martes, 6 de agosto de 2013

INGENIERIA SOCIAL







La ingeniería social es una de las técnicas de hacking más antiguas de la informática –casi tanto como la misma– con la que un “hacker” puede penetrar hasta en los sistemas más difíciles usando la vulnerabilidad más grave de todas: la humana. 

Básicamente, la ingeniería social es el arte o ciencia de conseguir que las personas cumplan los deseos de otra. No es ningún tipo de magia ni nada por el estilo, se basa en lograr que los trabajadores realicen tareas típicas de su trabajo de una manera natural, y aunque pueda parecer algo raro, ésta es una de las técnicas favoritas de los “hackers” expertos para obtener información sobre un determinado objetivo o penetrar en sistemas informáticos. 
Implica más que una simple llamada inocente con la que recabar información usando un tipo de acento vocal determinado. La ingeniería social implica una fase de trabajos a nivel más bajo (groundwork) para obtener la información necesaria, como el conocer los datos internos de una empresa o un individuo, número de servidores, cuentas bancarias, etc. Esto muchas veces se consigue entablando una conversación ridícula con las personas que tienen acceso directo a los objetivos del atacante como se analizará a continuación (la mayoría del trabajo se encuentra en la preparación y no en la acción propiamente dicha). 
Puede pensar que este post es simplemente una falsa excusa para demostrar como estas técnicas pueden ser usadas para realizar hacking, pero, en la realidad, la única forma de defenderse contra este tipo de ataques de seguridad es conociendo qué métodos pueden ser usados. Con estos conocimientos es posible prevenir brechas de seguridad antes de que nadie pueda conseguir ningún dato confidencial. 




La parte más delicada de la seguridad informática 



Sin duda, la parte más delicada de la seguridad informática está representada por el factor humano más que por la aplicación de las medidas de seguridad habituales como aplicación de parches diarios o el uso de firewalls bien configurados. Es más, conviene recordar que el único ordenador seguro es el que no está encendido. De hecho, en este caso, ni siquiera la regla anterior tiene sentido, ya que un hacker puede ser capaz de persuadir a un empleado para que conecte el ordenador y luego poder realizar el tipo de intrusión necesario, todo esto usando sólo la ingeniería social. 
Por ello, la parte humana de una cadena de seguridad es la más esencial. No existe ningún sistema informático que no dependa de humanos. Esto significa que esta vulnerbilidad es universal, independientemente de la plataforma, etc. 
Toda persona con acceso físico a algún sistema crítico es potencialmente un problema de seguridad. Cualquier información dada puede ser usada contra una propia empresa. Sin ir más lejos, las personas que habitualmente no son consideradas parte de una política de seguridad pueden ser usadas para crear una brecha en su sistema. 
En realidad este es un problema más grave de lo que se podría imaginar en un primer momento. Los expertos en seguridad normalmente no están preparados para actuar frente a estos casos de hacking, ya que no dependen directamente de las máquinas, si no de los humanos. 

Métodos 

El intento de procurar que una persona llegue a completar una acción por parte de otra puede suponer el uso de muchos métodos dispares, pero, el primero y el más obvio es una petición directa. Aunque esto en raras ocasiones funciona, es el método más utilizado debido a su sencillez, la persona debe saber perfectamente que es lo que se le está pidiendo. 
La segunda forma es creando una situación comprometida en la cual la persona encargada esté simplemente involucrada en ella. Con más factores que simplemente realizar una petición, es más fácil persuadir a una persona ya que se pueden crear situaciones delicadas de las cuales prefieren procurar la información para no implicarse en ella. Esta fase requiere un conocimiento más exhaustivo de las costumbres y trabajo de la víctima. 
Para realizar un ataque de ingeniería social, los "hackers" usan, normalmente, métodos de contacto impersonales (que no requieran un contacto físico o visual) como por ejemplo el teléfono o el e-mail. Es más, son conocidos en la historia del hacking numerosas situaciones en las que un chico con menos de 16 años se ha hecho pasar por un adulto para conseguir información delicada como claves de acceso a sistemas informáticos. 
Esto no quiere decir que no se usen métodos de contacto directo, en los que el ingeniero social habla cara a cara con la víctima con fines persuasivos. Pero ésta es, con diferencia, la opción mas difícil, y la mas arriesgada dentro de la ingeniería social, ya que para poder realizarla hay que contar con mucha sangre fría y un grado muy alto de conocimiento acerca del objetivo –ya sea una persona o una empresa–. 
La principal diferencia con el resto de métodos, está obviamente en que la víctima te puede ver (no basta con colgar el teléfono). 
Para llevar a cabo todo el proceso con éxito, los hackers cuidan hasta el mínimo detalle, tener razones y pruebas con las que poder apoyar sus peticiones. La única ventaja con la que cuenta el ingeniero social en estos casos es que al ser algo tan poco usual, nadie se lo espera. Un ejemplo de lo comentado, es hacerse pasar por un encuestador de algún tipo, con lo que ya existiría una razón para hacer preguntas. 

Persuasión 

Incluso en los casos en los que una persona está completamente segura de actuar de la manera correcta, es posible hacer que cambien su comportamiento natural usando la persuasión. Lo más habitual no es forzar a alguien a cumplir una orden, si no persuadir su voluntad para que cumpla con la petición. 
Hay una sutil diferencia. Básicamente, el objetivo es simplemente guiado a través de una conducta habitual con la finalidad de que piense que tiene un control de la situación y que está usando ese poder para ayudar al atacante. Por ello, siempre se busca la cooperación entre atacante y víctima, lo que redunda en importantes factores que pueden incrementar o decrementar las oportunidades de un “ingeniero social”. 
Habitualmente, los menores conflictos que se produzcan redundarán en mayores posibilidades de éxito en el ataque. Psicológicamente hablando, existen estudios que indican que las personas cumplirán una petición importante determinada si previamente han cumplido otra más insignificante, por eso el ingeniero social tratará siempre de camelar a la víctima para luego ir al grano (cuando ya se haya establecido un vínculo, por pequeño que sea). Esto se da de manifiesto al entablar una conversación (por cualquiera de los métodos) de interés general (por ejemplo: el fútbol, el último caso antimonopolio contra Microsoft, incluso, aunque suene contradictorio, la seguridad) con alguna persona involucrada indirectamente en el mantenimiento de los equipos informáticos. La técnica consiste simplemente en no llevarle la contra a la victima y hacer que se sienta a gusto en la conversación, de este modo se persuade para que en un futuro realice acciones en contra de sus propios intereses. 
No hay que olvidar que la persuasión por sí misma no es razón suficiente para que la mayoría de la gente proporcione información que no debiera, por ello, muchas veces se utiliza la involucración como parte del compromiso. Es decir, si la persona. objetivo de un hacker, está altamente involucrada con el sistema en cuestión, no bastaría para convencerle usar argumentos débiles, si no todo lo contrario, cuanto más se involucre a la víctima más posibilidades hay que coopere. 

Protegerse de los ataques humanos 

La mejor defensa contra esto es muy sencilla: la educación. Conociendo la importancia de la seguridad informática y que existe gente preparada para intentar manipularles para conseguir acceso a los sistemas sería un buen primer paso. Simplemente, previniendo posibles ataques futuros en contra de nuestros propios intereses hará que estemos más despiertos. 
En general, este proceso de educación hará que estemos mas preocupados en este problema. Además, cuesta muy poco trabajo educarnos. 

E-mail como arma de ingeniería social 

Uno de los métodos de ingeniería social usados más habitualmente es el correo electrónico. El correo electrónico es junto con la World Wide Web(www), una de las aplicaciones más conocidas de Internet, debido a esto, las potenciales víctimas están más familiarizadas con su uso y sus fallos de seguridad, esto también supone que cuando se extienden falsos rumores de virus como el archiconocido "Good Times" y similares, su repercusión es mucho mayor. 

El envío de correo anónimo es posible, no mediante programas de Windows como el Anonymail y otros, que suelen mandar la dirección IP, sino a través de los remailers, encadenando 3 o 4 de ellos es posible obtener una buena dosis de anonimato. Para realizar una operación de ingeniera social se suele usar un remitente falso en lugar de anónimo (para parecer más creyente). El envío de correo falso (fake mail) también es algo muy conocido. Para realizarlo sólo hay que conectar a un servidor de correo de Internet por el puerto 25 (SMTP, el puerto donde corre el dominio de correo) y ejecutar las siguientes órdenes: 

HELO: es el comando usado para identificarte ante la máquina, si responde mostrando el host es que ha le ha identificado. 
MAIL FROM: usuario10@microsoft.com: la dirección del emisor, se puede poner cualquier cosa. 
RCPT TO: admin@microsoft.com: es la dirección del destinatario o persona que lo recibirá 
DATA: texto del mensaje terminado con un punto (.) en una línea en blanco 

Estimado administrador, 
¿Sería tan amable de cambiar mi contraseña de acceso al sistema ya que tengo problemas al conectarme a mi cuenta con mi PDA que no acepta números en la contraseña? Si es posible use la clave: hack4u 
Gracias. 

Y así se envía un correo falso, la fiabilidad de este procedimiento es muy relativa ya que depende mucho de las versiones del dominio de correo, del sistema donde funcione, la existencia de firewalls intermedios, etc. De cualquier manera, el problema de esto no es enviar el correo sino donde recibirlo, por lo que muchas veces el mensaje incluye alguna orden explícita. Obviamente, si es falso no se puede recibir en la misma cuenta que se supone es la emisora. Si la víctima cree que el emisor del e-mail es una dirección en la que confía será mas propensa a ejecutar la acción solicitada. 

Ejemplos 

SirCam: un ejemplo de Ingeniería Social que ha engañado a 15.000 usuarios. 
Un nuevo y claro ejemplo de ingeniería social ha dado la vuelta al mundo: la multitudinaria infección por el virus SirCam ha contagiado, sólo en España, a 15.000 empresas. Esta técnica, habitualmente empleada por los hackers para engañar a los usuarios, consiste en jugar con la psicología del receptor invitándole a abrir los correos electrónicos que llegan con un mensaje amable, erótico, humorístico o, simplemente, con elementos que despiertan su curiosidad. 

Paradójicamente, en una época en la que prima la globalización y el trato impersonal a través del anonimato de la Red, los internautas han sido víctimas del SirCam gracias a un sencillo texto que invita a una relación cordial (“Hola, ¿cómo estás?”) y, además, prima la valiosa opinión del receptor del mensaje sobre un supuesto archivo, fichero o informe (“Te mando este archivo para que me des tu punto de vista”). Una despedida con una promesa (“Nos vemos pronto, gracias”) sirve de colofón a un correo electrónico que con sólo tres frases ha conseguido engañar a miles de usuarios, como lo hizo, hace un año, "I Love You" , con la particularidad de que este nuevo gusano es aún más peligroso. 
Además, al ser SirCam un virus que se reenvía a la libreta de direcciones de correo electrónico, habitualmente éste código malicioso llega a los usuarios remitido por una persona conocida. La sencillez y habilidad con que ha sido pensada la táctica de infección de SirCam no sólo está repercutiendo en la concienciación, cada vez mayor, acerca de una correcta protección antivirus en los ordenadores, sino que está aumentando la desconfianza hacia las personas con las que normalmente se intercambia correo electrónico. 
El objetivo destructivo del creador de este gusano no eran sólo los países de habla hispana, sino todo el mundo y para lograrlo, además de una versión en castellano, también se ha distribuido el texto del correo en inglés. De esta manera, mientras EE.UU esperaba la activación del Código Rojo, SirCam se expandía silenciosamente, llegando a todos los rincones del planeta. 
En la práctica, los autores de virus emplean la Ingeniería Social para que sus creaciones se propaguen rápidamente. Para ello atraen la atención del usuario y consiguen que realice alguna acción (que, normalmente, consiste en abrir un fichero que es el que procede a realizar la infección), mediante variados trucos. 

Otros ejemplos ampliamente conocidos son: 

"AnnaKournikova" alias VBS/SST.A o I-Worm/Lee.O: intenta engañar al usuario haciéndole creer que ha recibido un fichero que contiene una fotografía de la tenista Anna Kournikova. 
Trojan.Butano: aprovecha la imagen del conocido locutor de radio José María García para esconder un programa que elimina todos los archivos existentes en el directorio raíz del disco duro. 
VBS/Monopoly: se autoenvía por correo electrónico en un mensaje que tiene como asunto “Bill Gates joke” (“Broma sobre Bill Gates”), y como cuerpo “Bill Gates is guilty of monopoly. Here is the proof.:” (“Bill Gates es culpable de Monopoly Descripción: https://blogger.googleusercontent.com/img/proxy/AVvXsEjud3g_WR6MhLMNe4s56qm4bnjmHZB8WC8E2tZM7975UGpBI0m9wmDPdNCkSNGcArI-VHKsBh-xU0gLFETc7mQz3qIbgBuYcPdmpz0f1MSCrIV78yFgZqlFSDXO-1tlt-xdXTlf07jxxnQ=)”. 
I-Worm/Pikachu: se envía por correo electrónico en un mensaje cuyo asunto es “Pikachu Pokemon”, en clara referencia al popular personaje infantil de videojuegos y series de animación. 

Conclusión 

Contrariamente a las creencias populares, a menudo es más fácil hackear a las personas que al sendmail. También es más fácil educar a la gente en contra de este tipo de ataques que proteger un servidor UNIX. La conclusión sería que la ingeniería social es un grave problema fácil de prevenir. 
De hecho, cualquiera puede ser un ingeniero social –todos los humanos disponemos de las herramientas necesarias–, por lo que el problema de la ingeniería social es aún más grave de lo que pueda parecer en un primer momento. 
También, hay que reseñar que en España los ataques por ingeniería social son mucho menores en proporción que los que se producen en otros países tecnológicamente más avanzados como Estados Unidos o Alemania, en los que, obviamente, la seguridad ya forma una parte importante en el presupuesto anual de las empresas. 



PARA ESTE TEMA LE INVITAMOS A ACCEDER EN EL SIGUIENTE LINK



INGENIERIA SOCIAL
Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)