Guia Basica para bachillerato de Circuitos Basicos
La ingenieria-social
1. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT,
Diseño Web
1La Ingeniería Social
La ingeniería social (Social Engineering) se ha convertido, hoy por hoy, en una de las principales
armas de los hackers, Crackers, et … Es la forma en que se puede conseguir información sin usar
una computadora.
En el ámbito de la seguridad informática, la Ingeniería Social se considera la práctica de obtener
información privilegiada ( o t aseñas, ue tas a a ias, datos o fide iales…) de ciertas
personas mediante engaños telefónicos o a través de Internet haciéndose pasar por personas o
empresas que no son.
Un ejemplo es el email que te llega desde una correo electrónico de Hotmail diciéndote que son la
Dirección de Hotmail y que si no activas tu cuenta en el siguiente formulario te la borrarán porque
Hotmail tiene muchísimas cuentas inactivas (todo esto más detallado claro). Introduces tu email y
contraseña en un bonito formulario y cuando le das a enviar tus datos llegan a un usuario que se
ha aprovechado de la llamada ingeniería social, es decir, de tu confianza. Una de las prácticas más
extendidas es el Phishing.
Según Kevin Mitnick, uno de los hackers y phreakers más conocidos de EEUU (en su historia está
basada la película Hackers 2 o El Asalto Final), existen 4 principios básicos en la Ingeniería Social
que son comunes a todas las personas (o en su gran mayoría).
1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.
Debemos tener en mente que la información no es más que una herramienta que otorga la
posibilidad de ser usada y manipulada en beneficio de quien la posee. Se puede ver a un sistema
informático como un cúmulo de información que ahí está, pero espera ser develada.
A lo largo de mi experiencia en el campo de la seguridad informática he podido aprender o
descubrir que no importa si instalas antivirus, un firewall, un antispyware o cualquier otro software
de seguridad, la información siempre estará vulnerable y siempre, siempre habrá uno más listo que
otro. Solo es cuestión de tiempo para que descubran la vulnerabilidad y explotarla. En algo estoy
de acuerdo con Mitnick, el ser humano es más vulnerable.
Continuamente escuchamos en los medios de comunicación, robos a entidades bancarias vía
internet, miles de personas afectadas, los ahorros de toda su vida desaparecen sin explicación ,
surge la pregunta ¿cómo lo hicieron?. La ingeniería social es parte de la respuesta, Kevin Mitnick
hizo popular este término. La ingeniería social no solo es aplicada por los delincuentes
2. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT,
Diseño Web
2informáticos, también es utilizada por los ladrones de toda la vida, cuando averiguan el nombre de
los ocupantes de una casa y vigilan sus actividades diarias.
Como el caso de una señora que todos los años a una fecha determinada recibía la encomienda de
una hija, cierto día dos hombres, con apariencia de mensajeros, llegaron a su casa y le informaron
que llevaban una caja con ropa que enviaba su hija desde Los Ángeles, confiada les abrió la puerta,
ellos entraron y en menos de cinco minutos robaron sus objetos de valor. En una posterior
declaración la señora dijo: "No sé cómo averiguaron el nombre de mi hija; son astutos".
Lo cierto es que el criminal tiene éxito porque conoce a plenitud a su víctima; hay que desconfiar
de todo, orientar bien a los empleados para que por ningún motivo abran la puerta a
desconocidos o den información comprometedora. Y eso aplica para el ciberespacio y nuestra vida
diaria. El siguiente es parte de un artículo redactado por Violeta Villar, para la agencia EFE, en él,
Kevin Mitnick explica "Que es la ingeniería social según su óptica o experiencia".
Según Mitnick: La ingeniería social es una de las principales herramientas de un delincuente. Ese
término se refiere a los sistemas de engaño que emplea el atacante para obtener información o
bienes. "En muchas empresas pretenden usar un firewall para protegerse de ese tipo de
agresiones, pero eso no es suficiente, dice Mitnick.
El afirma que los ataques a compañías no sólo tienen un fundamento tecnológico. "Atribuyo al
error humano el conocimiento que tienen los hackers de ciertas situaciones internas, lo cual
favorece el acceso a las bases de datos o a sistemas que en teoría son seguros. Los ingenieros
sociales tienen cientos de trampas guardadas en la manga", dice. En materia de métodos no todo
está escrito, pero Mitnick dio el ejemplo del truco que usó con Motorola: "Mi objetivo era conocer
el código fuente del proyecto ultratack (de telefonía móvil). Así que llame por teléfono y fingí ser
otro empleado de la empresa. Un contacto me llevó a otro y, al final, logré hablar con la gerente,
quien me facilitó el código fuente (las instrucciones originales con las que se crea un programa). Yo
no quería venderlo ni nada, mi único interés era ver ese código".
En opinión de Mitnick hay varios factores que hacen vulnerable una organización: "Primero, la
gente tiene mucha confianza en los demás; solemos creer lo que nos dice la otra persona.
Segundo, hay miedo de perder el trabajo; el atacante puede identificarse como un ejecutivo y esta
condición obliga al empleado a actuar de acuerdo con sus órdenes". En las compañías grandes no
hay suficiente contacto humano. Cualquiera de la noche a la mañana puede disfrazar sus
intenciones de robo con el uniforme del mensajero o del vigilante.
También puede ocurrir cuando las empresas tienen una alta rotación de personal; las caras nuevas
pasan y entre ellas puede aparecer el delincuente" dijo Mitnick. Agregó que las situaciones
parecen insólitas, pero ocurren. Un hacker disfrazado de mensajero es capaz de entrar con un
computador portátil, conectarlo a la red de la oficina y permanecer varias horas ante la vista de
todos.
3. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT,
Diseño Web
3Ya leyeron mi punto de la ingeniería social y la de Kevin Mitnick. Ahora veremos como un
ingeniero social puede conseguir información más detalla y para ellos creare un objetivo ficticio.
Ingeniero Social actuando en tiempo real
El objetivo del hacker o Cracker es conocer que existe algún tipo de información y hallar el modo
de conseguirla sin violentar sistemas. No existe ningún tipo de información que sea totalmente
inútil para un hacker. Un hacker siempre sabe que es bueno conocer algo, captar y almacenar uno
o dos datos, porque nunca sabemos cuándo vamos a necesitar retrotraer la información que se
recibe o adquiere. Nunca hay que dejarla en la memoria propia, simplemente porque que es muy
volátil y la información puede perderse para siempre, a menos que uno tenga memoria
fotográfica.
Existen datos que requieren ser anotados en papel, incluso una servilleta puede ser útil de vez en
cuando, o pasarlos a un medio extraíble como en un DDP, memoria flash o un hasta CD-ROM.
A diferencia de lo que la mayoría de las personas creen, un sistema informático no solo se
compone de hardware (el equipo físico) y software (los programas). Las máquinas no funcionan
solas y siempre existen personas de carne y hueso detrás de ellas y de cada sistema. Hasta el
momento no se conoce una máquina que para ponerse en funcionamiento se acerque ella
misma a la fuente de poder y se enchufe sola.
El personal del departamento de sistemas computacionales de cualquier empresa también forma
parte integral del sistema informático, al igual que la computadora y los programas que en ella
residen. Es de saberse que las personas vivas son las que tienen más vulnerabilidades que los fríos
sistemas de proceso, muchos grandes ataques se han generado a partir del enfoque al personal.
Debemos recordar que se puede atacar al software y se puede atacar al personal. Cuando
hablamos de atacar al software nos referimos simplemente a enfocar nuestra atención en el
Sistema Operativo o en los programas de usuario. Hay mucha variedad en el ataque contra el
software, existen vulnerabilidades que pueden ser explotadas en nuestro beneficio, pero también
hay que conocer cómo detectarlas y prevenirlas, porque esto llega a ser un problema de seguridad
importante.
Al hablar de atacar al personal nos referimos a lo que se ha dado a llamar Ingeniería Social. Esta
técnica consiste básicamente en mantener un trato social con las personas que custodian los
datos.
Es simplemente atacar a quien posee la información.
4. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT,
Diseño Web
4La ingeniería social indaga en las costumbres de las personas, en conocerlas más profundamente
para perpetrar posteriormente un ataque más elaborado, con la calidad de un corte de bisturí.
Esta actividad incluye desde la suplantación de identidades confiables hasta la búsqueda en botes
de basura de la información relevante y, con toda probabilidad, es el tipo de ataques del que
menos se habla, pues no existe un manual práctico, depende mucho de las circunstancias, del
Know-how del atacante y sus habilidades, de los conocimientos que pueda poseer la víctima, etc.
Bien manejada, la ingeniería social es uno de los métodos más efectivos de recolección de
información. No hay duda de eso como ya lo vieron anteriormente en mi explicación y la de
Mitnick.
Atacando al Personal
Las personas siempre son la mejor fuente de información a la hora de revelar datos que no deben.
Y no es porque esa gente peque de estúpida o que sean muy ingenuas, sino que es condición
natural de muchas personas la sociabilidad, las ganas de ayudar al prójimo y sentirse útiles, he
aquí donde vemos los principios de la ingeniería social nombrados anteriormente. En muchas
ocasiones, la información se resbala por error y el hacker siempre estará preparado para recibir
cualquier pequeño dato y guardarlo.
