Cómo defender a su empresa de la ingeniería social


La ingeniería social es una de las técnicas de hacking más antiguas de la informática –casi tanto como ella misma– con la que un hacker puede penetrar hasta en los sistemas más difíciles usando la vulnerabilidad más grave de todas: la humana.





Básicamente, la ingeniería social es el arte o ciencia de conseguir que las personas cumplan los deseos de otra. No es ningún tipo de magia ni nada por el estilo, se basa en lograr que los trabajadores realicen tareas típicas de su trabajo de una manera natural, y aunque pueda parecer algo raro, ésta es una de las técnicas favoritas de los hackers expertos para obtener información sobre un determinado objetivo o penetrar en sistemas informáticos.
Implica más que una simple llamada inocente con la que recabar información usando un tipo de acento vocal determinado. La ingeniería social implica una fase de trabajos a nivel más bajo (groundwork) para obtener la información necesaria, como el conocer los datos internos de la empresa, número de servidores, etc. Esto muchas veces se consigue entablando una conversación ridícula con los empleados que tienen acceso directo a los objetivos del atacante como se analizará a continuación (la mayoría del trabajo se encuentra en la preparación y no en la acción propiamente dicha).
Puede pensar que este artículo es simplemente una falsa excusa para demostrar como estas técnicas pueden ser usadas para realizar hacking, pero, en la realidad, la única forma de defenderse contra este tipo de ataques de seguridad es conociendo qué métodos pueden ser usados. Con estos conocimientos es posible prevenir brechas de seguridad en su empresa antes de que nadie pueda conseguir ningún dato confidencial.

La parte más delicada de la seguridad informática
Sin duda, la parte más delicada de la seguridad informática está representada por el factor humano más que por la aplicación de las medidas de seguridad habituales como aplicación de parches diarios o el uso de firewalls bien configurados. Es más, conviene recordar que el único ordenador seguro es el que no está encendido. De hecho, en este caso, ni siquiera la regla anterior tiene sentido, ya que un hacker puede ser capaz de persuadir a un empleado para que conecte el ordenador y luego poder realizar el tipo de intrusión necesario, todo esto usando sólo la ingeniería social.
Por ello, la parte humana de una cadena de seguridad es la más esencial. No existe ningún sistema informático que no dependa de humanos. Esto significa que esta vulnerbilidad es universal, independientemente de la plataforma, etc.
Toda persona con acceso físico a algún sistema crítico es potencialmente un problema de seguridad. Cualquier información dada puede ser usada contra una propia empresa. Sin ir más lejos, las personas que habitualmente no son consideradas parte de una política de seguridad pueden ser usadas para crear una brecha en su sistema.
En realidad este es un problema más grave de lo que se podría imaginar en un primer momento. Los expertos en seguridad normalmente no están preparados para actuar frente a estos casos de hacking, ya que no dependen directamente de las máquinas, si no de los humanos.

Métodos
El intento de procurar que una persona llegue a completar una acción por parte de otra puede suponer el uso de muchos métodos dispares, pero, el primero y el más obvio es una petición directa. Aunque esto en raras ocasiones funciona, es el método más utilizado debido a su sencillez, la persona debe saber perfectamente que es lo que se le está pidiendo.
La segunda forma es creando una situación comprometida en la cual la persona encargada esté simplemente involucrada en ella. Con más factores que simplemente realizar una petición, es más fácil persuadir a una persona ya que se pueden crear situaciones delicadas de las cuales prefieren procurar la información para no implicarse en ella. Esta fase requiere un conocimiento más exhaustivo de las costumbres y trabajo de la víctima.
Para realizar un ataque de ingeniería social, los hackers usan, normalmente, métodos de contacto impersonales (que no requieran un contacto físico o visual) como por ejemplo el teléfono o el e-mail (ver recuadro al final del artículo). Es más, son conocidos en la historia del hacking numerosas situaciones en las que un chico con menos de 16 años se ha hecho pasar por un adulto para conseguir información delicada como claves de acceso a sistemas informáticos.
Esto no quiere decir que no se usen métodos de contacto directo, en los que el ingeniero social habla cara a cara con la víctima con fines persuasivos. Pero ésta es, con diferencia, la opción mas difícil, y la mas arriesgada dentro de la ingeniería social, ya que para poder realizarla hay que contar con mucha sangre fría y un grado muy alto de conocimiento acerca del objetivo –ya sea una persona o una empresa–.
La principal diferencia con el resto de métodos, está obviamente en que la víctima te puede ver (no basta con colgar el teléfono).
Para llevar a cabo todo el proceso con éxito, los hackers cuidan hasta el mínimo detalle, tener razones y pruebas con las que poder apoyar sus peticiones. La única ventaja con la que cuenta el ingeniero social en estos casos es que al ser algo tan poco usual, nadie se lo espera. Un ejemplo de lo comentado, es hacerse pasar por un encuestador de algún tipo, con lo que ya existiría una razón para hacer preguntas.

Persuasión
Incluso en los casos en los que una persona está completamente segura de actuar de la manera correcta, es posible hacer que cambien su comportamiento natural usando la persuasión. Lo más habitual no es forzar a alguien a cumplir una orden, si no persuadir su voluntad para que cumpla con la petición.
Hay una sutil diferencia. Básicamente, el objetivo es simplemente guiado a través de una conducta habitual con la finalidad de que piense que tiene un control de la situación y que está usando ese poder para ayudar al atacante. Por ello, siempre se busca la cooperación entre atacante y víctima, lo que redunda en importantes factores que pueden incrementar o decrementar las oportunidades de un “ingeniero social”.
Habitualmente, los menores conflictos que se produzcan redundarán en mayores posibilidades de éxito en el ataque. Psicológicamente hablando, existen estudios que indican que las personas cumplirán una petición importante determinada si previamente han cumplido otra más insignificante, por eso el ingeniero social tratará siempre de camelar a la víctima para luego ir al grano (cuando ya se haya establecido un vínculo, por pequeño que sea). Esto se da de manifiesto al entablar una conversación (por cualquiera de los métodos) de interés general (por ejemplo: el fútbol, el último caso antimonopolio contra Microsoft, incluso, aunque suene contradictorio, la seguridad) con alguna persona involucrada indirectamente en el mantenimiento de los equipos informáticos. La técnica consiste simplemente en no llevarle la contra a la persona encargada y hacer que se sienta a gusto en la conversación, de este modo se persuade a la víctima para que en un futuro realice acciones en contra de los intereses de la empresa.
No hay que olvidar que la persuasión por sí misma no es razón suficiente para que la mayoría de la gente proporcione información que no debiera, por ello, muchas veces se utiliza la involucración como parte del compromiso. Es decir, si la persona / objetivo de un hacker está altamente involucrada con el sistema en cuestión, no bastaría para convencerle usar argumentos débiles, si no todo lo contrario, cuanto más se involucre a la víctima más posibilidades hay que coopere.

Protegerse de los ataques humanos
Con toda esta información, ¿cómo puede un administrador de sistema incrementar la seguridad de sus sistemas? El paso sin duda más importante –pero también el menos puesto en práctica– es hacer que la seguridad sea parte del trabajo diario de todo el personal, tanto si usan ordenadores como si no. Si, como administrador de sistemas –o de personal– consigue que sus empleados traten de mantener los ordenadores más seguros, posiblemente prestarán más atención si personal no autorizado pretende acceder a estos sistemas.
En cambio, la mejor defensa contra esto es muy sencilla: la educación. Explicando a todos los empleados la importancia de la seguridad informática y que existe gente preparada para intentar manipularles para conseguir acceso a los sistemas sería un buen primer paso. Simplemente, previniendo a la gente sobre posibles ataques futuros en contra de sus propios intereses hará que estén más despiertos, pero, como se ha dicho anteriormente es necesario formar a todo el personal. Imagínese que en horas fuera de trabajo en las que sólo se encuentra el personal de limpieza de la empresa llama alguien al teléfono que se hace pasar por un trabajador conocido; es este caso, un personal de limpieza sin adiestrar es muy posible que realice exactamente los pasos que el interlocutor le proporcione, ya que es sabido que la mala calidad de sonido de los teléfonos hace confundir las voces y ante la inseguridad o el temor de ser reprimidos, las personas ejecutarán la acción.
En general, este proceso de educación hará que la gente esté más preocupada en este problema. Además, cuesta muy poco trabajo educar al personal en comparación con la reducción de riesgos que se obtiene.

Conclusión
Contrariamente a las creencias populares, a menudo es más fácil hackear a las personas que al sendmail. También es más fácil educar a la gente en contra de este tipo de ataques que proteger un servidor UNIX. La conclusión sería que la ingeniería social es un grave problema fácil de prevenir.
De hecho, cualquiera puede ser un ingeniero social –todos los humanos disponemos de las herramientas necesarias–, por lo que el problema de la ingeniería social es aún más grave de lo que pueda parecer en un primer momento.
También, hay que reseñar que en España los ataques por ingeniería social son mucho menores en proporción que los que se producen en otros países tecnológicamente más avanzados como Estados Unidos o Alemania, en los que, obviamente, la seguridad ya forma una parte importante en el presupuesto anual de las empresas.


[Enlaces sobre seguridad]
-------------------------------------
rr.sans.org/social/social_list.php En la página del instituto y consorcio de seguridad internacional SANS se puede encontrar una gran fuente de información sobre la ingeniería social y sus consecuencias. Además existen documentos legales de qué hacer si se producen estos ataques.
info.astrian.net/jargon/terms/s/social_en gineering.html En uno de los documentos históricos usados por los hackers como fuente de inspiración también se puede ver el término ingeniería social.
heinekenteam.com.ar Página interesante relaccionada con el hacking de un grupo de seguridad de argentinos. Lo interesante es que está completamente en castellano y contiene muchos manuales y tutoriales, incluyendo de ingeniería social.


SirCam: un ejemplo de Ingeniería Social que ha engañado a 15.000 usuarios
-------------------------------------------------------------------------------------------------------
Un nuevo y claro ejemplo de ingeniería social ha dado la vuelta al mundo: la multitudinaria infección por el virus SirCam ha contagiado, sólo en España, a 15.000 empresas. Esta técnica, habitualmente empleada por los hackers para engañar a los usuarios, consiste en jugar con la psicología del receptor invitándole a abrir los correos electrónicos que llegan con un mensaje amable, erótico, humorístico o, simplemente, con elementos que despiertan su curiosidad.

Paradójicamente, en una época en la que prima la globalización y el trato impersonal a través del anonimato de la Red, los internautas han sido víctimas del SirCam gracias a un sencillo texto que invita a una relación cordial (“Hola, ¿cómo estás?”) y, además, prima la valiosa opinión del receptor del mensaje sobre un supuesto archivo, fichero o informe (“Te mando este archivo para que me des tu punto de vista”). Una despedida con una promesa (“Nos vemos pronto, gracias”) sirve de colofón a un correo electrónico que con sólo tres frases ha conseguido engañar a miles de usuarios, como lo hizo, hace un año, I Love You , con la particularidad de que este nuevo gusano es aún más peligroso.
Además, al ser SirCam un virus que se reenvía a la libreta de direcciones de correo electrónico, habitualmente éste código malicioso llega a los usuarios remitido por una persona conocida. La sencillez y habilidad con que ha sido pensada la táctica de infección de SirCam no sólo está repercutiendo en la concienciación, cada vez mayor, acerca de una correcta protección antivirus en los ordenadores, sino que está aumentando la desconfianza hacia las personas con las que normalmente se intercambia correo electrónico.
El objetivo destructivo del creador de este gusano no eran sólo los países de habla hispana, sino todo el mundo y para lograrlo, además de una versión en castellano, también se ha distribuido el texto del correo en inglés. De esta manera, mientras EE.UU esperaba la activación del Código Rojo, SirCam se expandía silenciosamente, llegando a todos los rincones del planeta.
En la práctica, los autores de virus emplean la Ingeniería Social para que sus creaciones se propaguen rápidamente. Para ello atraen la atención del usuario y consiguen que realice alguna acción (que, normalmente, consiste en abrir un fichero que es el que procede a realizar la infección), mediante variados trucos.

Otros ejemplos ampliamente conocidos son:
“AnnaKournikova” alias VBS/SST.A o “I-Worm/Lee.O” que intenta engañar al usuario haciéndole creer que ha recibido un fichero que contiene una fotografía de la tenista Anna Kournikova.
Trojan.Butano aprovecha la imagen del conocido locutor de radio José María García para esconder un programa que elimina todos los archivos existentes en el directorio raíz del disco duro.
VBS/Monopoly se autoenvía por correo electrónico en un mensaje que tiene como asunto “Bill Gates joke” (“Broma sobre Bill Gates”), y como cuerpo “Bill Gates is guilty of monopoly. Here is the proof.:” (“Bill Gates es culpable de Monopoly [Monopolio])”.
I-Worm/Pikachu se envía por correo electrónico en un mensaje cuyo asunto es “Pikachu Pokemon”, en clara referencia al popular personaje infantil de videojuegos y series de animación.


E-mail como arma de ingeniería social
-----------------------------------------------------
Uno de los métodos de ingeniería social usados más habitualmente es el correo electrónico. El correo electrónico es junto con la World Wide Web, una de las aplicaciones más conocidas de Internet, debido a esto, las potenciales víctimas están más familiarizadas con su uso y sus fallos de seguridad, esto también supone que cuando se extienden falsos rumores de virus como el archiconocido Good Times y similares, su repercusión es mucho mayor.

El envío de correo anónimo es posible, no mediante programas de Windows como el Anonymail y otros, que suelen mandar la dirección IP, sino a través de los remailers, encadenando 3 o 4 de ellos es posible obtener una buena dosis de anonimato. Para realizar una operación de ingeniera social se suele usar un remitente falso en lugar de anónimo (para parecer más creyente). El envío de correo falso (fake mail) también es algo muy conocido. Para realizarlo sólo hay que conectar a un servidor de correo de Internet por el puerto 25 (SMTP, el puerto donde corre el demonio de correo) y ejecutar las siguientes órdenes:

HELO: es el comando usado para identificarte ante la máquina, si responde mostrando el host es que ha le ha identificado.
MAIL FROM:usuario10@microsoft.com: la dirección del emisor, se puede poner cualquier cosa.
RCPT TO:admin@microsoft.com: ws la dirección del destinatario o persona que lo recibirá
DATA: texto del mensaje terminado con un punto (.) en una línea en blanco

Estimado administrador,
¿Sería tan amable de cambiar mi contraseña de acceso al sistema ya que tengo problemas al conectarme a mi cuenta con mi PDA que no acepta números en la contraseña? Si es posible use la clave: hack4u
Gracias.

Y así se envía un correo falso, la fiabilidad de este procedimiento es muy relativa ya que depende mucho de las versiones del demonio de correo, del sistema donde funcione, la existencia de firewalls intermedios, etc. De cualquier manera, el problema de esto no es enviar el correo sino donde recibirlo, por lo que muchas veces el mensaje incluye alguna orden explícita. Obviamente, si es falso no se puede recibir en la misma cuenta que se supone es la emisora. Si la víctima cree que el emisor del e-mail es una dirección en la que confía será mas propensa a ejecutar la acción solicitada.

Sergio Antolínez



Otras noticias de interés:

IBM cede código de Lotus Symphony para OpenOffice
La suerte no ha abandonado por completo al proyecto OpenOffice después de que Oracle lo donase a la Fundación Apache para el software, pues ahora es IBM quien contribuirá con éste proyecto donando el código de Lotus Symphony para OpenOffice, una...
Actualización de PostgreSQL por vulnerabilidad
Se ha publicado una actualización del gestor de bases de datos PostgreSQL destinada a evitar una vulnerabilidad que podría permitir a un usuario remoto la inyección de comandos SQL....
IBM desarrolla MAGEN para ocultar los datos confidenciales
La solución permite ocultar información confidencial que habitualmente es revelada a los teleoperadores de empresas de outsourcing....
Tres troyanos -Esepor.A, Mafia.A y la variante "K" de Istba, ademas el Logpole.
Esepor.A es un troyano que llega al ordenador en un fichero denominado TMKSRVL.EXE. Una vez ejecutado, comprueba si hay disponible una conexión a Internet y, si la hay, descarga y ejecuta automáticamente el archivo XPINSTALL.EXE. Éste crea y regis...
Encuentran la primera vulnerabilidad en Firefox 3
Cinco horas después de que Mozilla lanzara oficialmente Firefox 3.0, investigadores encontraron una vulnerabilidad en el nuevo navegador....
Las Mac son más económicas que los PC
Nueva investigación de la consultora Gartner concluye que las empresas pueden ahorrar fuertes sumas al invertir en computadores Macintosh. ...
Hackeado Google Pack
Poco despues de la aparición de Google Pack, ya algunos hackers han publicado los binarios correspondientes a Google Screensaver que nos permite bajárnoslo e instalarlos como cualquier otro salvapantallas de los que tenemos ...
La UE quiere que los ciberdelitos sean castigados
El Comité de Libertades Civiles de la Unión Europea pretende armonizar las penas por delitos informáticos. Así, acaba de aprobar una propuesta que pretende que los ciberdelitos tengan una pena de al menos dos años de prisión. Ahora, un comité ...
Elevación de privilegios en Microsoft Windows
Por un error de diseño, Microsoft Windows es susceptible a una debilidad que puede permitir a un atacante obtener privilegios elevados. Este problema se debe a la habilidad de los servicios para imitar a los clientes después que ellos han sido ...
Internet está dañando nuestro cerebro
Nicholas Carr, antiguo editor de Harvard Bussines Review y reconocido blogger, vuelve a estar en el foco de la polémica con el nuevo ensayo que ha publicado: The Shalow: qué está haciendo Internet con nuestro cerebro. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • defender
  • empresa
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • social
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra