Ing social

479 views

Published on

conceptos principales de ingeniería social

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
479
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ing social

  1. 1. Los delincuentes que operan en Internet pueden usar tecnología avanzada para obtener acceso a su equipo, o bien recurrir a algo más sencillo e insidioso: la ingeniería social.<br />La ingeniería social ofrece a los delincuentes un medio de obtener acceso a su equipo. Por lo general, la finalidad de la ingeniería social es instalar de forma secreta spyware o algún otro tipo de software malintencionado para intentar convencerle de que facilite sus contraseñas u otra información confidencial de carácter personal o financiero.<br />Algunos delincuentes de Internet consideran más fácil aprovecharse de la naturaleza humana que de las vulnerabilidades del software.<br />Tipos de ingeniería socialHay varios tipos de ingeniería social que deben tenerse presentes: <br />•Suplantación de identidad (phishing) •Spear phishing •Correo electrónico engañoso <br />No revele información personal por correo electrónico ni en línea a menos que sepa por qué motivo debe hacerlo y conozca a su interlocutor. Asegúrese además de que se encuentra en un entorno seguro: es esencial para ayudarle a evitar cualquier tipo de ataque. <br />¿QUÉ ES INGENIERÍA SOCIAL?<br />Suplantación de identidad (phishing): mensajes de correo electrónico y sitios web fraudulentosLa forma más frecuente de ingeniería social es la estafa por phishing o suplantación de identidad. Para las estafas de phishing, se emplean mensajes de correo electrónico o sitios web fraudulentos en los que se intenta que facilite información personal. <br />Por ejemplo, podría recibir un mensaje de correo electrónico que parezca proceder de su banco o de otra entidad financiera en el que se le pida que actualice la información de su cuenta. El mensaje de correo electrónico incluye un vínculo que parece de un sitio legítimo, pero que, en realidad, le lleva a un sitio web falsificado. <br />Si indica su nombre de inicio de sesión, su contraseña u otra información confidencial, un delincuente podría usar estos datos para suplantar su identidad. <br />Con frecuencia, los mensajes de correo electrónico de phishing incluyen errores de ortografía o gramática, y contienen amenazas y exageraciones. Para obtener más información acerca del phishing, consulte Reconozca una estafa por suplantación de identidad (phishing) y mensajes de correo electrónico fraudulentos. <br />Si cree que puede haber sido víctima de un engaño de este tipo, consulte ¿Qué hacer si ha respondido a una estafa de suplantación de identidad (phishing)?Como medida de protección frente a las estafas de phishing, pruebe el Filtro de suplantación de identidad (phishing) de Microsoft. <br />"Spear phishing": ataques con objetivos específicos que parecen proceder de personas conocidasEl "spear phishing" es una estafa por correo electrónico con objetivos específicos que se suele utilizar en entornos empresariales. <br />Los timadores de "spear phishing" envían mensajes de correo electrónico que parecen auténticos a todos los empleados o miembros de una determinada empresa, organismo, organización o grupo.<br />El mensaje puede parecer procedente de un compañero de trabajo o de un cargo directivo (como el responsable de recursos humanos o de TI) que podría enviar un mensaje de correo electrónico a todos los usuarios de la empresa. Podría incluir solicitudes de nombres de usuario y contraseñas, o contener software malintencionado, como troyanos o virus.<br />La estafa de "spear phishing" corresponde a un tipo de ingeniería social más avanzado que el "phishing", pero las técnicas que pueden usarse para evitar el engaño son las mismas.<br />Mensajes de correo electrónico engañosos: desconfíe de las promesas de dinero fácilLos mensajes de correo electrónico engañosos se presentan de distintos modos, desde una estafa en la que se le pide ayuda para sacar dinero de otro país (a menudo, Nigeria) hasta un aviso de que ha ganado algo en un sorteo. <br />El elemento en común es que normalmente se le promete una gran suma de dinero a cambio de muy poco o ningún esfuerzo por su parte.<br />El estafador intenta que envíe dinero o revele información financiera que pueda usarse para robarle dinero, su identidad o ambos.Quizá también reciba mensajes de estafa enviados a través de mensajería instantánea. Para obtener más información, consulte Diez sugerencias para una mensajería instantánea más segura.<br />Cómo puede ayudar la tecnología<br />Su primer nivel de defensa debería ser la protección del equipo<br />Aprender a detectar técnicas de ingeniería social es el paso siguiente, y el nuevo sistema operativo Windows Vista se lo pone más fácil<br />Internet Explorer 7 está disponible para Windows Vista y tiene un Filtro de suplantación de identidad (phishing) integrado que examina y avisa a los usuarios acerca de sitios de phishing que podrían resultar peligrosos.Los controles parentales de Windows Vista permiten evitar que los niños descarguen software no deseado.Windows Defender le ayuda a evitar el spyware y otros tipos de software malintencionado que pueden formar parte de una estafa de ingeniería social. Windows Defender se incluye con Windows Vista. Si usa Windows XP SP2, puede descargar Windows Defender sin costo alguno. Ingeniería social, una de las metodologías de ataque más usadas: ESET<br />Durante julio, la utilización de nombres de Presidentes y famosos para despertar la curiosidad del usuario y propagar malware confirmó que la Ingeniería Social continúa siendo una de las metodologías de ataque más utilizadas.<br />Hugo Chavez, Álvaro Colom Caballeros y Dilma Rousseff, además de la noticia del fallecimiento de la cantante Amy Winehouse, fueron los principales nombres utilizados para la distribución de un troyano bancario, según informó la compañía de seguridad informática ESET.<br />Un correo electrónico conteniendo supuestamente un video de Hugo Chávez hablando de su enfermedad fue enviado masivamente a usuarios venezolanos con el objetivo de distribuir un troyano, detectado por ESET como Win32/TrojanDownloader.Agent.QUT.<br />Apenas días después, la misma metodología de ataque se repitió en Guatemala con el envío de un falso video de un accidente del presidente Álvaro Colom que enlazaba directamente a un código malicioso.<br />El troyano bancario posee una rutina de pharming local - tipo de ataque que permite redireccionar un nombre de dominio a una dirección distinta de la original, también bloquea el acceso a sitios web de empresas antivirus<br />En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.<br />El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.<br />Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.<br />Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.<br />La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?<br />La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.<br />Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:<br />Todos queremos ayudar.<br />El primer movimiento es siempre de confianza hacia el otro.<br />No nos gusta decir No.<br />A todos nos gusta que nos alaben.<br />::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::<br />::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::<br />::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::<br />::ACTIVIDAD N°3::<br />Instrucciones: Imprime la siguiente información y pégala en tu cuaderno.<br />INGENIERÍA SOCIAL: MENTIRAS EN LA REDMercè Molist<br />Otoño de 2001 en el proveedor America Online. Alguien llama al servicio de ayuda y está una hora hablando con un operador. Durante la conversación menciona, de paso, que quiere vender su coche. El técnico se muestra interesado y el hacker le envía una foto. Al abrirla, se ejecuta un programa que crea una conexión pirata, traspasando el cortafuegos de la compañía. Así, el intruso accede a la red interna y a las cuentas de 200 clientes.La mentira ha adquirido nuevo nombre y dimensión en Internet, donde el riesgo para quien engaña es menor que cara a cara. Las estrategias se han complicado, "ingenierizado", en un terreno fértil que iguala los datos al dinero como objeto de deseo. Profesionales del tocomocho, espías industriales, 'crackers', escritores de virus, bromistas y, en general, la estructura abierta y confiada de la red han convertido a la Ingeniería Social (IS) en el crimen más difícil de combatir.Su uso para la introducción de "troyanos" (programas que simulan ser otra cosa mientras a escondidas ejecutan las órdenes del atacante) es la punta del iceberg. El caso masivo más conocido fue el gusano "I Love You". Y cada semana aparecen nuevas ideas que, como aquella, se aprovechan de la ignorancia, buena fe y psicología de la gente para que ejecute algo que le llega en un mensaje, creyendo que será una carta de amor o una imagen divertida de "Operación Triunfo".El Centro de Respuesta a Emergencias (CERT) norteamericano difundía recientemente su enésima alerta contra los "troyanos" que circulan por el chat, usando técnicas de IS: se ofrece a la víctima un archivo. Ésta lo abre y, sin saberlo, envía sus datos al atacante o le permite tomar control del ordenador. Según el CERT, gozan de buena salud técnicas veteranas como mandar un mensaje automático a toda la gente conectada a una red de chat: "Está infectado con un virus, le sugiero que vaya a mivirus.es y se instale el antivirus o le echaremos".Una variante son los avisos de falsos virus por correo, llamados "hoaxes", entre los que destacan los "virus manuales", al estilo "sulfnbk.exe", que alerta contra un programa con este nombre, que debe borrarse si se detecta en el ordenador. En realidad, es un archivo legítimo del sistema Windows. Una versión socarrona es el "virus gallego", con este mensaje: "Como los gallegos no tenemos experiencia en programación, este virus trabaja basado en un sistema de honor. Por favor: borre todos los archivos de su disco duro manualmente y envíe este mensaje a todos los miembros de su lista de correo".Enredos bíblicosPero la IS va más allá y se hace arte en manos de algunos hackers elegidos. En la Brenz's Social Engineering Page, se remontan al Genésis: "Jacob quería una información de su padre, sobre sus derechos de nacimiento. El padre quería darlos a su hermano. Jacob simuló ser el hermano y confundió al padre, consiguiendo los derechos". El menos bíblico Kevin Mitnick fue, según Brenz, un gran hacker de la mentira: "Hacía la mayor parte de su trabajo usando ingeniería social. Sólo el último 15% era con ordenador. Engañar a secretarias, correo falso, saltar muros... Todo era válido y funcionaba".La IS se usa, básicamente, para conseguir acceso a sistemas. En la época de las BBSs, para llamar sin pagar. Después, el chat fue campo abonado para el robo de códigos de entrada a Internet. No hay revista "underground" que no le haya dedicado algún artículo. Como "Raregazz": "Hay varias formas de IS: conseguir datos de alguien y llamar a su proveedor diciendo que has perdido la contraseña, o llamar al usuario diciendo que eres el proveedor. Un buen método es pedir la dirección a novatos y enviarles un correo diciendo que eres el administrador y necesitas sus datos".El diccionario "Jargon File" define la IS como: "Término usado entre "crackers" y "samurais" para las técnicas que se aprovechan de las debilidades de las personas y no de los programas, con el objetivo de conseguir sus contraseñas u otra información que comprometa la seguridad del sistema. Un truco clásico es telefonear a la víctima diciendo que eres un técnico con un problema urgente". Al ser este mundo desconocido para la mayoría, es fácil creer lo que diga un falso experto.La definición del mexicano Martín Humberto Hoz es más precisa: "Inducción a la comisión de actos que favorecen un ataque. Que la víctima haga algo, diga algo o deje de hacer algo". Entre los clásicos, el ejecutivo que ha perdido la contraseña y quiere acceder urgentemente a su cuenta; llamar a una empresa, haciéndose pasar por vendedor, para conocer datos sobre su red; espiar por la espalda cuando alguien teclea; buscar información desechada en la basura o conseguir trabajo en la empresa."Intenta ser una mujer"Esta "ciencia de hacer que la gente cumpla tus deseos" está muy bien considerada entre los "hackers" como método seguro y rápido de obtener información. Conocimientos técnicos y psicológicos son el principal requisito. Y, según los manuales: "Ser profesional, conocer al enemigo, no meterse con gente más lista, crear una ilusión en la víctima, ser amable, confidente, persuasivo, hacerle creer que tiene el control de la situación, mantener la calma, planear la escapada con antelación e intentar ser una mujer".El ataque puede consistir en una pregunta directa o crear una situación para que la víctima relaje sus defensas y adopte la actitud psicológica deseada, como querer quedar bien o cumplir una obligación moral. El teléfono e Internet son los medios mayoritarios. El de mayor riesgo, el mundo real, cuando la persona se desplaza al sitio, disfrazada de técnico, empleado o inocente paseante. Un ataque suele consistir en series encadenadas de IS, que suman información a la obtenida con programas de reconocimiento en Internet.Como dice Lester, maestro de hackers, aún hay clases: "El timo de la estampita y la ingeniería social no tienen mucho que ver porque ésta se basa en amplios conocimientos de psicología aplicada y de las tecnologías sobre las que se quiere obtener información. En las empresas donde se desarrollan proyectos reservados, la calificación técnica necesaria, para entender la información que se quiere obtener y para ser considerado un igual al que respetar, es muy alta. Las operaciones de este nivel pueden llevar meses de cuidada planificación".Altos vuelosEntre los golpes maestros destaca la Ingeniería Social Inversa: "Las tres partes del ataque son: sabotaje, anuncio y asistencia. El hacker sabotea la red causando un problema. Después, anuncia de alguna forma a la empresa que tiene la solución y, cuando le llaman para que lo arregle, recolecta la información que busca entre los empleados", explica un artículo de "SecurityFocus". El tiempo de preparación de estos ataques es mucho mayor, pero también su efectividad a la hora de conseguir información y no dejar huellas.Francisco Marco Fernández, director de la oficina en Barcelona de la agencia de detectives Método 3, recuerda algunos casos: "Uno de los primeros fraudes que investigó la Policía Tecnológica fue de este tipo, acabó como un burdo chantaje de 500.000 pesetas para arreglar el problema. Las acusaciones a las multinacionales de programas antivirus de crear virus para luego paliarlos no deja de ser también la misma técnica".En el CERT de la Universitat Politècnica de Catalunya (UPC) conocen también la IS: "Es muy peligrosa si se tiene la suficiente cara. Usualmente se practica a bajo nivel, es muy popular como herramienta fácil para acceder a una máquina en cuestión de minutos. En los ataques espectaculares, cuando no sabes cómo lo han hecho, es que han usado ingeniería social". Fernando Vega, director de consultoría de seguridad de SIA, añade: "Es una herramienta fundamental en todo ataque bien organizado, pero no la principal".Según el director de Método 3, "el 80% de ataques tienen un alto contenido de IS. El más frecuente, que hemos investigado, es la entrada inconsentida en el ordenador de un alto directivo. Pocos días antes su esposa había contestado una encuesta donde le preguntaban los nombres y edades de los hijos. La contraseña era la combinación de un nombre y la fecha de nacimiento del hijo mayor. También es común hacerse pasar por el proveedor de mantenimiento de una empresa, en un control rutinario remoto, y pedir las contraseñas a las secretarias".El factor humanoEn el congreso "Access All Areas" de 1997, un conferenciante aseguraba: "Aunque se dice que el único ordenador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe. El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo ordenador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica".Rick Nelson, en un estudio sobre el tema, añade: "Su uso es común debido a que muchas veces funciona mejor y se invierte menos tiempo que en un ataque por fuerza bruta. No importa lo seguro que sea un sistema, el conocimiento extraído manipulando a uno de sus usuarios puede hacerlo inoperable". Ira Winkler, asesor del gobierno estadounidense en Infoguerra, lo confirma: "La experiencia demuestra que más del 90% de los empleados divulgarían información bajo un ataque".A pesar de ello, la IS es desconocida para usuarios y empresas que, según Marco, "no le dan la importancia que merecería. Se centran en la protección tecnológica y se olvidan de las personas". Coincide Óscar Conesa: "No se tiene en cuenta ni en las auditorías ni en las políticas de seguridad. Como máximo, se da un cursillo a la gente y se espera que no se dejen engañar. La única solución es una mayor educación y no fiarse ni de los de dentro". Discrepa Marco: "Cerrar las puertas es absurdo. Lo mejor es crear un manual de actuación ante estas técnicas".¿Cómo saber que te engañan?El Computer Security Institute explica en su web cómo reconocer un ataque de ingeniería social: "El interlocutor se niega a dar datos de contacto, tartamudea, nos intimida, comete pequeños errores o pide información prohibida". Alfons Cano, jefe de la Unidad de Delitos en Tecnologías de la Información de los Mossos d'Esquadra, añade un apéndice para niños: "Si alguien te pide una foto o el teléfono de buenas a primeras, o muchos dados personales, desconfía. Y no aceptes nada de quien no conoces".Fernando Vega aporta su fórmula para empresas: "Ante ataques técnicos, lo lógico es implantar controles técnicos y revisar periódicamente que estén realizando su función. Con la ingeniería social, una buena forma de comprobar si se están realizando ataques sería recoger estadísticas de incumplimiento de procedimientos, por ejemplo el número de personas que han llamado a un "helpdesk" y a los que no se ha dado la información porque no proporcionaban todos los datos de identificación. Y concienciar a los empleados de que avisen de cualquier pregunta o actitud sospechosa".Kevin Mitnick explicó hace dos años, ante el Senado Norteamericano, cómo violó sistemas de servicios financieros y de la administración, simplemente "hackeando" a humanos: "Llamé a empleados y utilicé ingeniería social para conocer su sistema y los comandos de acceso a información protegida de un contribuyente. Cuando me familiaricé, pude engañar a otros, usando la información obtenida de los primeros para pretextar ser un compañero de trabajo con problemas. Tuve tanto éxito que pocas veces usé el ordenador".Mitnick concluía: "Las empresas gastan millones de dólares en cortafuegos, cifrado y mecanismos de seguridad, y es dinero malgastado porque ninguna de estas medidas se dirige al eslabón más débil: la gente que utiliza, administra y cuida los sistemas donde está la información protegida".VIERNES TARDE EN NUEVA YORKViernes. 16.20. Planta 32 de un edificio en Park Avenue. La empresa X celebra el cumpleaños del jefe. Todo el mundo espera el fin de semana. Se abre la puerta del ascensor y entra un técnico. Lleva tejanos, una gorra de la compañía telefónica y un cinturón lleno de herramientas. En sus manos, una extraña pieza electrónica. Le dice a la recepcionista: "Vaya día...". Ella está más interesada en la fiesta: "Sí, gracias a Dios es viernes".-Odio estas emergencias de último minuto, estaba a punto de irme de fin de semana..-¿Qué pasa?-Nada por lo que tenga que preocuparse -sonríe-. ¿Dónde está la habitación de los teléfonos?-Oh, sí, es aquella. Y, ¿puede hacerme un favor? -dice ella dándole las llaves.-Lo que sea.-Si no estoy cuando haya acabado, ¿volverá a dejar las llaves en mi cajón?-No hay problema.-Gracias -dice ella, con una gran sonrisaEl hombre entra en la habitación, donde están también los controles de la red. "Pincha" algunos cables y lo empalma todo a una cajita, que esconde. Abre la puerta, cierra las luces y devuelve las llaves a la recepcionista.-¿Ya está?-Sí, he tenido suerte, sólo una conexión sucia. Buen fin de semana.El falso técnico ha instalado un programa espía en la red corporativa, con un radiotransmisor que envía todos los datos a un receptor remoto.Fuente: Michael Noonan. Intel<br />::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::<br />::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::<br />::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::<br />

×