Thursday, October 4, 2012

Ingeniería Social


LA INGENIERÍA SOCIAL

La Ingeniería Social es ampliamente utilizada por creadores de malware y delincuentes informáticos debido al alto nivel de eficacia logrado engañando al usuario.
Es en la preparación de un engaño en particular, donde la Ingeniería Social comienza a ser aplicada por parte los creadores de códigos maliciosos y otro tipo de atacantes.
 
1. Noticias sobre catástrofes

La lluvia de correos sobre las tormentas en Europa del 2007 confirma la efectividad de la Ingeniería Social: la ingenuidad y la morbosidad humana fueron utilizadas como vehículos para la propagación de una de las principales epidemias de los últimos años.

Esas tormentas fueron el inicio de una familia de malware conocida como Nuwar (o Gusano de la Tormenta), que utilizó cientos de asuntos y mensajes distintos durante dos años para formar una gran Botnet con millones de usuarios infectados como por ejemplo con imágenes (catástrofes naturales, atentados terroristas, y guerras).
Muchas personas sienten curiosidad por las imágenes o videos de situaciones como las anteriores.

El arma infalible: la Ingeniería Social es ampliamente utilizada como recurso para engañar a los usuarios y llevarlos a infectarse con distintos tipos de malware.
En cada una de las situaciones antes descriptas, siempre ha habido ejemplos de engaños por correo electrónico u otro medio, en los que se busca lograr que una persona, con interés en donar dinero para ayudar a los afectados, termine depositándolo en la cuenta del inescrupuloso responsable del fraude.

2. Famosos

Los programadores de malware también se valen de personajes famosos y políticos para lograr que sus ceraciones se propaguen engañando a los usuarios desprevenidos o demasiado curiosos.

A lo largo de la historia del malware, existen casos en los que se menciona a cantantes (Michael Jackson, Britney Spears, etc.), actrices y/o actores (Jennifer López o Angelina Jolie, por ejemplo), deportistas (Anna Kournikova) y personalidades mundialmente reconocidas (Bill Gates, Osama Bin Laden, Saddam Hussein, etc.); entre muchos otros.

Muchos de estos códigos maliciosos no hacen más que lograr repercusión en la prensa, como los recordados casos en que se hacía mención a la fallecida Lady Di o a Britney Spears o el aún mencionado Kamasutra (que en realidad es el gusano VB.NEI, Nyxem o Blackmal; según la casa antivirus) cuya mayor propagación fue a través de las noticias, en lugar de utilizar los equipos informáticos de los usuarios.
Actualmente, las redes sociales vienen cobrado relevancia al reproducir este tipo de amenazas con supuestas imágenes o videos de personalidades famosas, que en realidad terminan descargando todo tipo de malware.


3. Marcas y eventos conocidos

El uso de nombres de compañías u organizaciones no sólo se aplica al malware adjunto a mensajes de correo electrónico, sino también en troyanos, phishing y scam.
Una práctica altamente frecuente para la propagación de gusanos y otros códigos maliciosos, tiene como base el envío de mensajes como si proviniesen de una reconocida empresa de software, con información

En muchos de los casos de utilización de marcas, los creadores de códigos maliciosos incluyen una leyenda al pie del correo electrónico informando que el mismo ha sido analizado por algún antivirus reconocido y que está libre de malware con el objetivo de darle una mayor credibilidad al mensaje.

Muchos de estos mensajes, cuando son enviados masivamente a través del correo electrónico, suelen estar armados en formato HTML o texto enriquecido, incluyendo logos y el formato típico de la empresa u entidad organizadora del evento.

En el caso del Scam y el phishing, la metodología es similar, diferenciándose en que no se suelen incluir archivos adjuntos. Además, los mensajes creados para favorecer el phishing suelen utilizar nombres de compañías relacionadas con el ambiente financiero (bancos, tarjetas de crédito, etc.), sitios de Internet reconocidos (como Google, Yahoo!, PayPal, eBay, etc.), compañías de telefonía y muchas otras.

Dado que la mayoría de las empresas y organizaciones tienen políticas de uso en las que explican que no enviarán mensajes de correo electrónico con archivos adjuntos, los usuarios nunca deben hacer caso a este tipo de mensajes.

¿Qué tiene que ver la Ingeniería Social con la seguridad informática?
La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:

  • ·         Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
  •   La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
  •   El control del acceso físico a los sistemas.
  • ·         La elección de un hardware y de un software que no de problemas.
  • ·         La correcta formación de los usuarios del sistema.

Técnicas de Ingeniería Social

Dos tipos, según el nivel de interacción del ingeniero social:

Técnicas Pasivas:

Observación

Técnicas no presenciales:
Recuperar la contraseña
Ingeniería Social y Mail
IRC u otros chats
Teléfono
Carta y fax
Ingeniería social - Hack Story
Ingeniería social en aviones y trenes de alta velocidad
Agendas y teléfonos móviles
Desinformación
 
Métodos agresivos

Suplantación de personalidad
Chantaje o extorsión
Despersonalización
Ingeniería social (seguridad informática)
Para ver un término similar en una disciplina diferente vea Ingeniería social (ciencias políticas).

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas.

Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos.

Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

1.    Todos queremos ayudar.
2.    El primer movimiento es siempre de confianza hacia el otro.
3.    No nos gusta decir No.
4.    A todos nos gusta que nos alaben.
 
¿Cómo defenderse contra la Ingeniería Social?

La mejor manera de enfrentar el problema, es concientizar a las personas al respecto. Educarles sobre seguridad y fomentar la adopciónde medidas preventivas. Otros mecanismos sugeridos son:

  • ·         Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.
  •  ·         Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.
  • ·         Efectuar controles de seguridad física para reducir el peligro inherente a las personas.
  • ·         Realizar rutinariamente auditorías y pentest usando Ingeniería
  • ·         Social para detectar huecos de seguridad de esta naturaleza.

  • ·         Llevar a cabo programas de concientización sobre la seguridad de la información.

Posted by at
Labels: , ,

3 comments:

  1. samanthaOctober 4, 2012 at 10:34 PM

    exelente informacion y muy completa...esta muy interesante su blo...felicidades chicos

    ReplyDelete
  2. UnknownOctober 4, 2012 at 10:41 PM

    buena inf.:) buen block

    ReplyDelete
  3. daniela valdovinosOctober 5, 2012 at 10:10 PM

    maravilloso blog buenísima información!

    ReplyDelete

Subscribe to: Post Comments (Atom)