simple vista avalan o simplemente rutina, por ejemplo parece natural confiar en alguien que ves a diario por la calle.

Y por último cualidades de las personas que son muy, pero que muy explotables, desde el punto de vista de esta ingeniería social, por ejemplo, curiosidad, avaricia, inseguridad, compasión, solidaridad, consuelo, amor, y otras muchas.

pendriveNo significa, por supuesto que todos seamos iguales, pero seguro que los lectores tienen ó reconocen en sí mismos o en otras personas conocidas algunas de estas cualidades nombradas. La curiosidad por ejemplo, ¿Quién se resiste a no ver el contenido de un pendrive que se ha encontrado por la calle?, muchos ataques de ingeniería social empiezas simplemente por aquí y luego se podrían combinar con otros para conseguir el objetivo final, la información necesaria para acceder al sistema.

Luego se puede definir el proceso de ingeniería social como un conjunto de estrategias que se siguen para obtener un objetivo final, estas estrategias se pueden dividir en 3 etapas:

1.- Recogida de información.

Recoger toda aquella información, pública o privada de la victima útil para el atacante.

Se puede conseguir por ejemplo buscando en Internet (Internet es un fuente inagotable de información, y las redes sociales un nicho importantísimo de datos privados), preguntando por ahí ó simplemente observando.

2.- Acción

En este caso se puede forzar, por ejemplo un superior de una compañía que pide a otra persona que realiza algo “por el bien de la compañía”, o llamando por teléfono y haciéndose pasar por alguien de la compañía, se pide que se realice algo. También se pueden utilizar métodos indirectos para esto, por ejemplo con el uso de un keylogger (programa que permite recoger las pulsaciones de un teclado, dicho programa podría ir oculto en ese pendrive que dije antes y que, en la mayor parte de los casos la persona abriría y ejecutaría y logicamente instalaría, sin su conocimiento ni consentimiento, claro está).

3.- Ataque

Se trata de la parte en la que, usando procesos de carácter técnico, el ingeniero social utiliza para obtener información y acceso, aquí hablo por ejemplo de hacking, y existen muchas y muy variadas, backdoors, flooding, buffer overflow, etc.

fases

En este contexto de ingeniería social se pueden encontrar cantidad de ataques bien distintos, yo voy a tratar hoy simplemente aquellos en los que los usuarios estamos involucrados de forma directa, pero hay muchísimos más.

Empezaré por uno bien conocido, phishing, suplantación de identidad, normalmente el usuario malintencionado utiliza el correo electrónico y envía de forma masiva a una serie de cuentas de correo (que se pueden haber obtenido de distintas formas) invitando a las potenciales víctimas a acceder a a una web (normalmente de su confianza, al menos aparentemente) y dar una serie de datos. Obviamente el correo intenta ser muy convincente y creíble para que el ataque tenga éxito.

phishing

Si en lugar de un correo se utiliza la telefonía móvil, la técnica se llama SmiShing, quizás ahora con la auge de programas de chat online mediante teléfono, por ejemplo Whatsapp, se le podría llamar de otra forma. Bueno pues ese mensaje podría, por ejemplo, proceder de una compañía que te solicita que la llames para recibir algo y el objetivo que el usuario realice esa llamada, claro está, normalmente se trata de llamadas a un número con tarificación especial, la estada está servida, y si son muchos los que llaman, además se suculenta.

SMishing

Si se hace por voz, utilizando llamadas directas de teléfono se llama ViShing, aquí por ejemplo podría llamar alguien haciéndose pasar por una persona de una compañía con la que tenemos relación y pedirnos datos privados para, por ejemplo, arreglar algo que han hecho accidentalmente y nos podría perjudicar.

ViShing

Otro método es el uso de ScareWare, se trata de programas que nos meten en miedo en el cuerpo diciendo, por ejemplo que tenemos virus y que pagando una pequeña cantidad no los quitan en un periquete.

ScareWare

Y aquí no pueden faltar los Hoaxes, noticias falsas que lo único que tratan es crear alarma social, confusión, modificar la opinión, desprestigio, etc., se trata de esos mensajes que debes de mandar a no se cuantos contactos para, que por ejemplo a alguien no le pase algo.

Hoaxes

Bien amigos, se pueden escribir muchas más cosas sobre ingeniería social, pero, una vez más no deseo aburrir al personal, ahora bien, no terminaré sin hacer unas reflexiones al respecto y compartirlas con vosotros.

La ingeniería social es una técnica muy antigua, ha recibido históricamente muchos nombres, engaño, timo, estafa, etc., y se trata de un aspecto fundamental de la seguridad en general, y si se trata de los sistemas de información, de la seguridad informática en particular.

Para afrontar este problema es necesaria la sensibilización y formación de las personas y un establecimiento de unas correctas formas de hacer ante determinados estereotipos de actitudes y mensajes.

passwordDado que la mayoría de las vulnerabilidades que vienen por aquí se dan por explotar cualidades humanas, y que un ordenador es inmune a estos ataques por no tener este tipo de cualidades, es necesario ser menos manipulables, aún a riesgo de parecer “antisocial”, por ejemplo, si al tercer intento de introducir un password, un sistema se bloquea, no debemos cabrearnos con el administrador por que tengamos que superar un test de seguridad para desbloquear el acceso, si, ya sé, en el momento lo que queremos es acceder a toda costa, pero es el trabajo del administrador y se debe de respetar y la próxima… no olvidar el password. La jerarquía y el nivel de privilegios son imprescindibles para evitar vulnerabilidades humanas.

Bueno ahora si termino una semana más, espero que os haya gustado el artículo, desearos a todos un feliz descanso, lo que lo tengáis y los que no, pues nada, a seguir, yo por mi parte, la semana próxima seguire escribiendo. Paco Nadador.

Espero que te haya gustado el artículo.

Si deseas recibir un mensaje cada vez que haya una nueva entrada en el blog, suscríbete al mismo y lo recibirás.

Leave a Reply

Your email address will not be published. Required fields are marked *