Ingenieria social

860 views

Published on

Published in: Career
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
860
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ingenieria social

  1. 1. INTRODUCCIÓNEsta monografía tiene como tema central a la Ingeniería Social, una técnica que se haconvertido en una amenaza para las personas tanto conocedoras como no tan conocedorasacerca del mundo de la informática.En la primera parte se tocarán los orígenes de la ingeniería social y como sus fundamentos queson el engaño, la manipulación, el espionaje, etc. están presentes en los mitos y el folclorepopular.Ya en una segunda parte del trabajo tenemos algunas técnicas empleadas por los más grandesingenieros sociales, uno de ellos por ejemplo Kevin Mitnick, quien popularizó el término deIngeniería Social con sus constantes huidas al FBI y hasta un cambio completo de identidadgracias a estas técnicas, como por ejemplo: El espionaje, el phising, la ingenieria social inversa.También se habla de cómo podemos evitar estos ataquesEn un último apartado encontraremos una técnica que tiene por fin el ayudar a las personas,hablamos del hacking ético, importante para darle un contraste al tema visto.
  2. 2. LOS ORÍGENES DE LA INGENIERÍA SOCIALPopularizada por Kevin Mitnick, la ingeniería social es en esencia el arte de la persuasión:convencer a las personas para que revelen datos confidenciales o realicen alguna acción.Aunque el término ingeniería social es relativamente nuevo, las técnicas y filosofías que lasustentan están presentes desde los albores de la humanidad. Existen historias de engaño ymanipulación en muchas páginas de la historia, el folclore, la mitología, la religión y laliteratura.PROMETEO, ¿EL DIOS DE LA INGENIERÍA SOCIAL?Según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería sociales probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades lellevaron a creer que podía engañar a Zeus, el mayor de los dioses. En la Teogonía y Trabajos ydías, el poeta épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas ysus astutos ardides. Se le atribuye la creación del hombre, modelado a partir de barro. En loque se conoce como el "Engaño de Mecona", Prometeo presentó a Zeus dos ofrendas paradirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en elinterior de su estómago, la otra era el esqueleto del buey cubierto con brillante grasa. La unaera alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muytentadora a la vista. Zeus eligió la última y, como consecuencia, en lo sucesivo la humanidaddebería sacrificar a los dioses sólo huesos y grasa, conservando la carne para sí. Enojado por elengaño de Prometeo, Zeus castigó a los mortales quitándoles el fuego. Sin embargo, en un actomás de ingeniería social contra Zeus, Prometeo robó “el brillo que se ve de lejos del infatigablefuego en una hueca cañaheja” del monte Olimpos y se lo legó a los hombres. Como castigo porsus actos, Prometeo fue encadenado a una roca, a la que cada día llegaba un águila que lecomía el hígado; por la noche éste le volvía a crecer. Como castigo para los hombres, Zeus creóa la primera mujer, Pandora, quien portaba un ánfora que ella abrió por curiosidad, liberandoincontables plagas.EL ATAQUE DE PHISHING DE JACOB Y REBECADel Antiguo Testamento proviene la historia de Jacob y su madre Rebeca, quien utilizó unatécnica de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a lavíctima que el atacante es alguien diferente. El padre de Jacob y esposo de Rebeca, Isaac, sequedó ciego en los últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijomayor, Esaú: “tráeme caza y prepárame un buen guisado como a mí me gusta y tráemelo paraque yo coma y que mi alma te bendiga antes que yo muera.” (Génesis 27:2-4.) Como queríaque fuera Jacob en lugar de Esaú el que recibiera las bendiciones de Isaac, Rebeca concibió unplan. Jacob, reacio al principio, dijo: "Esaú mi hermano es hombre velludo y yo soy lampiño.Quizá mi padre me toque, y entonces seré para él un engañador y traeré sobre mí unamaldición y no una bendición.” (Génesis 27:11- 12.) Para engañar a Isaac y hacerle creer queestaba con Esaú, Rebeca preparó la comida de Isaac, vistió a Jacob con las mejoras ropas deEsaú y le puso piel de cabrito en las partes lampiñas de las manos y el cuello. Jacob le entregó
  3. 3. la comida a Isaac, superó la prueba de autenticación y consiguió las bendiciones que debían serpara Esaú.SANSÓN Y DALILA: ESPIONAJE A SUELDOSansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. El secreto desu fuerza estaba en su largo cabello. Estando en Gaza, Sansón se enamoró de Dalila. Losfilisteos la convencieron para que averiguara el secreto de la fuerza de Sansón a cambio de1.100 monedas de plata. “Persuádelo, y ve dónde está su gran fuerza, y cómo podríamosdominarlo para atarlo y castigarlo. Entonces cada uno de nosotros te dará 1.100 monedas deplata.” (Jueces 16:5.) Sansón se resistió a desvelar su secreto antes de sucumbir a su capacidadde persuasión. Así que ella le dijo: “¿Cómo puedes decir: Te quiero, cuando tu corazón no estáconmigo?” “Me has engañado tres veces y no me has declarado dónde reside tu gran fuerza.”Finalmente, tras insistir y acosarlo día y noche, se rindió. De modo que le dijo: ”Nunca hapasado navaja sobre mi cabeza, pues he sido Nazareo para Dios desde el vientre de mi madre.Si me cortan el cabello, mi fuerza me dejará y me debilitaré y seré como cualquier otrohombre.” (Jueces 16:15–17.) En cuanto Sansón se durmió, Dalila se aprovechó de suvulnerabilidad y le cortó el pelo. Debilitado como quedó, los filisteos prendieron a Sansón, lesacaron los ojos, lo encadenaron y encarcelaron para siempre.EL PRIMER CABALLO DE TROYALa historia del caballo de Troya, famosa gracias a la obra épica del poeta griego Homero, laOdisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaños de ingeniería socialmás inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos nopudieron derribar las murallas que circundaban la ciudad. El astuto guerrero griego Ulisesconcibió una estratagema para inducir a los troyanos a creer que los griegos habíanabandonado el asedio de la ciudad. Los griegos alejaron su flota de barcos y solo dejaron en laplaya un gran caballo de madera junto con un soldado griego llamado Sinón. Tras ser capturadopor los troyanos, Sinón les dijo que los griegos habían dejado el enorme caballo de maderacomo ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lohabían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de laciudad, ya que ello les traería mala suerte a los griegos. El relato fue tan tentador que lostroyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisosde Casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyerajamás, y de Laocoonte, un sacerdote troyano. La falta de juicio de los troyanos fue su perdición.Esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron alos guardias y abrieron las puertas al resto del ejército. Gracias a la ingeniosa táctica deingeniería social ideada por Ulises, los griegos derrotaron a los troyanos.
  4. 4. LA INGENIERÍA SOCIALConceptoEn el campo de la seguridad informática, ingeniería social es la práctica de obtener informaciónconfidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usarciertas personas, tales como investigadores privados, criminales, o delincuentescomputacionales, para obtener información, acceso o privilegios en sistemas de informaciónque les permitan realizar algún acto que perjudique o exponga la persona u organismocomprometido a riesgo o abusos.El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son eleslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internetpara engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otraempresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa,adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web omemos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelarinformación sensible, o a violar las políticas de seguridad típicas. Con este método, losingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manerapredecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a unaparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad enlos sistemas informáticos.Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensarque un administrador del sistema está solicitando una contraseña para varios propósitoslegítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitancontraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta","reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llamaphishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían seradvertidos temprana y frecuentemente para que no divulguen contraseñas u otra informaciónsensible a personas que dicen ser administradores. En realidad, los administradores desistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios parallevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — enuna encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de laestación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntosen e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algúnprograma "gratis" (a menudo aparentemente provenientes de alguna persona conocida) peroque ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviarcantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran alos proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, losusuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa.Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido,concretando de esta forma el ataque.La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso alos sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de laintroducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente;respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
  5. 5. La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso depolíticas de seguridad y asegurarse de que estas sean seguidas.Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según suopinión, la ingeniería social se basa en estos cuatro principios: Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro. No nos gusta decir No. A todos nos gusta que nos alaben.COMO PROTEGERSELa mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentidocomún y no divulgando información que podría poner en peligro la seguridad de la compañía.Sin importar el tipo de información solicitada, se aconseja que: Averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico); Si es posible, verifique la información proporcionada; Pregúntese qué importancia tiene la información requerida.
  6. 6. UN CASO EN FASESLa primera fase, al realizar un trabajo de ingeniería social artesanal, implica un acercamientopara generar confianza del usuario. Esto lo logran a través de correos haciéndose pasar porrepresentantes técnicos de algún servicio o incluso a través de una presentación formal en unacharla coloquial, mostrándose empático y sacándonos de una eventual situación de alerta anteel extraño (aunque bien podría ser un compañero de trabajo, un amigo de un conocido, etc.) Laatención que ponen en esta etapa es fundamental para captar cualquier información quedigamos y tomarla como valorable.Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interéso necesidad en la otra persona. En base a su curiosidad o deseo, ésta estará predispuestaconsciente e inconscientemente a brindar información. La idea del experto será observarnuestra reacción y actuar en consecuencia con alguna técnica un poco más agresiva si el dato aconseguir tiene un nivel alto de preservación. Lo demás será prueba y error según el caso alque nos estemos refiriendo.Por ejemplo, si un investigador simplemente quiere encontrar una forma de acceder a tucorreo electrónico, podría bastarle con saber que tienes un blog en el que escribes cosaspersonales, sacar nombres de parientes, instituciones y hechos importantes de tu vida e ir“corriendo” a tu inicio de sesión de correo electrónico y pedir que se le recuerde el passwordporque lo ha olvidado. Si por casualidad en la pregunta de seguridad pusiste “Cuál es mi mejoramigo de la infancia”, probablemente el experto esté matándose de la risa y ya haya entrado atu correo con información que tú mismo le diste. Si no lo consigue de esa manera, su trabajono ha terminado y buscará técnicas más agresivas o repetirá el proceso para conseguir nuevainformación. Todo esto, repito, está supeditado al caso en el que nos refiramos. Si el crackerestá intentando tirar abajo el sistema informático de un Estado, obviamente no irá a revisar losblogs personales de los encargados de limpieza del lugar.
  7. 7. TÉCNICASEL ESPIONAJESe denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtenciónencubierta de datos o información confidencial. Las técnicas comunes del espionaje han sidohistóricamente la infiltración y la penetración, en ambas es posible el uso del soborno y elchantaje.MÉTODOS La infiltración es la técnica utilizada para introducir unidades propias en las filas del contrario o blanco, para que suministren información de interés inmediato o potencial sobre las actividades, capacidades, planes, proyectos, etc. del contrario. También podría decirse que es la acción que consiste en la utilización de una persona, conocida como topo, cuyo cometido básico es ganarse la confianza de aquéllos que poseen la información para tener acceso a la misma. La penetración es la técnica que consiste en lograr la colaboración consciente o inocente de un miembro de la organización o grupo contrario con el fin de que proporcione datos e información confidencial del grupo al que pertenece. Generalmente, esta actividad se realiza de forma encubierta y emplea personas reclutadas que han sido persuadidas para trabajar en secreto en contra de su propia organización por diferentes motivaciones: ideológicas, económicas, morales, religiosas o personales. A la penetración le precede un estudio o selección de personas con acceso a lo que se quiere conocer, sus motivaciones y vulnerabilidades. Con posterioridad, se provoca un acercamiento, a través de terceros, de apariencia casual por parte de un agente de inteligencia o reclutador quien inicia un proceso denominado «desarrollo de la fuente», dirigido a cultivar la confianza del futuro informante y prepararlo para la propuesta de colaboración futura.De ambos métodos, las agencias de inteligencia y los diferentes servicios de espionajeprefieren la penetración, dado que es más segura y requiere un menor esfuerzo logístico que lainfiltración.Existen diferentes técnicas para realizar este tipo de delito informático, entre ellas: Dialers: Es la instalación de un marcador que provoca que la conexión a Internet se realice a través de un número de tarificación especial y no a través del nodo indicado por el operador con el que se haya contratado dicha conexión. Adware: Son programas que recogen o recopilan información acerca de los hábitos de navegación del usuario en cuestión.
  8. 8. Programas de acceso remoto: que permiten el acceso de un tercero a su ordenador para un posterior ataque o alteración de los datos. Son fácilmente reconocibles por los antivirus. Caballos de Troya: Este programa es conocido ya que una vez instalado en el ordenador provoca daños o pone en peligro la seguridad del sistema. Virus o gusanos (worms): Es un programa o código que provoca daños en el sistema, como alteración o borrado de datos, se propaga a otros computadores haciendo uso de la Red, del correo electrónico, etc. Programas de espionaje o spyware: Es un programa que se encarga en registrar todo lo que se realiza en un PC, hasta un sencillo clic en el ratón queda almacenado. Se utiliza para obtener información confidencial o conocer cuál es el funcionamiento que una persona le está dando a la máquina.RECURSOS Explotación de la sexualidad: A menudo los ingenieros sociales suelen enviar invitaciones ofreciendo contenido sexual atractivo, esto hace caer a la víctima más rápido. Exploit de Identidad: El atacante hace creer a la víctima que es una persona que puede ayudarle a resolver sus problemas o simplemente le habla de buena manera para que pueda confiar. Esta técnica es utilizada mucho para hacer el conocido phising. Ataque en la web: La herramienta más utilizada para hacer ingeniria social es la red, donde millones de cibernautas navegan confiando en cualquier persona que quiera sacarle información confidencial.
  9. 9. LA INGENIERÍA SOCIAL REVERSACuando un usuario legítimo tiene dificultades, y él o ella te pide ayuda. En el proceso de ayudaral usuario en su problema, podemos obtener contraseñas, nombres de cuentas (lo que se teocurra). A qué hora dejan de usar la pc y cuando la prende. Cuando la dejan prendida sin estaral frente de la misma.ESTO CONSISTE EN DOS PASOS.Ayuda y publicidad.La publicidad consiste en hacer saber al usuario que estás disponible para contestar preguntasrelacionadas con la computadora. (Llamar antiguos o usuarios de pc, al asar clientes parahacerle saber tu nuevo numero de teléfono “un que sea el mismo”. Siempre tienen unproblema con la PC. De todas maneras hay que comprender por que es mejor hacer que tellamen en vez de lo inverso. Tener una base de datos de usuarios locales. Llamarles ycomunicarle tu numero nuevo.El primer paso para hacer ISI es descomponer la computadora blanco del ataque o la capacidaddel usuario de usar esa computadora. Esto significa que el usuario no podrá tener todos losprivilegios. Se desactivaran varias propiedades de control del S.o.El usuario llamara sin duda cuando, su pc no funcione correctamente.CAUSAS. Alterar un parámetro que ellos no conocen. Ejemplo desabilitar los controladores de laimpresora, color de la pantalla, configuración del periférico. Mi favorito es cambiar el idiomadel teclado. Instalar programas que saturen el inicio de sesión. Programas de simulación de errores (en el inicio).En resumen, el uso de esta técnica se reduce a causar daños en un sistema para despuésofrecerse a arreglar el problema, una vez dentro el atacante es capaz de hacer y deshacer conla información que se le brinda con el objetivo de que “repare el problema”. El usuario siemprequedará contento puesto que el problema desapareció y todo parece indicar que la personaque le dijo que lo arreglaría lo hizo.
  10. 10. HACKING ÉTICOEthical Hacking es basicamente lo mismo que "hackear" solo que con propositos "buenos", enotras palabras sirve para hacer inspecciones a los sistemas y poder asi detectar fallas en losprotocolos seguridad informatica que se esten utilizando, se puede implementar haciendo osimulando ataques que podria sufrir la empresa y/o sus sistemas pero hechospremeditadamente por un especialista en seguridad informatica que puede ser interno oexterno (outsourcing) a la compañia. Se pueden utilizar diferentes herramientas para hacerlo,lo importante es poder prepararse ante un posible ataque verdadero.

×