Human Hacking: ataques tecnológicos para vulnerabilidades no tecnológicas


Siendo estrictos, es preciso diferenciar cuándo un ataque de ingeniería social (en adelante IS) es puramente digital o clásico, para poder percibir la gravedad de la presente situación. Con clásico nos referimos a aquel ataque de IS que emplea los medios de comunicación para alcanzar su fin (sin usar la tecnología), y por tanto, necesita una interacción voluntaria por parte de la víctima.





En cambio, en los casos de IS digital, la interacción suele producirse de forma que la víctima no es consciente (la información que recibe no va destinada a interpretación o lectura), pues cabe la posibilidad de ser manipulado sin siquiera percibirlo, lo cual constituye una amenaza muy seria. Ambos son engaños que emplean el descuido como vía de explotación, aunque con sutiles diferencias.

Antes de continuar, debemos introducir algunos conceptos más para entender la complejidad del asunto. Generalmente, con el fin de proteger nuestra red empresarial, se emplean diversos dispositivos y software actualizado, tales como firewalls y antivirus (genéricamente hablando para simplificar la exposición). Esto quiere decir que si alguien trata de introducir amenazas previamente conocidas como un virus, un troyano o simplemente entrar por alguno de los puertos, no tendrá éxito porque tanto el firewall, que en nuestro hipotético caso sólo permite tráfico por el puerto 80, como el antivirus, están realizando correctamente su trabajo, es decir, la red está blindada.

Para poder burlar este blindaje, se emplean distintos métodos, por lo que nos encontramos con diversas amenazas, destacando las “Subversive Multivector Threats” o SMT que son tácticas de ataque que combinan procedimientos físicos con digitales (a diferencia de las famosas APT que son estrictamente digitales), es decir, son obras maestras del espionaje corporativo. El caso es que son frecuentes, si uno dedica tiempo a su detección y estudio, aunque como sucede con el cáncer, hay que estar muy atento. Sin embargo, el grado de atención requerido es muy alto a la par que caro, al menos, durante esta transición en la que aún no se percibe la realidad digital como parte de la realidad global (física + digital).

El caso, es que en el 99% de los cursos que se imparten por el mundo sobre Test de Intrusión (PenTest), se usa el ejemplo del coleccionista, para evidenciar la simplicidad con la que puede accederse a una red corporativa sin gran esfuerzo (tanto las SMT como las APT son altamente complejas y requieren gran esfuerzo). Aunque en la mayoría de las ocasiones, en auditoría se “procura” emplear la IS sólo como último recurso, instintivamente sabiendo que casi seguro que funcionará, pues hace falta que sólo un empleado caiga en la trampa.

Lo más curioso, es que no es necesario tener unos amplios conocimientos para lanzar ataques de IS digital. Para ello ya existe el Social-Engineer Toolkit más conocido como SET, que es un conjunto de herramientas especialmente diseñadas para realizar ataques de IS. En concreto, usando el modo “Tabnabbing” podemos enviar a una posible víctima un enlace que, a través del puerto 80, (recuerden que en nuestro ejemplo, siempre está abierto para tener acceso a Internet) inicia en nuestro navegador una página que tarda en cargar. La tónica general es abrir otra pestaña o cambiarnos a la anterior mientras carga la pendiente, y es en ese momento, cuando aparece una página clonada de Facebook, Gmail o cualquier otra que solicite credenciales de acceso (que es lo que generalmente se persigue con este método en concreto).

Si tuviéramos el descuido de iniciar sesión en esa pestaña, habríamos regalado al atacante nuestras credenciales secretas. Según todo lo anterior y en vista del gran despliegue de medios para blindar las redes corporativas, es preciso recomendar que se incida en la prevención de este tipo de ataques, si queremos que nuestra inversión en seguridad proporcione un ROI (retorno de inversión), ya que si contamos con la vanguardia en medidas de protección de intrusión, pero seguimos sin prestar atención al eslabón más débil (el hombre), las pérdidas, tanto en reputación como en ingresos efectivos, no serán sostenibles.

Un enfoque sencillo (explotar hábitos de navegación en este caso) facilita la vida al hackpirata informátcias. Ese mismo enfoque podría evitar la pérdida de muchos euros. No hay que invertir más, pero sí mejor.


Fuente:
Eduardo J Orenes Nicolás (CISSP / Security+ / eCPPT / ACE) Jefe del Gabinete Criptográfico y Coordinador de la Oficina de Seguridad de la Información de la Armada
http://www.csospain.es/



Otras noticias de interés:

Detección temprana de phishing y malware
Los casos de phishing se suelen ver habitualmente como un problema que atañe en primera instancia a la víctima (al usuario) y obviamente también a la reputación de la entidad suplantada. Sin embargo, hay un tercer actor implicado que podría “h...
Uso de documentos Word y Excel para robo de información sensible
Una funcionalidad incluida en Word y Excel puede ser empleada por un usuario malicioso para el robo de información sensible, especialmente en entornos donde se intercambian documentos de estas aplicaciones. Un usuario podrá enviar un documento a ot...
Fallo en mod_proxy Apache 2.x
Se ha publicado un fallo en el módulo 'mod_proxy' de Apache 2.x que podría permitir a un atacante obtener información sobre la red interna detrás de un servidor vulnerable....
Humillado Microsoft - Un grupo de desarrolladores de fuente abierta crea un parche para Microsoft
Un grupo de desarrolladores de software de fuente abierta ha publicado en su página web un parche para tapar un reciente agujero de seguridad que afecta a Internet Explorer (IE), el navegador web de Microsoft, y que permite falsificar páginas Web. ...
Síndrome del Ordenador
Afecta al 80% de los jóvenes en edad universitaria La era digital se caracteriza por la presencia de ordenadores en todos los ámbitos de la sociedad. Son parte esencial de la vida de muchos trabajadores y estudiantes. Y sin embargo, ...
Manifiesto por la Liberación de la cultura
Cultura: (Real academia de la Lengua Española) 2. f. Conjunto de conocimientos que permite a alguien desarrollar su juicio crítico. 3. f. Conjunto de modos de vida y costumbres, conocimientos y grado de desarrollo art...
FREESPIRE, La versión opensource de LINSPIRE
Es sin duda la noticia del mes. Linspire, el que sin duda es el mejor sistema operativo del mundo en el ámbito Linux, tendrá su propia versión open source, cuyo nombre oficial será Freespire. Así lo ha anunciado Kevin Carmony, Presidente y CEO d...
Firefox 4 llegó
Todos los sitios y usuarios de este formidable navegador estan publicitando por Twitter, Blog's sitios web, la llegada el tan esperado Firefox 4. Mozilla indica en su sitio que Firefox 4 brinda una experiencia de navegación rápida (6 veces más rá...
Un juzgado de Reus condena a 3 años de prisión a un «hacker» por descubrir infor
El Juzgado de lo Penal número 2 de Reus ha condenado a tres años de prisión a un joven, Joffre H.R., por un delito de descubrimiento de secreto de empresa, ya que utilizó datos confidenciales de la empresa para la que, según ha publicado el Diar...
Nueva Vulnerabilidad en MS- Internet Explorer (IE)
Se ha descubierto una nueva vulnerabilidad del navegador web Microsoft Internet Explorer que puede ser explotada para comprometer los sistemas de los usuarios. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • human
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • tecnologicas
  • tecnologicos
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra