Ingeniería Social: Como funciona?


¿Qué táctica es la que mejor funciona para un ingeniero social del engaño? ¿Actuar como una figura de autoridad y pedir a la víctima que responda a algunas preguntas y revele información confidencial? ¿O actuar como una persona simpática y confiable que comienza una conversación amigable, y simplemente necesita que la víctima le diga algunas cosas para ayudarla?






Esa fue la pregunta que el equipo detrás del sitio web social-engineer.org realizó. Ellos acaban de publicar los resultados de una prolongada encuesta –su realización tomó meses– que presentó dos escenarios diferentes sobre cómo un ingeniero social podría intentar obtener información de una víctima.

El primero mostraba una conversación agradable y cómo ésta podía ser utilizada por un ingeniero social malicioso. El ejemplo dado fue el de un ingeniero social que intenta que unos extraños se unan a él en una conversación muy personal, realizando poco esfuerzo. Vestido en forma muy casual, utilizó un accesorio con el que pensó que atraería a las personas hacia él: un pequeño aviso con un slogan muy gracioso. Al caminar, tomando la apariencia de un turista gracias a este accesorio, pudo entablar conversaciones con las personas.

“El hecho es que nos gusta tratar con personas que son como nosotros, pero nos gusta aún más tratar con personas a las que les GUSTAMOS”, sostuvo Christopher Hadnagy, fundador de social-engineer.org y autor de Social engineering: The art of human hacking.

La conversación agradable hace que una persona sienta que le gustas y, a su vez, que tú le gustes.

La segunda historia es la de un ingeniero social que emplea el principio de autoridad. Esta persona ingresa a la oficina con herramientas de TI y una tablilla con sujetapapeles en la que se ve que se encuentra muy ocupado. Luego dirigiéndose a la secretaria, alza la voz y dice “me enviaron para revisar su conectividad de red y no tengo tiempo porque tengo que hacer lo mismo en otros 25 nodos. Necesito que se identifique en su red con su contraseña mientras veo para confirmar que se puede conectar”.

“Esto funciona porque las personas tienen miedo de perder sus trabajos y no hay métodos para que un empleado rechace un pedido así sin algún grado de temor”, explica Hadnagy. “Otros métodos, como llevar estas tablillas, parecer ocupado o tener el control, todos éstos le dan a uno un aire de autoridad que pocas personas cuestionarían”.

Los dos escenarios fueron presentados con una tercera opción que ninguno de ellos usaría.

La conversación agradable resultó ser la ganadora entre los encuestados. Fue escogida por más de la mitad de los muchos miles que respondieron la encuesta, indicó Hadnagy.

“Nosotros pensábamos que la mayoría escogería la autoridad, pero, de hecho, concordamos en que la conversación agradable funciona en más casos que la autoridad”, sostuvo Hadnagy en una sinopsis de los resultados. “Una simple palabra o acción que puede hacer que uno sienta que te preocupas por él o ella, puede ayudar bastante a construir una comunicación, confianza y relación que hará que la persona quiera darle la información que busca”.

Cuando los resultados se desagregan por género, la conversación amigable aún se mantiene en el primer puesto entre hombres y mujeres, aunque la autoridad se encontraba muy atrás en el caso de los varones. Muchas más mujeres que hombres señalaron que consideraban que la autoridad era una poderosa técnica de ingeniería social.
Hadnagy afirma que los resultados de la encuesta refuerza la concepción de que los seres humanos son criaturas naturalmente confiables. Pero es esa actitud de confianza la que ha llevado a muchos a ser víctimas de hacking.

“No estamos diciendo que no confiemos en nadie, sino que pensemos en forma más crítica”, sostuvo Hadnagy. “Las solicitudes que se le hacen, las preguntas que se le hacen, ¿tienen sentido? ¿Es realmente necesario responder a estas preguntas? El pensamiento crítico puede ayudar. En segundo lugar, obtenga información. Esté al tanto de los vectores de ataque que se están utilizando y aprenda como son utilizados. Eso lo mantendrá alerta”.

Fuente:
Joan Goodchild, CSO (US)
http://cioperu.pe/



Otras noticias de interés:

10 errores típicos de las empresas en materia de seguridad
No cabe duda de que en los últimos años hemos avanzado mucho en Seguridad de la Información. ...
Otra vulnerabilidad en Firefox 3.5 sin parche disponible
Si hace apenas cuatro días hablábamos de una vulnerabilidad grave en Firefox 3.5, resuelta en la versión en desarrollo, pero que tardó un par de días en solventarse en la versión estable, ahora se ha detectado otra vulnerabilidad crítica no ex...
eEye publica un parche “temporal” para la última vulnerabilidad de IE
El fallo de seguridad descubierto la semana pasada en Internet Explorer (IE) está siendo ya explotado en cientos de sitios Web. Microsoft espera publicar el parche el 11 de abril, o incluso antes, pero, mientras tanto, el suministrador de seguridad ...
Cross-Site Scripting a través de Outlook Web Access en Exchange Server
Dentro del conjunto de boletines de seguridad de junio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se encuentra el anuncio (en el boletín MS08-039) de una actualización para Exchange Server que solventa dos vulnerab...
Virus y grupos de noticias
Las news, o grupos de noticias, son foros en Internet que tratan sobre multitud de temas distintos y en los que los usuarios exponen sus dudas, problemas o respuestas para que sean leídas por el resto de participantes. Junto a su utilidad se encu...
Boletines de seguridad de Microsoft en abril
Este martes Microsoft ha publicado seis boletines de seguridad (del MS12-023 al MS12-028) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel de gravedad cr...
Facebook combate las estafas online
La red social es uno de los blancos más frecuentes de phishing. Para erradicarlo, lanzó una dirección de correo electrónico para que puedan reportarse amenazas o intentos de ataque....
Facebook y Twitter nulos en seguridad, según Digital Society
Digital Society, think tank especializado en seguridad, otorga bajos niveles de seguridad tanto a Twitter como a Fecebook. Ambos sitios son vulnerables a ataques que pueden dar a los atacantes un control parcial o total sobre las cuentas de los usuar...
Xbox hackeado!
Un estudiante del Massachusetts Institute of Technology (MIT) alega haber descubierto una manera de evadir seguridades instaladas en la consola de juegos de video Xbox, permitiendole cargar cualquier software que quiera. En el articulo encontrado en ...
Como averiguar la contraseña de un correo
A continuación explico varias formas para conseguir la contraseña de Hotmail de tus amigos. Estos métodos son efectivos, actualizados y funcionan perfectamente. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • funciona
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • social
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra