La ingeniería social
La ingeniería social se basa en la psicología. Esta "ciencia de hacer que la gente cumpla tus deseos" está muy bien considerada entre los "hackers" como método seguro y rápido de obtener información.
Conocimientos técnicos y psicológicos son el principal requisito para ejercer la ingeniería social. El ataque puede consistir en una pregunta directa o crear una situación para que la víctima baje sus defensas y adopte la actitud psicológica deseada, como querer quedar bien o cumplir una obligación moral.
Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a su víctima a actuar. En el libro Influence: The Psychology of Persuasion (1984), el Dr. Robert Cialdini define estos seis motivadores claves:
La ingeniería social se basa en la psicología. Esta "ciencia de hacer que la gente cumpla tus deseos" está muy bien considerada entre los "hackers" como método seguro y rápido de obtener información.
Conocimientos técnicos y psicológicos son el principal requisito para ejercer la ingeniería social. El ataque puede consistir en una pregunta directa o crear una situación para que la víctima baje sus defensas y adopte la actitud psicológica deseada, como querer quedar bien o cumplir una obligación moral.
Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a su víctima a actuar. En el libro Influence: The Psychology of Persuasion (1984), el Dr. Robert Cialdini define estos seis motivadores claves:
Ø Reciprocidad: Sentir
que le debemos un favor a quien hace algo por nosotros.
Ø Orientación social:
Buscamos a una persona que nos diga qué tenemos que hacer.
Ø Consistencia /
compromiso: Desarrollamos patrones de conducta que se convierten en hábitos.
Ø Aceptación: Queremos
“encajar” y nos persuaden más fácilmente aquellas personas que nos gustan.
Ø Autoridad: Somos
receptivos a las órdenes y peticiones de las figuras de autoridad.
Ø Tentación: Tenemos
más motivación para perseguir lo exclusivo o limitado.
El factor humano
Aunque se dice que "el único ordenador seguro es el que está desenchufado", los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe.
El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo ordenador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica.
Aunque se dice que "el único ordenador seguro es el que está desenchufado", los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe.
El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo ordenador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica.
Técnicas de ingeniería social
Existen cuatro técnicas de ingeniería social que los atacantes pueden
utilizar para alterar la seguridad: phishing, pretexting, media
dropping y tailgating.
Phishing
El phishing implica el envió de un correo a un usuario donde se le convence para realizar alguna acción. El objetivo de este ataque es conseguir que el usuario haga click en el contenido del correo recibido (generalmente un link) para después registrar esa actividad o instalar un programa que monitoree la actividad constante del usuario y que incluso pueda verificar contenido dinámico, plugins o software instalado.
La clave del éxito de la técnica de phishing es la personalización. Personalizar el correo dirigido al usuario objetivo, con tácticas como el envió a través de una fuente que sea percibida por el usuario como una fuente de confianza, incrementa la disponibilidad del usuario a leer y seguir las instrucciones del correo.
El Social Engineering Toolkit (SET) es una herramienta bastante simple, de código abierto, que permite crear ataques phishing a través del envío de emails. Otras herramientas comerciales como PhishMe de PhishMe Inc. y PhishGuru de Wombat Security también son interesantes.
Pretexting
El pretexting (pretextos) implica llamar por teléfono al usuario y pedirle cierta información, generalmente simulando ser alguien que precisa su ayuda. Esta técnica puede funcionar bien si se usa mediante aquellos usuarios de bajo nivel técnico y que tengan acceso a información sensible.
Media dropping
Está técnica suele implicar la presencia de un dispositivo USB en un lugar creíble o razonable de ser encontrado, como la entrada al edificio de oficinas laborales. El ingeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta.
Los atacantes suelen instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota. Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas.
Mediante el SET “Generador de Medios infecciosos” se crea un ejecutable que automáticamente se activa en el PC objetivo. Para incrementar las posibilidades de éxito se incluyen generalmente archivos de programas conocidos como parte de esos exploits autorizados (los formatos PDF, Word y Excel son los mejores). Etiquetar el dispositivo de forma “apetitosa”, como “Datos de RRHH” o “Laboral” también puede ayudar.
Tailgating
El tailgating supone lograr acceso a una instalación física mediante engaño a su personal. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física.
Los atacantes podrán obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un software con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa.
Mediante el uso de estas cuatro técnicas de ingeniería social, se puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y formativas que reduzcan el riesgo de sufrir ataques maliciosos basados en ingeniería social.
El phishing implica el envió de un correo a un usuario donde se le convence para realizar alguna acción. El objetivo de este ataque es conseguir que el usuario haga click en el contenido del correo recibido (generalmente un link) para después registrar esa actividad o instalar un programa que monitoree la actividad constante del usuario y que incluso pueda verificar contenido dinámico, plugins o software instalado.
La clave del éxito de la técnica de phishing es la personalización. Personalizar el correo dirigido al usuario objetivo, con tácticas como el envió a través de una fuente que sea percibida por el usuario como una fuente de confianza, incrementa la disponibilidad del usuario a leer y seguir las instrucciones del correo.
El Social Engineering Toolkit (SET) es una herramienta bastante simple, de código abierto, que permite crear ataques phishing a través del envío de emails. Otras herramientas comerciales como PhishMe de PhishMe Inc. y PhishGuru de Wombat Security también son interesantes.
Pretexting
El pretexting (pretextos) implica llamar por teléfono al usuario y pedirle cierta información, generalmente simulando ser alguien que precisa su ayuda. Esta técnica puede funcionar bien si se usa mediante aquellos usuarios de bajo nivel técnico y que tengan acceso a información sensible.
Media dropping
Está técnica suele implicar la presencia de un dispositivo USB en un lugar creíble o razonable de ser encontrado, como la entrada al edificio de oficinas laborales. El ingeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta.
Los atacantes suelen instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota. Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas.
Mediante el SET “Generador de Medios infecciosos” se crea un ejecutable que automáticamente se activa en el PC objetivo. Para incrementar las posibilidades de éxito se incluyen generalmente archivos de programas conocidos como parte de esos exploits autorizados (los formatos PDF, Word y Excel son los mejores). Etiquetar el dispositivo de forma “apetitosa”, como “Datos de RRHH” o “Laboral” también puede ayudar.
Tailgating
El tailgating supone lograr acceso a una instalación física mediante engaño a su personal. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física.
Los atacantes podrán obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un software con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa.
Mediante el uso de estas cuatro técnicas de ingeniería social, se puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y formativas que reduzcan el riesgo de sufrir ataques maliciosos basados en ingeniería social.
Defenderse contra la Ingeniería Social
La mejor manera de enfrentar el problema, es concientizar a las personas y educarlas sobre seguridad y fomentar la adopción de medidas preventivas.
La mejor manera de enfrentar el problema, es concientizar a las personas y educarlas sobre seguridad y fomentar la adopción de medidas preventivas.
Ø Nunca divulgar
información sensible con desconocidos o en lugares públicos (como redes
sociales, anuncios, páginas web, etc.).
Ø Si se sospecha que
alguien intenta realizar un engaño, hay que exigir que se identifique y tratar
de revertir la situación intentando obtener la mayor cantidad de información
del sospechoso.
Ø Implementar un
conjunto de políticas de seguridad en la organización que minimice las acciones
de riesgo.
Ø Realizar
rutinariamente auditorías para detectar huecos de seguridad.
Ø Llevar a cabo
programas de concientización sobre la seguridad de la información.
Conclusiones
La seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabón más débil, deben existir controles que ayuden a disminuir el riesgo que éste pueda representar.
La seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabón más débil, deben existir controles que ayuden a disminuir el riesgo que éste pueda representar.
