2. LA INGENIERIA SOCIAL
En pocas palabras, la ingeniería social (IS) es un conjunto de técnicas psicológicas y
habilidades sociales (como la influencia, la persuasión y sugestión) implementadas
hacia un usuario directa o indirectamente para lograr que éste revele información
sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual.
Estas pueden estar llevadas a cabo mediante el trabajo con tecnología y ordenadores
o directamente a través del trato personal.
El objetivo es evadir o hacer más fácil el acceso a los sistemas de seguridad
tradicionales al acceder a la información desde la fuente más confiable pero más
vulnerable, el propio protegido.
3. La ingeniería social se ha convertido en uno de los métodos de ataque más
frecuentes en nuestros días, provocando graves fallos de seguridad. El fallo
RSA en 2011, por ejemplo, se baso en una campaña de phishing dirigido y u
exploit incrustada en un archivo Excel.
Además las empresas deben conocer las amenazas reales a las que se
enfrentan, por lo que realizar pruebas frente a ataques de ingeniería social
ser algo obligado para todas las compañías.
Los atacantes en pruebas deben poder acceder rápidamente a datos sensib
poder instalar un dispositivo en poco tiempo para probar su éxito ya que la
ventana de la que disponen es muy breve.
La ingeniería social se basa en la psicología. Existen diferentes incentivos y
motivadores en las personas que permiten a los ingenieros sociales llevar a
víctima a actuar. Por ejemplo el Dr. Robert Cialdini define en su libro Influen
The Psychology of Persuasion (lanzado en 1984), estos seis motivadores cla
4. Existen cuatro técnicas de ingeniería social que los atacantes pueden
usar para probar la seguridad de la organización: phishing, pretexting,
media dropping y tailgating.
Pruebas de seguridad de penetración mediante ingeniería social:
Phishing
El phishing implica el envió de un correo a un usuario donde se le
convence para que haga algo. El objetivo de este ataque de prueba
debería ser que el usuario haga clic en algo y después registrar esa
actividad, o incluso instalar un programa como parte de un programa de
pruebas mucho más extenso. En última instancia pueden instalar exploit
adaptados al software del cliente para verificar problemas con los
navegadores, contenido dinámico, plugins o software instalado
Mejorando la calidad de las pruebas internas
La clave del éxito de este sistema es la personalización. Personalizar el
5. Pruebas de seguridad de penetración mediante ingeniería socia
Pretexting
El pretexting (pretextos) implica llamar por teléfono al usuario y p
ierta información, generalmente simulando ser alguien que prec
ayuda. Esta técnica puede funcionar bien si se usa mediante aque
usuarios de bajo nivel técnico y que tengan acceso a información
ensible.
a mejor estrategia para empezar es empezar con nombres reale
pequeñas peticiones al personal de la organización que esté espe
algo. En la conversación el atacante simula necesitar ayuda de la
Mucha gente está dispuesta a hacer pequeñas tareas que no sea
percibidas como algo sospechoso). Una vez establecido el contac
atacante puede pedir algo más sustancial.
a búsqueda de información de interés, usando Google y herram
omo Maltego de Paterva puede impedir el éxito de este tipo de
6. Pruebas de seguridad de penetración mediante ingeniería social: Media
dropping
La descarga en medios suele implicar la presencia de un disco USB en un
ugar razonable, como un aparcamiento o la entrada al edificio. El
ngeniero social busca el interés de la persona que, al utilizar esta unidad
flash, lanza un ataque contra el equipo donde se conecta.
Dispositivos Drop box para pruebas de ataques
Los atacantes en pruebas pueden instalar un pequeño programa, sin
riesgo, dentro de la red del cliente y después ejecutarlo de forma remota.
Existen productos comerciales como Pwnie Express’ PwnPlug, o bien los
programas y dispositivos que los atacantes puedan crear con
herramientas de sniffing y spoofing.
Una herramienta gratuita para crear estos archivos es Metasploit, que
genera automáticamente cargas maliciosas. El SET “Generador de Medios
7. Pruebas de seguridad de penetración mediante ingeniería social:
Tailgating
El tailgating supone lograr acceso a una instalación física mediante
engaño a su personal, o simplemente colándose dentro. El objetivo de
este test es demostrar que el atacante puede superar a la seguridad
física.
Los atacantes deberían ser capaces de obtener información sensible o
poder instalar un dispositivo rápidamente para mostrar su éxito, ya que
tienen poco tiempo para hacerlo antes de salir de la instalación. Si el
atacante puede tomar fotos de los documentos presentes en impresoras
o escritorios, o instalar un sistema de pruebas dropo box con acceso a la
red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la
empresa.
Mediante el uso de estas cuatro técnicas de ingeniería social,
el personal de pruebas puede determinar las vulnerabilidades
de la organización y recomendar las medidas correctoras y