La ingeniería social es el método por el que se obtiene información confidencial a través de la manipulación de usuarios legítimos. Es una técnica usada para obtener información, acceso o privilegios a sistemas informáticos que les permitan realizar algún acto que perjudique o exponga la persona u organismo.
El principio en el que se basa la ingeniería social es que en cualquier sistema los usuarios son el eslabón más débil. Llevado a la práctica, un hacker usará el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de un banco u otra empresa, un compañero de trabajo, un técnico o un cliente. A través de Internet o correo electrónico se usa, por ejemplo, el envío de solicitudes de renovación de permisos de acceso a páginas web o incluso las famosas cadenas de mails. Con este método, se aprovecha la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, (por ejemplo proporcionando detalles financieros a un aparente mail de nuestro banco), en lugar de tener que encontrar agujeros de seguridad en una red informática.
En la ingeniería social, el ataque más simple y efectivo es engañar a un usuario haciéndole creer que un administrador del sistema esta solicitando su contraseña para algún propósito aparentemente legítimo. Otro método es en el que los usuarios reciben mensajes que solicitan contraseñas o información del banco o la tarjeta de crédito, con la excusa de crear o restablecer una cuenta. A este tipo de ataques se los llama phishing.
Otro ejemplo más moderno de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo fotos íntimas de alguna persona famosa o algún programa gratis, pero que en realidad ejecutan código malicioso infectando así el ordenador de la víctima. Después de que los primeros e-mails de este tipo llevaran a los proveedores de correo electrónico a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben abrir esos archivos para que el ataque se complete. Sin embargo, la mayoría de los usuarios abren casi cualquier archivo adjunto recibido, sin que les importe lo más mínimo de dónde provenga.
COMO EVITARLO:
Los usuarios de una red, especialmente en una empresa, deberían ser advertidos para que no divulguen contraseñas u otra información sensible por teléfono o email. En realidad, un administrador de sistemas nunca necesitará saber la contraseña de los usuarios para realizar sus tareas, y en caso de que la necesite, será el propio usuario el que la introduzca. Sin embargo, no sólo por mail o por teléfono puede venir el ataque, ya que, por ejemplo, en un estudio realizado por la empresa Boixnet, el 90% de los empleados de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales o típicas, o conociendo su lugar o fecha de nacimiento, nombre, etc. Es por esto por lo que se debe advertir a los usuarios de que no usen contraseñas con estos datos.
Simplemente respondiendo a la pregunta ¿qué contraseña introduciría yo si fuese la víctima?, hay grandes posibilidades de averiguarla, conociendo alguno de los datos anteriormente explicados.
La principal defensa contra la ingeniería social es educar y concienciar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. Otras medidas son:
- Políticas internas que contemplen la descentralización de datos y el resguardo de la información.
- Buen uso de los recursos de comunicación e informáticos por parte de todos los empleados.
Uno de los ingenieros sociales más famosos es Kevin Mitnick. Según él, la ingeniería social se basa en 4 principios:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.
También ha escrito un libro, The Art of Deception, en el que describe con detalles todas las técnicas de la ingeniería social. Los casos explicados en el libro son reales, pero los nombres de personas y empresas han sido modificados. Uno de estos ejemplos sería:
Llamada 1
Recepcionista: XYZ Corp, buenos días, ¿en qué puedo ayudarle?
Hacker: Hola, somos una agencia de prensa y querríamos enviar una carpeta con información corporativa a su director de marketing, para que la evaluara ¿podría decirme su nombre y dirección?
R: Si, puede enviarlas a Mark Ethin, a la dirección (...)
H: ¿Por casualidad no tendrán ustedes a alguien más de marketing en otra sucursal?
R: Si, también está Peter Webber en la sucursal de (...)
H: ¿Y el número de fax de la central, para ponerlo en mi ficha de contactos?
R: El 212-555-1234
H: Gracias por la información, me ha resultado de mucha ayuda.
Llamada 2
R: Sucursal XYZ Corp, ¿dígame?
H: Hola, querría hablar con Peter Webber de Marketing, te llamo desde la oficina de Mark Ethin en la central.
R: Te paso.
Peter: Sí, ¿dígame?
H: Hola Peter, a ver si puedes ayudarme. Me llamo Hank y soy nuevo en la empresa. Trabajo en Marketing con Mark Ethin en la oficina central desde hace unos días. Mark está fuera de la oficina y me ha encargado conseguirle una copia impresa del último plan de marketing. Pero al parecer hay algún problema con mi PC porque no han terminado de instalarlo bien y no puedo acceder a la intranet. He pensado que tal vez tu lo tengas. Corre un poco de prisa, la verdad, y ya sabes que en arreglar los PCs tardan una barbaridad aquí.
P: Sí, bueno... tengo la copia que nos envió el otro día.
H: De acuerdo, entonces, ¿podrías mandárnosla a la central? No se si mi email funcionará... Lo más práctico sería que nos lo enviaras por fax a recepción, ya sabes, al 212-555-1234.
P: De acuerdo, al número de siempre. Va para allá.
H: Recuerda ponerlo a mi nombre, Hank Kerson. Yo se lo haré llegar a Mark. ¡Gracias!
Llamada 3 (horas después)
Recepcionista: XYZ Corp, buenos días, ¿en qué puedo ayudarle?
H: Hola, me llamo Hank Kerson, a ver si puedes echarme una mano... Trabajo en una consultora externa para el departamento de Marketing, y estamos terminando un proyecto con cierta urgencia. Peter Webber de vuestra otra sucursal tenía que haberme enviado hace unas horas un fax con cierta información, pero no me ha llegado. He preguntado allí y al parecer alguien se equivocó de número y lo ha enviado al fax de vuestra oficina principal, aunque el fax está a mi nombre.
R: Sí, lo tengo por aquí, pone «Hank Kerson», me extrañó al recibirlo porque aquí no trabaja nadie con ese nombre.
H: Ah, perfecto, es el mío. Debe tener ciertos datos de marketing, ¿verdad?
R: Sí, pone algo de «plan de marketing»
R: Ese es... Entonces, ¿no te importaría reenviarmelo al 212-555-9876?
R: No hay problema, va para allá, lo tendrás en cinco minutos.
H: ¡Gracias! Enviaré un correo a Peter para decirle que todo está solucionado.
Finalmente, Hank se dirige a la copistería más cercana y recoge allí el fax con el plan de marketing de la compañía XYZ.
0 comentarios:
Publicar un comentario