Ingeniería social: el usuario es el eslabón débil


La ingeniería social es una práctica de cracking basada en el principio de que el eslabón débil de la seguridad informática son los propios usuarios, por lo que opta -en palabras del famoso diccionario hacker Jargon File- por -> aprovechar las debilidades de las personas y no de los programas: consiste en manipular a usuarios legítimos con el fin de obtener de ellos información confidencial, o bien para convencerlos de llevar a cabo alguna acción que comprometa la seguridad de su sistema.





Como explicaba una revista del entorno informático underground de finales de los 90 (RareGaZz): "Hay varias formas de IS: conseguir datos de alguien y llamar a su proveedor diciendo que has perdido la contraseña, o llamar al usuario diciendo que eres el proveedor. Un buen método es pedir la dirección a novatos y enviarles un correo diciendo que eres el administrador y necesitas sus datos”. Cuando se dice que el único modo de asegurar al 100% un computador es desconectándolo de Internet, los "ingenieros sociales" suelen contestar que no hay ningún equipo que no esté administrado por un ser humano, por lo que siempre queda la opción de manipular a éste para que lo conecte. De nuevo, el eslabón más débil.

Los ataques por ingeniería social son anteriores al mismo nacimiento de la World Wide Web (en los lejanos tiempos de las BBS y los módems, se utilizaba para llamar sin pagar) pero su popularidad no ha hecho más que crecer en los últimos tiempos, primero gracias a la adopción masiva del correo electrónico, y posteriormente a la de los chats y las redes sociales.

De Kevin Mitnick al Virus de la Policía

En palabras de uno de los más famosos hackers de la Historia, Kevin Mitnick, "una compañía puede gastar cientos de miles de dólares en cortafuegos, sistemas de encriptación y demás tecnologías de seguridad, pero si un atacante engaña a un empleado, todo ese dinero no habrá servido para nada”. Él también hizo uso de tácticas de ingeniería social (se contaba que únicamente el 15% final de su trabajo era delante del teclado) e incluso teorizó los cuatro principios en los que ésta se basa:

  • Todos queremos ayudar.
  • El instinto siempre es de confianza hacia los demás.
  • No nos gusta decir "No”.
  • A todos nos gusta que nos alaben.

Mitnick llegó a explicar sus tácticas en el propio Senado de EE UU: "Llamé a empleados y utilicé ingeniería social para conocer su sistema y los comandos de acceso a información protegida de un contribuyente. Cuando me familiaricé, fui capaz de engañar a otros, usando la información obtenida de los primeros para pretextar ser un compañero de trabajo con problemas. Tuve tanto éxito que pocas veces usé el computador”.

De este modo, prácticas ya famosas como el phishing bancario o las ‘estafas nigerianas‘ se aprovechan de nuestra psicología y nuestro desconocimiento técnico para conseguir nuestro dinero y/o nuestros datos sin necesidad de atacar nuestro sistema. En parte, también el "virus de la Policía” podría ser englobado en esta categoría aunque sí exista intromisión en nuestro sistema (ransomware que encripta parte de nuestros archivos), en tanto que convence al usuario de que no está pagando un rescate a criminales informáticos, sino una multa al Estado.

Fuente:
http://seguridad.ticbeat.com/ingenieria-social-usuario-como-eslabon-debil/



Otras noticias de interés:

Android y su SandBox
El aumento de aplicaciones maliciosas que han ido apareciendo para Android, (no solo en markets alternativos, sino también en el oficial) ha motivado la creación de la primera sandbox para Android....
¿DirectX 10, sólo para Windows Vista? Los usuarios de XP no podrán disfrutar del nuevo DirectX.
Según un alto cargo de ATI en el Reino Unido, Richard Huddy, el sistema operativo Windows Vista será el único compatible con DirectX 10, la próxima versión de estos controladores. ...
La última versión de Firefox para Windows no soluciona todas las vulnerabilidades que afirma corregir
La fundación Mozilla advirtió que la rama 2 de Firefox acababa con la versión 2.0.0.19. Esta sería la última en la que se solventarían vulnerabilidades. Sin embargo se ha visto obligada a lanzar urgentemente la versión 2.0.0.20 que corrige uno...
Vulnerabilidad en la utilidad "tcptraceroute" en Debian Linux
Se ha descubierto una vulnerabilidad en la utilidad tcptraceroute en Debian Linux 3.0. tcptraceroute no abandona los privilegios de root durante su ejecución, lo que podría ser explotado por un atacante para obtener dichos privilegios. ...
Cómo pasar de MS-Windows a GNU/Linux
En APC han publicado una completa guía en la que analizan cada una de las tareas diarias que un usuario de Windows realiza, y evalúan si esa misma tarea podría realizarse en Linux con mayor o menor eficiencia. El resultado es claro: pásate a Linu...
Redes neuronales artificiales
Existe actualmente una gran tendencia a establecer un nuevo campo de la computación que integraría los diferentes métodos de resolución de problemas que no pueden ser descritos fácilmente mediante un enfoque algorítmico tradicional. Estos méto...
Sistema GPS podría permitir pirateo
Una red wifi maliciosa podría hacer que los dispositivos informaran sobre sus movimientos futuros, y quizá espiar datos privados....
INTECO-CERT publica curso: Formación online sobre Firma Electrónica
INTECO amplía su oferta de formación online con la publicación del Curso de Introducción a la firma electrónica, está enfocado a todo tipo de usuarios....
Detenida una red de falsificación de sistemas Windows XP
La Brigada de Investigación Tecnológica de la Policía, en colaboración con Microsoft, ha desarrollado en San Sebastián una importante operación contra la piratería informática....
Los crackers MD5 más rápidos
Enlazan en Darknet una interesante estadística sobre la velocidad de ciertos productos a la hora de romper hashes MD5 por medio de fuerza bruta....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • debil
  • eslabon
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • social
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usuario
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra