Human Hacking: ataques tecnológicos para vulnerabilidades no tecnológicas


Siendo estrictos, es preciso diferenciar cuándo un ataque de ingeniería social (en adelante IS) es puramente digital o clásico, para poder percibir la gravedad de la presente situación. Con clásico nos referimos a aquel ataque de IS que emplea los medios de comunicación para alcanzar su fin (sin usar la tecnología), y por tanto, necesita una interacción voluntaria por parte de la víctima.





En cambio, en los casos de IS digital, la interacción suele producirse de forma que la víctima no es consciente (la información que recibe no va destinada a interpretación o lectura), pues cabe la posibilidad de ser manipulado sin siquiera percibirlo, lo cual constituye una amenaza muy seria. Ambos son engaños que emplean el descuido como vía de explotación, aunque con sutiles diferencias.

Antes de continuar, debemos introducir algunos conceptos más para entender la complejidad del asunto. Generalmente, con el fin de proteger nuestra red empresarial, se emplean diversos dispositivos y software actualizado, tales como firewalls y antivirus (genéricamente hablando para simplificar la exposición). Esto quiere decir que si alguien trata de introducir amenazas previamente conocidas como un virus, un troyano o simplemente entrar por alguno de los puertos, no tendrá éxito porque tanto el firewall, que en nuestro hipotético caso sólo permite tráfico por el puerto 80, como el antivirus, están realizando correctamente su trabajo, es decir, la red está blindada.

Para poder burlar este blindaje, se emplean distintos métodos, por lo que nos encontramos con diversas amenazas, destacando las “Subversive Multivector Threats” o SMT que son tácticas de ataque que combinan procedimientos físicos con digitales (a diferencia de las famosas APT que son estrictamente digitales), es decir, son obras maestras del espionaje corporativo. El caso es que son frecuentes, si uno dedica tiempo a su detección y estudio, aunque como sucede con el cáncer, hay que estar muy atento. Sin embargo, el grado de atención requerido es muy alto a la par que caro, al menos, durante esta transición en la que aún no se percibe la realidad digital como parte de la realidad global (física + digital).

El caso, es que en el 99% de los cursos que se imparten por el mundo sobre Test de Intrusión (PenTest), se usa el ejemplo del coleccionista, para evidenciar la simplicidad con la que puede accederse a una red corporativa sin gran esfuerzo (tanto las SMT como las APT son altamente complejas y requieren gran esfuerzo). Aunque en la mayoría de las ocasiones, en auditoría se “procura” emplear la IS sólo como último recurso, instintivamente sabiendo que casi seguro que funcionará, pues hace falta que sólo un empleado caiga en la trampa.

Lo más curioso, es que no es necesario tener unos amplios conocimientos para lanzar ataques de IS digital. Para ello ya existe el Social-Engineer Toolkit más conocido como SET, que es un conjunto de herramientas especialmente diseñadas para realizar ataques de IS. En concreto, usando el modo “Tabnabbing” podemos enviar a una posible víctima un enlace que, a través del puerto 80, (recuerden que en nuestro ejemplo, siempre está abierto para tener acceso a Internet) inicia en nuestro navegador una página que tarda en cargar. La tónica general es abrir otra pestaña o cambiarnos a la anterior mientras carga la pendiente, y es en ese momento, cuando aparece una página clonada de Facebook, Gmail o cualquier otra que solicite credenciales de acceso (que es lo que generalmente se persigue con este método en concreto).

Si tuviéramos el descuido de iniciar sesión en esa pestaña, habríamos regalado al atacante nuestras credenciales secretas. Según todo lo anterior y en vista del gran despliegue de medios para blindar las redes corporativas, es preciso recomendar que se incida en la prevención de este tipo de ataques, si queremos que nuestra inversión en seguridad proporcione un ROI (retorno de inversión), ya que si contamos con la vanguardia en medidas de protección de intrusión, pero seguimos sin prestar atención al eslabón más débil (el hombre), las pérdidas, tanto en reputación como en ingresos efectivos, no serán sostenibles.

Un enfoque sencillo (explotar hábitos de navegación en este caso) facilita la vida al hackpirata informátcias. Ese mismo enfoque podría evitar la pérdida de muchos euros. No hay que invertir más, pero sí mejor.


Fuente:
Eduardo J Orenes Nicolás (CISSP / Security+ / eCPPT / ACE) Jefe del Gabinete Criptográfico y Coordinador de la Oficina de Seguridad de la Información de la Armada
http://www.csospain.es/



Otras noticias de interés:

Se detecta el primer virus parlante
Se ha detectado el primer virus que es capaz de hablar al usuario de Windows infectado. Utilizando una de las características incrustadas en el sistema de Microsoft, el virus bautizado como Amus, es capaz de hablar al usuario haciendo uso de los a...
Vulnerabilidades en DRUPAL : SQL Injection y Ejecución de archivos en forma arbitraria
Secunia.com ha informado de 2 vulnerabilidades que afectan al conocido CMS (Control Manager System) denominado DRUPAL ...
Fallos en un cortafuegos anunciado como "inhackeable"
Les llevó sólo una mañana romper el firewall. Dos analistas informáticos de Barcelona encontraron fallos irreversibles en AlphaShield, cortafuegos para líneas ADSL, 100% inhackeable o le devolvemos su dinero, según su publicidad. El verano pa...
Microsoft repite parche de seguridad para Windows XP
Quizás algunos usuarios (según la configuración utilizada), se preguntaron porque volvió a aparecer el icono de nuevas actualizaciones de Windows en su PC, apenas una semana y un par de días después de que los parches del mes fueron instalados....
¿Está el sistema de patentes matando la innovación en tecnología?
Las continuas guerras de patentes y licencias en el mundo tech levantan críticas hacia un sistema que muchos aseguran que está roto....
Jarro Negro 0.0.1, la primera distribución Linux Mexicana
Armando Rodriguez Arguijo informo que el pasado 16 de Septiembre se liberó la primera versión de JarroNegro GNOME 0.0.1, la primera distribución GNU/Linux mexicana hasta donde tenemos noticias. ...
Boletines de seguridad de Microsoft en noviembre
Este martes pasado Microsoft ha publicado seis boletines de seguridad (del MS09-063 al MS09-068) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de graveda...
Kazoa, un gusano para la herramienta de intercambio de ficheros Kazaa
Kazoa, diseñado para propagarse utilizando la popular aplicación para intercambio de ficheros Kazaa. Para ello, el gusano tiene la capacidad de disfrazarse utilizando como señuelo los nombres de conocidos juegos de ordenador...
Se vislumbra la muerte del mp3 !!!
El tan celebrado formato de archivo de música llamado mp3, podría estar llegando a su fin. Esto es al menos lo que afirman los fanáticos de la calidad audiófila de música digital....
Administradores de sistemas y actualizaciones
Un reciente estudio -del que se ha hecho eco News.com- desvela que los administradores de redes no actualizan los sistemas con la celeridad adecuada. El informe, que ha sido realizado por el consultor Eric Rescorla y se encuentra publicado en http://...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • human
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • tecnologicas
  • tecnologicos
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra