Ingeniería Social: Como funciona?


¿Qué táctica es la que mejor funciona para un ingeniero social del engaño? ¿Actuar como una figura de autoridad y pedir a la víctima que responda a algunas preguntas y revele información confidencial? ¿O actuar como una persona simpática y confiable que comienza una conversación amigable, y simplemente necesita que la víctima le diga algunas cosas para ayudarla?






Esa fue la pregunta que el equipo detrás del sitio web social-engineer.org realizó. Ellos acaban de publicar los resultados de una prolongada encuesta –su realización tomó meses– que presentó dos escenarios diferentes sobre cómo un ingeniero social podría intentar obtener información de una víctima.

El primero mostraba una conversación agradable y cómo ésta podía ser utilizada por un ingeniero social malicioso. El ejemplo dado fue el de un ingeniero social que intenta que unos extraños se unan a él en una conversación muy personal, realizando poco esfuerzo. Vestido en forma muy casual, utilizó un accesorio con el que pensó que atraería a las personas hacia él: un pequeño aviso con un slogan muy gracioso. Al caminar, tomando la apariencia de un turista gracias a este accesorio, pudo entablar conversaciones con las personas.

“El hecho es que nos gusta tratar con personas que son como nosotros, pero nos gusta aún más tratar con personas a las que les GUSTAMOS”, sostuvo Christopher Hadnagy, fundador de social-engineer.org y autor de Social engineering: The art of human hacking.

La conversación agradable hace que una persona sienta que le gustas y, a su vez, que tú le gustes.

La segunda historia es la de un ingeniero social que emplea el principio de autoridad. Esta persona ingresa a la oficina con herramientas de TI y una tablilla con sujetapapeles en la que se ve que se encuentra muy ocupado. Luego dirigiéndose a la secretaria, alza la voz y dice “me enviaron para revisar su conectividad de red y no tengo tiempo porque tengo que hacer lo mismo en otros 25 nodos. Necesito que se identifique en su red con su contraseña mientras veo para confirmar que se puede conectar”.

“Esto funciona porque las personas tienen miedo de perder sus trabajos y no hay métodos para que un empleado rechace un pedido así sin algún grado de temor”, explica Hadnagy. “Otros métodos, como llevar estas tablillas, parecer ocupado o tener el control, todos éstos le dan a uno un aire de autoridad que pocas personas cuestionarían”.

Los dos escenarios fueron presentados con una tercera opción que ninguno de ellos usaría.

La conversación agradable resultó ser la ganadora entre los encuestados. Fue escogida por más de la mitad de los muchos miles que respondieron la encuesta, indicó Hadnagy.

“Nosotros pensábamos que la mayoría escogería la autoridad, pero, de hecho, concordamos en que la conversación agradable funciona en más casos que la autoridad”, sostuvo Hadnagy en una sinopsis de los resultados. “Una simple palabra o acción que puede hacer que uno sienta que te preocupas por él o ella, puede ayudar bastante a construir una comunicación, confianza y relación que hará que la persona quiera darle la información que busca”.

Cuando los resultados se desagregan por género, la conversación amigable aún se mantiene en el primer puesto entre hombres y mujeres, aunque la autoridad se encontraba muy atrás en el caso de los varones. Muchas más mujeres que hombres señalaron que consideraban que la autoridad era una poderosa técnica de ingeniería social.
Hadnagy afirma que los resultados de la encuesta refuerza la concepción de que los seres humanos son criaturas naturalmente confiables. Pero es esa actitud de confianza la que ha llevado a muchos a ser víctimas de hacking.

“No estamos diciendo que no confiemos en nadie, sino que pensemos en forma más crítica”, sostuvo Hadnagy. “Las solicitudes que se le hacen, las preguntas que se le hacen, ¿tienen sentido? ¿Es realmente necesario responder a estas preguntas? El pensamiento crítico puede ayudar. En segundo lugar, obtenga información. Esté al tanto de los vectores de ataque que se están utilizando y aprenda como son utilizados. Eso lo mantendrá alerta”.

Fuente:
Joan Goodchild, CSO (US)
http://cioperu.pe/



Otras noticias de interés:

La privacidad en Internet será un derecho
Expertos y autoridades de 25 agencias de protección de datos, reunidosel 16/04/2010 en Granada, han puesto las bases de lo que será una carta de derechos de privacidad en Internet. En la reunión se han presentado una serie de conclusiones que, una...
ISS desvela una vulnerabilidad en Sendmail
El equipo de investigación y desarrollo X-Force de Internet Security Systems ha descubierto una seria vulnerabilidad en el software de servidor SMTP Sendmail....
Cómo descargar vídeos de Yahoo! Launch
A continuación expondremos un pequeño tutorial multiplataforma para descargar vídeos de Yahoo! Launch (tanto del sitio español como del internacional)....
Robando información, con la fotocopiadora
Una forma de hacerlo sería entrar a una oficina, tomar algunos documentos y hacer copias, luego dejar todo en su lugar. Pero hay otro método menos arriesgado......
Oracle descuida la seguridad de su base de datos
La capacidad de Oracle para cubrir las vulnerabilidades en sus tecnologías principales de base de datos podría haberse visto reducida por la gran cantidad de productos que la compañía tiene ahora que gestionar, según algunos expertos en segurida...
Concepto interesante: Malware en Texto Plano
Como sabemos los creadores de códigos maliciosos inventan día a día nuevas formas de propagación e infección para sus amenazas. La mayoría del malware que vemos en la actualidad esta orientado a la búsqueda de un beneficio económico para su c...
Macromedia avisa de otro problema crítico en el reproductor Flash
Macromedia ha publicado un aviso indicando la existencia de una vulnerabilidad de seguridad crítica en la versión 6 del reproductor Flash (que se estima está instalado en el 75% de los ordenadores existentes en todo el mundo con capacidad de conex...
Conexiones de Cobre Para Mejorar el Hardware de Ordenadores
A medida que los ordenadores se vuelven más complicados, se incrementa la demanda de más conexiones entre los chips y la circuitería externa, como por ejemplo entre la placa madre y una tarjeta inalámbrica. Y al volverse más avanzados los circui...
Conversión batch a PDF desde OpenOffice.org
Es posible que en ocasiones se te plantee este problema: debes convertir a formato PDF los 80 documentos que tienes en cierto directorio....
Apple presenta un parche que permite usar Windows en los Macs
Apple Computer, el fabricante de los ordenadores Macintosh y de los reproductores de música iPod, ha presentado un parche de software que permite por primera vez el uso del sistema operativo de Microsoft Windows en sus ordenadores, una maniobra que ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • funciona
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • social
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra