LA INGENIERÍA SOCIAL
La Ingeniería Social es
ampliamente utilizada por creadores de malware y delincuentes informáticos debido
al alto nivel de eficacia logrado engañando al usuario.
Es en la preparación de un
engaño en particular, donde la Ingeniería Social comienza a ser aplicada por parte
los creadores de códigos maliciosos y otro tipo de atacantes.
1.
Noticias sobre catástrofes
La lluvia de correos sobre
las tormentas en Europa del 2007 confirma la efectividad de la Ingeniería
Social: la ingenuidad y la morbosidad humana fueron utilizadas como vehículos
para la propagación de una de las principales epidemias de los últimos años.
Esas tormentas fueron el
inicio de una familia de malware conocida como Nuwar (o Gusano de la Tormenta),
que utilizó cientos de asuntos y mensajes distintos durante dos años para
formar una gran Botnet con millones de usuarios infectados como por ejemplo con
imágenes (catástrofes naturales, atentados terroristas, y guerras).
Muchas personas sienten
curiosidad por las imágenes o videos de situaciones como las anteriores.
El arma infalible: la
Ingeniería Social es ampliamente utilizada como recurso para engañar a los
usuarios y llevarlos a infectarse con distintos tipos de malware.
En cada una de las
situaciones antes descriptas, siempre ha habido ejemplos de engaños por correo
electrónico u otro medio, en los que se busca lograr que una persona, con
interés en donar dinero para ayudar a los afectados, termine depositándolo en
la cuenta del inescrupuloso responsable del fraude.
2.
Famosos
Los programadores de
malware también se valen de personajes famosos y políticos para lograr que sus ceraciones
se propaguen engañando a los usuarios desprevenidos o demasiado curiosos.
A lo largo de la historia
del malware, existen casos en los que se menciona a cantantes (Michael Jackson,
Britney Spears, etc.), actrices y/o actores (Jennifer López o Angelina Jolie,
por ejemplo), deportistas (Anna Kournikova) y personalidades mundialmente
reconocidas (Bill Gates, Osama Bin Laden, Saddam Hussein, etc.); entre muchos
otros.
Muchos de estos códigos
maliciosos no hacen más que lograr repercusión en la prensa, como los recordados
casos en que se hacía mención a la fallecida Lady Di o a Britney Spears o el
aún mencionado Kamasutra (que en realidad es el gusano VB.NEI, Nyxem o
Blackmal; según la casa antivirus) cuya mayor propagación fue a través de las
noticias, en lugar de utilizar los equipos informáticos de los usuarios.
Actualmente, las redes
sociales vienen cobrado relevancia al reproducir este tipo de amenazas con supuestas
imágenes o videos de personalidades famosas, que en realidad terminan
descargando todo tipo de malware.
3.
Marcas y eventos conocidos
El uso de nombres de
compañías u organizaciones no sólo se aplica al malware adjunto a mensajes de correo
electrónico, sino también en troyanos, phishing y scam.
Una práctica altamente
frecuente para la propagación de gusanos y otros códigos maliciosos, tiene como
base el envío de mensajes como si proviniesen de una reconocida empresa de software,
con información
En muchos de los casos de
utilización de marcas, los creadores de códigos maliciosos incluyen una leyenda
al pie del correo electrónico informando que el mismo ha sido analizado por
algún antivirus reconocido y que está libre de malware con el objetivo de darle
una mayor credibilidad al mensaje.
Muchos de estos mensajes,
cuando son enviados masivamente a través del correo electrónico, suelen estar
armados en formato HTML o texto enriquecido, incluyendo logos y el formato
típico de la empresa u entidad organizadora del evento.
En el caso del Scam y el
phishing, la metodología es similar, diferenciándose en que no se suelen
incluir archivos adjuntos. Además, los mensajes creados para favorecer el
phishing suelen utilizar nombres de compañías relacionadas con el ambiente
financiero (bancos, tarjetas de crédito, etc.), sitios de Internet reconocidos
(como Google, Yahoo!, PayPal, eBay, etc.), compañías de telefonía y muchas
otras.
Dado que la mayoría de las
empresas y organizaciones tienen políticas de uso en las que explican que no enviarán
mensajes de correo electrónico con archivos adjuntos, los usuarios nunca deben
hacer caso a este tipo de mensajes.
¿Qué
tiene que ver la Ingeniería Social con la seguridad informática?
La seguridad informática
tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores
se mantengan libres de cualquier problema, y que el servicio que nuestros
sistemas prestan se realice con la mayor efectividad y sin caídas. En este
sentido, la seguridad informática abarca cosas tan dispares como:
- · Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
- La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
- El control del acceso físico a los sistemas.
- · La elección de un hardware y de un software que no de problemas.
- · La correcta formación de los usuarios del sistema.
Técnicas
de Ingeniería Social
Dos
tipos, según el nivel de interacción del ingeniero social:
Técnicas Pasivas:
Observación
Técnicas
no presenciales:
Recuperar la contraseña
Ingeniería Social y Mail
IRC u otros chats
Teléfono
Carta y fax
Ingeniería social - Hack
Story
Ingeniería social en
aviones y trenes de alta velocidad
Agendas y teléfonos móviles
Desinformación
Métodos
agresivos
Suplantación de
personalidad
Chantaje o extorsión
Despersonalización
Ingeniería social
(seguridad informática)
Para ver un término similar
en una disciplina diferente vea Ingeniería social (ciencias políticas).
En el campo de la seguridad
informática, ingeniería social es la práctica de obtener información
confidencial a través de la manipulación de usuarios legítimos. Es una técnica
que pueden usar ciertas personas, tales como investigadores privados,
criminales, o delincuentes computacionales, para obtener información, acceso o
privilegios en sistemas de información que les permitan realizar algún acto que
perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta
la ingeniería social es el que en cualquier sistema "los usuarios son el
eslabón débil". En la práctica, un ingeniero social usará comúnmente el
teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un
empleado de algún banco o alguna otra empresa, un compañero de trabajo, un
técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de
solicitudes de renovación de permisos de acceso a páginas web o memos falsos
que solicitan respuestas e incluso las famosas "cadenas", llevando
así a revelar información sensible, o a violar las políticas de seguridad
típicas.
Con este método, los
ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de
manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles
financieros a un aparente funcionario de un banco- en lugar de tener que
encontrar agujeros de seguridad en los sistemas informáticos.
Quizá el ataque más simple
pero muy efectivo sea engañar a un usuario llevándolo a pensar que un
administrador del sistema esta solicitando una contraseña para varios
propósitos legítimos.
Los usuarios de estos
sistemas deberían ser advertidos temprana y frecuentemente para que no
divulguen contraseñas u otra información sensible a personas que dicen ser
administradores. En realidad, los administradores de sistemas informáticos
raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a
cabo sus tareas.
La ingeniería social
también se aplica al acto de manipulación cara a cara para obtener acceso a los
sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a
través de la introducción de contraseñas habituales, lógicas típicas o
conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña
introduciría yo si fuese la víctima?
La principal defensa contra
la ingeniería social es educar y entrenar a los usuarios en el uso de políticas
de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros
sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión,
la ingeniería social se basa en estos cuatro principios:
1.
Todos
queremos ayudar.
2.
El
primer movimiento es siempre de confianza hacia el otro.
3.
No
nos gusta decir No.
4.
A
todos nos gusta que nos alaben.
¿Cómo
defenderse contra la Ingeniería Social?
La mejor manera de
enfrentar el problema, es concientizar a las personas al respecto. Educarles
sobre seguridad y fomentar la adopciónde medidas preventivas. Otros mecanismos
sugeridos son:
- · Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.
- · Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.
- · Efectuar controles de seguridad física para reducir el peligro inherente a las personas.
- · Realizar rutinariamente auditorías y pentest usando Ingeniería
- · Social para detectar huecos de seguridad de esta naturaleza.
- · Llevar a cabo programas de concientización sobre la seguridad de la información.