Sobra decir que esto le puede jugar una mala pasada a los empleados que manejan la información
sensible si se llegan a topar con alguien que tenga la capacidad de aprovecharse de ella, hasta
pueden perder su empleo. Lamentablemente, tras sufrir una experiencia de este tipo, las personas
se vuelven desconfiadas. Esta es la actitud adecuada siempre. Cuando se manejan muchos datos
críticos hay que volverse un poco paranoico. La desconfianza es el principio de la seguridad tanto
en la vida real como en la virtual.
Aunque los humanos solemos ser inherentemente buenos, el sentido común indica que hay que
poner ciertos límites, pero desde luego, no hay que bajar la guardia. Esta es la razón por la que
nadie sale de su casa sin haber echado llave a la puerta.
Un hacker tiene que ser también un buen psicólogo, entender el comportamiento humano, prever
las reacciones y anticiparse a los acontecimientos. Debe ser capaz de ir más allá de lo que indica
un simple gesto o lo que realmente quiere decir una frase.
Para atacar al personal se pueden usar técnicas agresivas. Si sabemos su correo electrónico, se
puede falsear el propio y escribirles un correo parecido a este:
From: administrador@empresavictima.com
To: isabeltontamevi@empresavictima.com
Saludos Isabel soy Marcos Escorche, de aquí de Sistemas.
5. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT,
Diseño Web
5Me parece que alguien nos ha estado espiando. El programa detector de espías se activó y aunque
no se menciona nada en el reporte, pues no me confío. Voy a cambiar todas las contraseñas del
personal y necesito las antiguas para colocar las nuevas.
Por favor envíame tu contraseña a esta dirección de correo sólo dale un For ard . A uelta de
correo te enviaré una nueva para que puedas memorizarla y después de que lo hagas, haz favor de
eliminar este correo inmediatamente para mayor seguridad.
Gracias.!
Personas con mayor don de gentes pueden lograr mayor información, variando las preguntas,
situaciones, etc. Por supuesto, esto puede también ser infructuoso y no obtener ni un ápice de
información.
Ahí está el riesgo y la prueba. Sin embargo, según estadísticas, resulta sorprendente lo mucho que
se usa esta técnica, el porcentaje de éxito del que goza y los resultados que arroja.
Hay que tener ciertos aspectos en mente. A las personas les gusta ayudar, pero sin sentirse
agobiadas ni atacadas, siempre hay que saber dónde está el límite. Es bien sabido que la gente se
sie te ás at aída po pe so as ue pa e e desvalidas . F ases o o Hola, soy uevo , soy
estudia te y e esito ie ta i fo a ió p edispo e a la pote ial víctima a facilitar
información.
En resumen, solo hay que saber dónde, cuándo y cómo aplicar la técnica.
Como parte de la técnica puede estar el ir personalmente a la oficina y comprobar cómo trabajan,
echando una ojeada a las pantallas mientras te paseas por las instalaciones. Esto mejora cuando la
empresa a la que visitas es de las grandes, donde el personal casi no se conoce.
Hay veces que en una llamada telefónica no se obtienen los datos buscados. Como en una
compañía grande no siempre contesta la misma persona, la recolección se haría en varias llamadas
y anotando en papel cada pedacito de información vital. A ésta técnica se le conoce como
pi otea el aíz . Al fi al solo se e uie e u i todos los pedazos pa a ap e ia el uad o fi al.
Esto es lo que sucede a menudo con compañías como América Online (AOL).
Consejos
Para evitar ser atacados les daré un par de consejos que son efectivos si saben cómo aplicarlos
bien.
1. Crear políticas de seguridad y velar porque cada una sea cumplida.
2. Entrenar muy bien al personal.
6. Marcos Escorche. Programador, Consultor de Seguridad Informática, experto en Criptografía, métodos forenses en IT,
Diseño Web
6Aclaraciones
Los correos nombrados en el ejemplo no existen, tampoco creo que haya un dominio con ese
nombre.
Esto no es para causar terror en la las personas o volverlas más paranoicas de lo que pueden ser,
el objetivo es tener una clara idea de lo que es la ingeniería social y tomar medidas de seguridad
más efectivas. Según un estudio hecho por la compañía de seguridad Kaspersky Lab Venezuela no
está en la lista de los países más vulnerable a grandes ataques informáticos ya que somos un país
subdesarrollado y aun no contamos con un control de bombas nucleares como los tienen Rusia,
Estados Unidos, China, Japón, Corea del Norte y Corea del Sur.
Contactos
Twiiter: @mden_65