Ingeniería social: el usuario es el eslabón débil


La ingeniería social es una práctica de cracking basada en el principio de que el eslabón débil de la seguridad informática son los propios usuarios, por lo que opta -en palabras del famoso diccionario hacker Jargon File- por -> aprovechar las debilidades de las personas y no de los programas: consiste en manipular a usuarios legítimos con el fin de obtener de ellos información confidencial, o bien para convencerlos de llevar a cabo alguna acción que comprometa la seguridad de su sistema.





Como explicaba una revista del entorno informático underground de finales de los 90 (RareGaZz): "Hay varias formas de IS: conseguir datos de alguien y llamar a su proveedor diciendo que has perdido la contraseña, o llamar al usuario diciendo que eres el proveedor. Un buen método es pedir la dirección a novatos y enviarles un correo diciendo que eres el administrador y necesitas sus datos”. Cuando se dice que el único modo de asegurar al 100% un computador es desconectándolo de Internet, los "ingenieros sociales" suelen contestar que no hay ningún equipo que no esté administrado por un ser humano, por lo que siempre queda la opción de manipular a éste para que lo conecte. De nuevo, el eslabón más débil.

Los ataques por ingeniería social son anteriores al mismo nacimiento de la World Wide Web (en los lejanos tiempos de las BBS y los módems, se utilizaba para llamar sin pagar) pero su popularidad no ha hecho más que crecer en los últimos tiempos, primero gracias a la adopción masiva del correo electrónico, y posteriormente a la de los chats y las redes sociales.

De Kevin Mitnick al Virus de la Policía

En palabras de uno de los más famosos hackers de la Historia, Kevin Mitnick, "una compañía puede gastar cientos de miles de dólares en cortafuegos, sistemas de encriptación y demás tecnologías de seguridad, pero si un atacante engaña a un empleado, todo ese dinero no habrá servido para nada”. Él también hizo uso de tácticas de ingeniería social (se contaba que únicamente el 15% final de su trabajo era delante del teclado) e incluso teorizó los cuatro principios en los que ésta se basa:

  • Todos queremos ayudar.
  • El instinto siempre es de confianza hacia los demás.
  • No nos gusta decir "No”.
  • A todos nos gusta que nos alaben.

Mitnick llegó a explicar sus tácticas en el propio Senado de EE UU: "Llamé a empleados y utilicé ingeniería social para conocer su sistema y los comandos de acceso a información protegida de un contribuyente. Cuando me familiaricé, fui capaz de engañar a otros, usando la información obtenida de los primeros para pretextar ser un compañero de trabajo con problemas. Tuve tanto éxito que pocas veces usé el computador”.

De este modo, prácticas ya famosas como el phishing bancario o las ‘estafas nigerianas‘ se aprovechan de nuestra psicología y nuestro desconocimiento técnico para conseguir nuestro dinero y/o nuestros datos sin necesidad de atacar nuestro sistema. En parte, también el "virus de la Policía” podría ser englobado en esta categoría aunque sí exista intromisión en nuestro sistema (ransomware que encripta parte de nuestros archivos), en tanto que convence al usuario de que no está pagando un rescate a criminales informáticos, sino una multa al Estado.

Fuente:
http://seguridad.ticbeat.com/ingenieria-social-usuario-como-eslabon-debil/



Otras noticias de interés:

Malware que sobrevive a formateos, vive en la BIOS
Un par de investigadores argentinos, Alfredo Ortega y Anibal Sacco, han encontrado una manera de realizar un ataque malware a nivel BIOS que puede sobrevivir al formateo del disco duro de un computador....
Dick Costolo: es una estupidez apagar por la SOPA
Leo con incredulidad que el CEO de Twitter Dick Costolo haya dicho: es una estupidez cerrar una plataforma global en reacción a una legislación nacional....
Dispositivos de #Apple no son inmunes frente al malware
El popular investigador en seguridad y criptografía, Bruce Schneier, ha declarado que a pesar de la rigida política de Apple en su tienda de aplicaciones, sus aparatos móviles no se libran de ser objeto de ataques....
Ejecución Automática del CD-ROM y Modificación de la contraseña del salvapantallas.
Mariano escribio: En esta nota vamos a hablar de como aprovecharnos de la Ejecución Automática del CD-ROM y como modoficar la contraseña del Salvapantallas gracias a ello. ...
Los usuarios de Firefox son los más seguros de la Web
Según un estudio encargado por el Instituto Federal de Tecnología de Suiza, en colaboración con Google e IBM, los usuarios del navegador Firefox se preocupan más por actualizar su software que los usuarios de otros navegadores....
Core Security descubre una vulnerabilidad crítica en el software de virtualización de escritorio de VMware
Su explotación podría otorgar un acceso completo al sistema de archivos del dispositivo anfitrión. Core Security Technologies publica una advertencia de seguridad que revela una vulnerabilidad capaz de impactar severamente en empresas que utilizan...
Actualización de seguridad Thunderbird 2.0.0.14
Se ha publicado una nueva actualización de seguridad para los usuarios de Thunderbird. La versión 2.0.0.14 incluye dos arreglos destacables...
Las empresas comienzan a bloquear el acceso a las redes sociales
Si un empleado pasa hasta una hora al día en Facebook, puede acabar costándole miles de dólares a un negocio en tiempo perdido a lo largo de un año....
Torvalds trabajará jornada completa con Linux
El creador de Linux, Linus Torvalds, renunció a su trabajo en Transmeta para dedicarse por entero a Linux. ...
Android: HTC libera código de 7 terminales
Android es en gran parte código abierto, permitiendo que cualquiera lo pueda modificar, pero debido la licencia GPL de su kernel, las empresas están obligadas a liberar el código de todas las modificacione que hagan, y en el caso de Android, deber...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • debil
  • eslabon
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • ingenieria
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • social
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usuario
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra