Cómo defender a su empresa de la ingeniería social




La ingeniería social es una de las técnicas de hacking más antiguas de la informática –casi tanto como ella misma– con la que un hacker puede penetrar hasta en los sistemas más difíciles usando la vulnerabilidad más grave de todas: la humana.
Básicamente, la ingeniería social es el arte o ciencia de conseguir que las personas cumplan los deseos de otra. No es ningún tipo de magia ni nada por el estilo, se basa en lograr que los trabajadores realicen tareas típicas de su trabajo de una manera natural, y aunque pueda parecer algo raro, ésta es una de las técnicas favoritas de los hackers expertos para obtener información sobre un determinado objetivo o penetrar en sistemas informáticos.
Implica más que una simple llamada inocente con la que recabar información usando un tipo de acento vocal determinado. La ingeniería social implica una fase de trabajos a nivel más bajo (groundwork) para obtener la información necesaria, como el conocer los datos internos de la empresa, número de servidores, etc. Esto muchas veces se consigue entablando una conversación ridícula con los empleados que tienen acceso directo a los objetivos del atacante como se analizará a continuación (la mayoría del trabajo se encuentra en la preparación y no en la acción propiamente dicha).
Puede pensar que este artículo es simplemente una falsa excusa para demostrar como estas técnicas pueden ser usadas para realizar hacking, pero, en la realidad, la única forma de defenderse contra este tipo de ataques de seguridad es conociendo qué métodos pueden ser usados. Con estos conocimientos es posible prevenir brechas de seguridad en su empresa antes de que nadie pueda conseguir ningún dato confidencial.
La parte más delicada de la seguridad informática.
Sin duda, la parte más delicada de la seguridad informática está representada por el factor humano más que por la aplicación de las medidas de seguridad habituales como aplicación de parches diarios o el uso de firewalls bien configurados. Es más, conviene recordar que el único ordenador seguro es el que no está encendido. De hecho, en este caso, ni siquiera la regla anterior tiene sentido, ya que un hacker puede ser capaz de persuadir a un empleado para que conecte el ordenador y luego poder realizar el tipo de intrusión necesario, todo esto usando sólo la ingeniería social.
Por ello, la parte humana de una cadena de seguridad es la más esencial. No existe ningún sistema informático que no dependa de humanos. Esto significa que esta vulnerbilidad es universal, independientemente de la plataforma, etc.
Toda persona con acceso físico a algún sistema crítico es potencialmente un problema de seguridad. Cualquier información dada puede ser usada contra una propia empresa. Sin ir más lejos, las personas que habitualmente no son consideradas parte de una política de seguridad pueden ser usadas para crear una brecha en su sistema.
En realidad este es un problema más grave de lo que se podría imaginar en un primer momento. Los expertos en seguridad normalmente no están preparados para actuar frente a estos casos de hacking, ya que no dependen directamente de las máquinas, si no de los humanos.
Métodos
El intento de procurar que una persona llegue a completar una acción por parte de otra puede suponer el uso de muchos métodos dispares, pero, el primero y el más obvio es una petición directa. Aunque esto en raras ocasiones funciona, es el método más utilizado debido a su sencillez, la persona debe saber perfectamente que es lo que se le está pidiendo.
La segunda forma es creando una situación comprometida en la cual la persona encargada esté simplemente involucrada en ella. Con más factores que simplemente realizar una petición, es más fácil persuadir a una persona ya que se pueden crear situaciones delicadas de las cuales prefieren procurar la información para no implicarse en ella. Esta fase requiere un conocimiento más exhaustivo de las costumbres y trabajo de la víctima.
Para realizar un ataque de ingeniería social, los hackers usan, normalmente, métodos de contacto impersonales (que no requieran un contacto físico o visual) como por ejemplo el teléfono o el e-mail (ver recuadro al final del artículo). Es más, son conocidos en la historia del hacking numerosas situaciones en las que un chico con menos de 16 años se ha hecho pasar por un adulto para conseguir información delicada como claves de acceso a sistemas informáticos.
Esto no quiere decir que no se usen métodos de contacto directo, en los que el ingeniero social habla cara a cara con la víctima con fines persuasivos. Pero ésta es, con diferencia, la opción mas difícil, y la mas arriesgada dentro de la ingeniería social, ya que para poder realizarla hay que contar con mucha sangre fría y un grado muy alto de conocimiento acerca del objetivo –ya sea una persona o una empresa–.
La principal diferencia con el resto de métodos, está obviamente en que la víctima te puede ver (no basta con colgar el teléfono).
Para llevar a cabo todo el proceso con éxito, los hackers cuidan hasta el mínimo detalle, tener razones y pruebas con las que poder apoyar sus peticiones. La única ventaja con la que cuenta el ingeniero social en estos casos es que al ser algo tan poco usual, nadie se lo espera. Un ejemplo de lo comentado, es hacerse pasar por un encuestador de algún tipo, con lo que ya existiría una razón para hacer preguntas.
Persuasión
Incluso en los casos en los que una persona está completamente segura de actuar de la manera correcta, es posible hacer que cambien su comportamiento natural usando la persuasión. Lo más habitual no es forzar a alguien a cumplir una orden, si no persuadir su voluntad para que cumpla con la petición.
Hay una sutil diferencia. Básicamente, el objetivo es simplemente guiado a través de una conducta habitual con la finalidad de que piense que tiene un control de la situación y que está usando ese poder para ayudar al atacante. Por ello, siempre se busca la cooperación entre atacante y víctima, lo que redunda en importantes factores que pueden incrementar o decrementar las oportunidades de un “ingeniero social”.
Habitualmente, los menores conflictos que se produzcan redundarán en mayores posibilidades de éxito en el ataque. Psicológicamente hablando, existen estudios que indican que las personas cumplirán una petición importante determinada si previamente han cumplido otra más insignificante, por eso el ingeniero social tratará siempre de camelar a la víctima para luego ir al grano (cuando ya se haya establecido un vínculo, por pequeño que sea). Esto se da de manifiesto al entablar una conversación (por cualquiera de los métodos) de interés general (por ejemplo: el fútbol, el último caso antimonopolio contra Microsoft, incluso, aunque suene contradictorio, la seguridad) con alguna persona involucrada indirectamente en el mantenimiento de los equipos informáticos. La técnica consiste simplemente en no llevarle la contra a la persona encargada y hacer que se sienta a gusto en la conversación, de este modo se persuade a la víctima para que en un futuro realice acciones en contra de los intereses de la empresa.
No hay que olvidar que la persuasión por sí misma no es razón suficiente para que la mayoría de la gente proporcione información que no debiera, por ello, muchas veces se utiliza la involucración como parte del compromiso. Es decir, si la persona / objetivo de un hacker está altamente involucrada con el sistema en cuestión, no bastaría para convencerle usar argumentos débiles, si no todo lo contrario, cuanto más se involucre a la víctima más posibilidades hay que coopere.
Protegerse de los ataques humanos
Con toda esta información, ¿cómo puede un administrador de sistema incrementar la seguridad de sus sistemas? El paso sin duda más importante –pero también el menos puesto en práctica– es hacer que la seguridad sea parte del trabajo diario de todo el personal, tanto si usan ordenadores como si no. Si, como administrador de sistemas –o de personal– consigue que sus empleados traten de mantener los ordenadores más seguros, posiblemente prestarán más atención si personal no autorizado pretende acceder a estos sistemas.
En cambio, la mejor defensa contra esto es muy sencilla: la educación. Explicando a todos los empleados la importancia de la seguridad informática y que existe gente preparada para intentar manipularles para conseguir acceso a los sistemas sería un buen primer paso. Simplemente, previniendo a la gente sobre posibles ataques futuros en contra de sus propios intereses hará que estén más despiertos, pero, como se ha dicho anteriormente es necesario formar a todo el personal. Imagínese que en horas fuera de trabajo en las que sólo se encuentra el personal de limpieza de la empresa llama alguien al teléfono que se hace pasar por un trabajador conocido; es este caso, un personal de limpieza sin adiestrar es muy posible que realice exactamente los pasos que el interlocutor le proporcione, ya que es sabido que la mala calidad de sonido de los teléfonos hace confundir las voces y ante la inseguridad o el temor de ser reprimidos, las personas ejecutarán la acción.
En general, este proceso de educación hará que la gente esté más preocupada en este problema. Además, cuesta muy poco trabajo educar al personal en comparación con la reducción de riesgos que se obtiene.
Conclusión
Contrariamente a las creencias populares, a menudo es más fácil hackear a las personas que al sendmail. También es más fácil educar a la gente en contra de este tipo de ataques que proteger un servidor UNIX. La conclusión sería que la ingeniería social es un grave problema fácil de prevenir.
De hecho, cualquiera puede ser un ingeniero social –todos los humanos disponemos de las herramientas necesarias–, por lo que el problema de la ingeniería social es aún más grave de lo que pueda parecer en un primer momento.
También, hay que reseñar que en España los ataques por ingeniería social son mucho menores en proporción que los que se producen en otros países tecnológicamente más avanzados como Estados Unidos o Alemania, en los que, obviamente, la seguridad ya forma una parte importante en el presupuesto anual de las empresas.
[Enlaces sobre seguridad]
-------------------------------------
rr.sans.org/social/social_list.php En la página del instituto y consorcio de seguridad internacional SANS se puede encontrar una gran fuente de información sobre la ingeniería social y sus consecuencias. Además existen documentos legales de qué hacer si se producen estos ataques.
info.astrian.net/jargon/terms/s/social_en gineering.html En uno de los documentos históricos usados por los hackers como fuente de inspiración también se puede ver el término ingeniería social.
heinekenteam.com.ar Página interesante relaccionada con el hacking de un grupo de seguridad de argentinos. Lo interesante es que está completamente en castellano y contiene muchos manuales y tutoriales, incluyendo de ingeniería social.
SirCam: un ejemplo de Ingeniería Social que ha engañado a 15.000 usuarios
-------------------------------------------------------------------------------------------------------
Un nuevo y claro ejemplo de ingeniería social ha dado la vuelta al mundo: la multitudinaria infección por el virus SirCam ha contagiado, sólo en España, a 15.000 empresas. Esta técnica, habitualmente empleada por los hackers para engañar a los usuarios, consiste en jugar con la psicología del receptor invitándole a abrir los correos electrónicos que llegan con un mensaje amable, erótico, humorístico o, simplemente, con elementos que despiertan su curiosidad.
Paradójicamente, en una época en la que prima la globalización y el trato impersonal a través del anonimato de la Red, los internautas han sido víctimas del SirCam gracias a un sencillo texto que invita a una relación cordial (“Hola, ¿cómo estás?”) y, además, prima la valiosa opinión del receptor del mensaje sobre un supuesto archivo, fichero o informe (“Te mando este archivo para que me des tu punto de vista”). Una despedida con una promesa (“Nos vemos pronto, gracias”) sirve de colofón a un correo electrónico que con sólo tres frases ha conseguido engañar a miles de usuarios, como lo hizo, hace un año, I Love You , con la particularidad de que este nuevo gusano es aún más peligroso.
Además, al ser SirCam un virus que se reenvía a la libreta de direcciones de correo electrónico, habitualmente éste código malicioso llega a los usuarios remitido por una persona conocida. La sencillez y habilidad con que ha sido pensada la táctica de infección de SirCam no sólo está repercutiendo en la concienciación, cada vez mayor, acerca de una correcta protección antivirus en los ordenadores, sino que está aumentando la desconfianza hacia las personas con las que normalmente se intercambia correo electrónico.
El objetivo destructivo del creador de este gusano no eran sólo los países de habla hispana, sino todo el mundo y para lograrlo, además de una versión en castellano, también se ha distribuido el texto del correo en inglés. De esta manera, mientras EE.UU esperaba la activación del Código Rojo, SirCam se expandía silenciosamente, llegando a todos los rincones del planeta.
En la práctica, los autores de virus emplean la Ingeniería Social para que sus creaciones se propaguen rápidamente. Para ello atraen la atención del usuario y consiguen que realice alguna acción (que, normalmente, consiste en abrir un fichero que es el que procede a realizar la infección), mediante variados trucos.
Otros ejemplos ampliamente conocidos son:
“AnnaKournikova” alias VBS/SST.A o “I-Worm/Lee.O” que intenta engañar al usuario haciéndole creer que ha recibido un fichero que contiene una fotografía de la tenista Anna Kournikova.
Trojan.Butano aprovecha la imagen del conocido locutor de radio José María García para esconder un programa que elimina todos los archivos existentes en el directorio raíz del disco duro.
VBS/Monopoly se autoenvía por correo electrónico en un mensaje que tiene como asunto “Bill Gates joke” (“Broma sobre Bill Gates”), y como cuerpo “Bill Gates is guilty of monopoly. Here is the proof.:” (“Bill Gates es culpable de Monopoly [Monopolio])”.
I-Worm/Pikachu se envía por correo electrónico en un mensaje cuyo asunto es “Pikachu Pokemon”, en clara referencia al popular personaje infantil de videojuegos y series de animación.
E-mail como arma de ingeniería social
-----------------------------------------------------
Uno de los métodos de ingeniería social usados más habitualmente es el correo electrónico. El correo electrónico es junto con la World Wide Web, una de las aplicaciones más conocidas de Internet, debido a esto, las potenciales víctimas están más familiarizadas con su uso y sus fallos de seguridad, esto también supone que cuando se extienden falsos rumores de virus como el archiconocido Good Times y similares, su repercusión es mucho mayor.
El envío de correo anónimo es posible, no mediante programas de Windows como el Anonymail y otros, que suelen mandar la dirección IP, sino a través de los remailers, encadenando 3 o 4 de ellos es posible obtener una buena dosis de anonimato. Para realizar una operación de ingeniera social se suele usar un remitente falso en lugar de anónimo (para parecer más creyente). El envío de correo falso (fake mail) también es algo muy conocido. Para realizarlo sólo hay que conectar a un servidor de correo de Internet por el puerto 25 (SMTP, el puerto donde corre el demonio de correo) y ejecutar las siguientes órdenes:
HELO: es el comando usado para identificarte ante la máquina, si responde mostrando el host es que ha le ha identificado.
MAIL FROM:usuario10@microsoft.com: la dirección del emisor, se puede poner cualquier cosa.
RCPT TO:admin@microsoft.com: ws la dirección del destinatario o persona que lo recibirá
DATA: texto del mensaje terminado con un punto (.) en una línea en blanco
Estimado administrador,
¿Sería tan amable de cambiar mi contraseña de acceso al sistema ya que tengo problemas al conectarme a mi cuenta con mi PDA que no acepta números en la contraseña? Si es posible use la clave: hack4u
Gracias.
Y así se envía un correo falso, la fiabilidad de este procedimiento es muy relativa ya que depende mucho de las versiones del demonio de correo, del sistema donde funcione, la existencia de firewalls intermedios, etc. De cualquier manera, el problema de esto no es enviar el correo sino donde recibirlo, por lo que muchas veces el mensaje incluye alguna orden explícita. Obviamente, si es falso no se puede recibir en la misma cuenta que se supone es la emisora. Si la víctima cree que el emisor del e-mail es una dirección en la que confía será mas propensa a ejecutar la acción solicitada.
Sergio Antolínez



Otras artículos de interés:

Sincronizar tus archivos locales con box.com - Debian - Ubuntu y Derivados
Ya hemos publicado como sincronizar nuestros archivos en la nube en Pcloud y Google Drive. Recuerda que tambien puedes hacerlos con Mega y Dropbox que ya treaen clientes linux bastante amigable. Por lo que ya no hay excusas para que pierdas tu dat...
Instalar fail2ban en centOS 6
Elige el repo de tu arquitectura: CentOS 6 32 bit: rpm -Uvh http://mirror.pnl.gov/epel//6/i386/epel-release-6-8.noarch.rpm CentOS 6 64 bit: rpm -Uvh http://mirror.us.leaseweb.net/epel/6/x86_...
errors /var/lib/dpkg/status Ubuntu y derivados
Error occurred while processing install-info (UsePackage2) o algun error similar del dpkg. Este es un error bastante común, ocurre usualmente cuando se instala un paquete y por alguna razón se daña alguna de...
Cómo CIFRAR una memoria USB (pendrive) con Ubuntu
Pasos a seguir 1. Instalar el paquete cryptsetup desde Synaptic o usando un terminal: sudo apt-get install cryptsetup 2. Insertá tu memoria USB. 3. Andá a Sistema > Administración >...
Mejorar rendimiento en Chrome / Chromium
Ojo: en algunos SO puede causar inestabilidad, pero puede ser facilmente restaraurados. Lea la acción que realiza cada tag, allí explican. Dicho esto: Abrimos Chrome | Chromium Escribir la barra de navegación: chrome://fla...
Monografía de Sistemas Operativos
Indice 1. Introducción 2. Tipos de Sistemas Operativos 3. Sistemas de Archivos 4. Administración de la Memoria 5. Administración de Procesos 6. Principios en el Manejo de Entrada - Salida 7. Núcleos de Sist...
Tip de mejora en Rendimiento de Ubuntu (I)
Hay muchas técnicas y recursos que permiten entonar o hacerle Tuning a nuestros sistema operativo, en este caso a UBUNTU y/o basados en en Debian. Hemos ido colocando algunos tips sencillos que cualquiera puede hacer, claro todos desde cons...
Código de salida de error 126 - Ubuntu - Linux Mint y Derivados
Este error ocurre cuando se rompe un paqueete y no se puede eliminar Si te aparece este error: dpkg: error al procesar ssh (--configure): el subproceso instalado el script post-installation devolvió el código de ...
Instalar thinkfan en Ubuntu | Linux Mint y derivados
Thinkfan es una pequeña aplicación que se usa para ajustar automáticamente los ventiladores, regular la potencia del ventilador (y reducir el ruido del portátil). Para su instalación realizamos los siguientes pasos: Abrimos c...
Activar la persistencia en Xanadu GNU/Linux
Desde el blog de la distribución Xanadu GNU/Linux indican como activar la persistencia de una forma bastante sencilla. Procedimiento: Una vez copiado el contenido de la ISO a una memoria USB con el comando dd....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • defender
  • empresa
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • social
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra