Los Nueve Principios del Desempeño de la Sostenibilidad
Capitulo2 - Virus Informaticos
1. VIRUS Virus Informáticos : La Epidemia del Siglo XXI LA INGENIERÍA SOCIAL A.S.C. MARCELO A. SANCHEZ CÓMO DEFENDERSE ? LA PARTE MÁS DELICADA DE LA SEGURIDAD CAPÍTULO II: INGENIERÍA SOCIAL MÉTODOS PERSUACIÓN SIRCAM - Un ejemplo de Ing. Social E-MAIL: EL “ARMA” DE LA ING. SOCIAL CONCLUSIÓN
2. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ CAPÍTULO II: INGENIERÍA SOCIAL LA INGENIERÍA SOCIAL DURANTE LA SEGUNDA GUERRA MUNDIAL, EL EJÉRCITO ALEMÁN CONTABA ENTRE SUS FILAS CON UN FORMIDABLE EQUIPO DE CRIPTOANALISTAS CUYA MISIÓN CONSISTÍA EN DESENCRIPTAR LAS COMUNICACIONES ALIADAS CIFRADAS. BASÁNDOSE EN LAS MATEMÁTICAS Y EN OTRAS DISCIPLINAS CIENTÍFICAS, SUS MIEMBROS LLEGABAN A DESCIFRAR HASTA UN 50% DE LAS COMUNICACIONES INTERCEPTADAS. EL EJÉRCITO ITALIANO NO CONTABA CON UNA FUERZA CRIPTOANALISTA SEMEJANTE Y, SIN EMBARGO, DESCIFRABAN UN NÚMERO DE COMUNICACIONES MUCHO MAYOR. EN SU LUGAR, SU ESTRATÉGIA TAN EXITOSA SE BASABA EN EL SOBORNO, EL ENGAÑO Y EN ACOSTARSE CON LOS ALTOS MANDOS PARA SONSACAR CONFIDENCIAS. SE TRATÓ DE UN INMEJORABLE EJEMPLO PARA LA HISTORIA DE LA INGENIERÍA SOCIAL.
3. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ LA INGENIERÍA SOCIAL TRADICIONALMENTE, LOS INTRUSOS SE HAN VALIDO DE LOS ENGAÑOS PARA CONSEGUIR ATACAR EL ESLABÓN MÁS DÉBIL DE LA CADENA DE USUARIOS Y RESPONSABLES DE UN EQUIPO DE CÓMPUTOS O DE UNA RED. DE NADA VALE ENCRIPTAR LAS COMUNICACIONES, SELLAR LOS ACCESOS, DISEÑAR UN BUEN SISTEMA DE SEGURIDAD PARA LAS DISTINTAS ESTACIONES DE TRABAJO Y JERARQUIZAR LOS ACCESOS A LOS MISMOS SI NO CONTAMOS CON UN PERSONAL QUE SE HALLE LO SUFICIENTEMENTE PREPARADO PARA HACERLE FRENTE A LOS ENGAÑOS EXTERNOS. LA PRINCIPAL HERRAMIENTA QUE MANEJAN HOY LOS CREADORES DE VIRUS ES LA QUE SE HA DADO EN LLAMAR INGENIERÍA SOCIAL CON ESTE CURIOSO TÉRMINO SE ENGLOBA UNA SERIE DE TRETAS, ARTIMAÑAS Y ENGAÑOS ELABORADOS CON EL FIN DE CONFUNDIR A LOS USUARIOS O, PEOR TODAVÍA, LOGRAR QUE COMPROMETAN SERIA- MENTE LA SEGURIDAD DE SU COMPUTADORA O LA DE TODA LA RED DE LA EMPRESA EN DONDE TRABAJA. CAPÍTULO II: INGENIERÍA SOCIAL
4. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ LA INGENIERÍA SOCIAL LOS INTRUSOS SE APROVECHAN DE SENTIMIENTOS TALES COMO LA CURIOSIDAD, LA AVARICIA, EL SEXO, LA COMPASIÓN EL MIEDO, EL ODIO, EL VÁNDALO INTERESADO CONSIGUE SIEMPRE SU OBJETIVO. CON EL OBJETIVO DE INFECTAR EL MAYOR NÚMERO POSIBLE DE PC´S CADA VEZ SON MÁS LOS “GUSANOS” QUE RECURREN A LA ING. SOCIAL EN LA I.S. NO SE EMPLEA NINGÚN PROGRAMA, SÓLO GRANDES DOSIS DE INGENIO, SUTILEZA Y PERSUACIÓN PARA ASÍ LOGRAR OBTENER LA INFORMACIÓN A TRAVÉS DE OTRA PERSONA SIN QUE SE DÉ CUENTA DE QUE ESTÁ REVELANDO INFORMACIÓN CON LA QUE, ADEMÁS, EL ATACANTE PUEDE DAÑAR SU COMPUITADORA. EN LA PRÁCTICA LOS AUTORES DE VIRUS EMPLEAN LA I.S. PARA QUE SUS CREACIONES SE PROPAGUEN MÁS RÁPIDAMENTE. PARA ELLO ATRAEN LA ATENCIÓN DEL USUARIO Y CONSIGUEN QUE REALICE UNA ACCIÓN, QUE SERÁ LA ENCARGADA DE INICIAR LA INFECCIÓN. CAPÍTULO II: INGENIERÍA SOCIAL
5. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ COMÓ DEFENDERSE? BÁSICAMENTE, LA I.S. ES EL ARTE O CIENCIA DE CONSEGUIR QUE LAS PERSONAS CUMPLAN LOS DESEOS DE OTRA. IMPLICA MÁS QUE UNA SIMPLE LLAMADA INOCENTE CON LA QUE RECABAR INFORMACIÓN . LA I.S. IMPLICA UNA FASE DE TRABAJO A NIVEL MÁS BAJO PARA OBTENER LA INFORMACIÓN NECESARIA, COMO EL CONOCER DATOS INTERNOS DE LA EMPRESA, NÚMERO DE SERVIDORES, ETC. TODA ESA INFORMACIÓN MUCHAS VECES SE CONSIGUE ENTABLANDO UNA CONVERSACIÓN RIDÍCULA CON LAS PERSONAS O CON LOS EMPLEADOS QUE TIENEN ACCESO DIRECTO A LOS OBJETIVOS DEL ATACANTE. PUEDE PENSAR QUE LA I.S. ES UNA ESCUSA PARA DEMOSTRAR COMO ESTAS TÉCNICAS PUEDEN SER USADAS PARA REALIZAR HACKING, LA ÚNICA FORMA DE DEFENDERSE CONTRA ESTE TIPO DE ATAQUES DE SEGURIDAD ES CONOCIENDO QUÉ MÉTODOS PUEDEN SER USADOS. CAPÍTULO II: INGENIERÍA SOCIAL
6.
7.
8. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ LA PARTE MÁS DELICADA DE LA SEGURIDAD SIN DUDA, LA PARTE MÁS DELICADA DE LA SEGURIDAD INFORMÁTICA ESTÁ REPRESENTADA POR EL FACTOR HUMANO, MÁS QUE POR LAS MEDIDAS DE SEGURIDAD. POR ELLO, LA PARTE HUMANA DE UNA CADENA DE SEGURIDAD ES LA MÁS ESENCIAL. NO EXISTE NINGÚN SISTEMA INFORMÁTICO QUE NO DEPENDA DE HUMANOS. ESTO SIGNIFICA QUE ESTA VULNERABILIDAD ES UNIVERSAL. LOS HACKERS SABEN MUY BIEN ÉSTO Y ESTÁN PREPARADOS PARA ATACARNOS. ES MÁS, CONVIENE RECORDAR QUE LA ÚNICA COMPUTADORA SEGURA ES LA QUE NUNCA SERÁ ENCENDIDA . DE HECHO, EN ESTE CASO NI LA REGLA ANTERIOR TIENE SENTIDO, YA QUE UN HACKER PUEDE SER CAPAZ DE PERSUADIR A UNA PERSONA PARA QUE CONECTE LA PC Y LUEGO PUEDA REALIZAR EL TIPO DE INTRUSIÓN NECESARIA, TODO ESTO USANDO SÓLO LA INGENIERÍA SOCIAL. CAPÍTULO II: INGENIERÍA SOCIAL
9. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ MÉTODOS PARA REALIZAR UN ATAQUE DE I.S., LOS HACKERS USAN, NORMALMENTE, MÉTODOS DE CONTACTOS IMPERSONALES (QUE NO REQUIEREN CONTACTO FÍSICO O VISUAL) COMO POR EJEMPLO EL TELÉFONO O EL E-MAIL. ES MÁS, SON CONOCIDOS EN LA HISTORIA DEL HACKING NUMEROSAS SITUACIONES EN LAS QUE UN CHICO CON MENOS DE 16 AÑOS SE HA HECHO PASAR POR UN ADULTO PARA CONSEGUIR INFORMACIÓN DELICADA COMO CLAVE DE ACCESOS A SISTEMAS INFORMÁTICOS. PARA LLEVAR A CABO TODO EL PROCESO CON ÉXITO, LOS HACKERS CUIDAN HASTA EL MÁS MÍNIMO DETALLE, BUSCAN RAZONES Y PRUEBAS CON LAS QUE PUEDAN APOYAR SUS PETICIONES. LA ÚNICA VENTAJA CON LA QUE CUENTA EL ING. SOCIAL EN ESTOS CASOS ES QUE AL SER TAN POCO USUAL, NADIE SE LO ESPERA. UN EJEMPLO MUY CLARO ES HACERSE PASAR POR UN ENCUESTADOR, CON LO QUE YA EXISTIRÍA UNA RAZÓN PARA COMENZAR A REALIZAR PREGUNTAS. CAPÍTULO II: INGENIERÍA SOCIAL
10. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ PERSUACIÓN HABITUALMENTE, LOS MENORES CONFLICTOS QUE SE PRODUZCAN REDUNDARÁN EN MAYORES POSIBILIDADES DE ÉXITO EN EL ATAQUE. PSICOLÓGICAMENTE HABLANDO, EXISTEN ESTUDIOS QUE INDICAN QUE LAS PERSONAS CUMPLIRÁN UNA PETICIÓN IMPORTANTE SI PREVIAMENTE HAN CUMPLIDO OTRA MÁS INSIGNIFICANTE, POR ESO EL INGENIERO SOCIAL TRATARÁ SIEMPRE DE CAMELAR A LA VÍCTMA PARA LUEGO IR AL GRANO. ÉSTO SE DA DE MANIFIESTO AL ENTABLAR UNA CONVERSACIÓN DE INTERÉS GENERAL CON ALGUNA PERSONA INVOLUCRADA INDIRECTAMENTE EN EL SISTEMA INFORMÁTICO. LA TÉCNICA CONSISTE SIMPLEMENTE EN NO LLEVARLE LA CONTRA A LA PERSONA ENCARGADA Y HACER QUE SE SIENTA A GUSTO EN LA CONVERSACIÓN, DE ESTE MODO SE PERSUADE A LA VÍCTIMA PARA QUE EN EL FUTURO REALICE ACCIONES EN CONTRA DE SÍ MISMO O DE LA EMPRESA. NO HAY QUE OLVIDAR QUE LA PERSUASIÓN POR SÍ MISMA NO ES RAZÓN SUFICIENTE PARA EL ÉXITO, A VECES SE LA INVOLUCRA A LA PERSONA CON EL SISTEMA EN CUENTIÓN. CAPÍTULO II: INGENIERÍA SOCIAL
11. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ SIRCAM – Un ejemplo de Ingenieria Social PARADÓJICAMENTE, EN UNA ÉPOCA EN LA QUE PRIMA LA GLOBALIZA- CIÓN Y EL TRATO IMPERSONAL A TRAVÉS DEL ANONIMATO DE LA RED, LOS INTERNAUTAS HAN SIDO VÍCTIMAS DEL SIRCAM GRACIAS A UN SENCILLO TEXTO QUE INVITA A UNA RELACIÓN CORDIAL – “HOLA, ¿CÓMO ESTÁS?” – Y, ADEMÁS, PRIMA LA VALIOSA OPINIÓN DEL RECEPTOR DEL MENSAJE SOBRE UN SUPUESTO ARCHIVO, - “TE MANDO ESTE ARCHIVO PARA QUE ME DES TU PUNTO DE VISTA” .UNA DESPEDIDA CON UNA PROMESA – “NOS VEMOS PRONTO” – SIRVE DE COLOFÓN A UN CORREO ELECTRÓNICO QUE CON SÓLO TRES FRASES HA CONSEGUIDO ENGAÑAR A MILES DE USUARIOS EN TODO EL MUNDO. UN NUEVO Y CLARO EJEMPLO DE I.S. HA DADO VUELTA AL MUNDO: LA MULTITUDINARIA INFECCIÓN PROTAGONIZADA POR ESTE VIRUS: SIRCAM. ESTA TÉCNICA, HABITUALMENTE EMPLEADA POR LOS HACKERS PARA ENGAÑAR A LOS USUARIOS, CONSISTE EN JUGAR CON LA PSICOLOGÍA DEL RECEPTOR INVITÁNDOLE A ABRIR LOS E-MAIL’S, QUE LLEGAN CON UN MENSAJE AMABLE, ERÓTICO, HUMORÍSTICO O, SIMPLEMENTE, CON ELEMENTOS QUE DESPIERTAN SU CURIOSIDAD. CAPÍTULO II: INGENIERÍA SOCIAL
12. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ SIRCAM – Un ejmplo de Ingenieria Social ADEMÁS, AL SER EL SIRCAM UN VIRUS QUE SE REENVíA A LA LIBRETA DE DIRECCIONES DE CORREO ELECTRÓNICO, HABITUALMENTE ESTE CÓDIGO MALICIOSO LLEGA A LOS USUARIOS REMITIDO POR UNA PERSONA CONOCIDA. LA SENCILLEZ Y HABILIDAD CON QUE HA SIDO PENSADA LA TÁCTICA DE INFECCIÓN DE SIRCAM NO SÓLO ESTÁ REPERCUTIENDO EN LA CONCIENTIZACIÓN, CADA VEZ MAYOR, ACERCA DE UNA CORRECTA PROTECCIÓN ANTIVIRUS EN LAS PC´S, SINO QUE ESTÁ AUMENTANDO LA DESCONFIANZA HACIA LAS PERSONAS CON LAS QUE NORMALMEN- TE SE INTERCAMBIA CORREO ELECTRÓNICO. EN LA PRÁCTICA, LOS AUTORES DE VIRUS EMPLEAN LA I.S. PARA QUE SUS CREACIONES SE PROPAGUEN RÁPIDAMENTE. PARA ELLO ATRAEN LA ATENCIÓN DEL USUARIO Y CONSIGUEN QUE REALICE ALGUNA ACCIÓN MEDIANTE VARIADOS TRUCOS. CAPÍTULO II: INGENIERÍA SOCIAL
13. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ EL ARMA DE LA ING. SOCIAL UNO DE LOS MÉTODOS DE ING. SOCIAL USADOS MÁS HABITUALMENTE ES EL CORREO ELECTRÓNICO. ÉSTE, JUNTO CON LA W.W.W. SON LOS BLANCOS ELEGIDOS DEBIDO A LA GRAN CANTIDAD DE USUARIOS. EL ENVÍO DE CORREO ANÓNIMO ES POSIBLE, PERO PARA UNA OPERACIÓN DE ING. SOCIAL SE SUELE UTILIZAR UN REMITENTE FALSO EN LUGAR DEL ANÓNIMO, PARA PARECER MÁS CREYENTE. EL E-MAIL, HOY, ES SIN DUDA UNA HERRAMIENTA IMPRESCINDIBLE EN NUESTRAS VIDAS, PERO TAMBIÉN HA PASADO A SER UN ARMA DE DOBLE FILO. POR LO TANTO LE RECOMENDAMOS NO HABRA NINGÚN ARCHIVO ADJUNTO, SI NO LO ESTÁ ESPERANDO, Y POR LAS DUDAS ESTABLEZCA CÓDIGOS DE IDENTIFICACIÓN CON LAS PERSONAS CON LAS QUE FRECUENTEMENTE INTERCAMBIA INFORMACIÓN CAPÍTULO II: INGENIERÍA SOCIAL
14. Virus Informáticos : La Epidemia del Siglo XXI A.S.C. MARCELO A. SANCHEZ CONCLUSION CONTRARIAMENTE A LA CREENCIA POPULAR, ES A ME_ NUDO MÁS FÁCIL DE UTILIZAR A LAS PERSONAS QUE EXPLOTAR VULNERABILIDADES O MALAS IMPLEMENTA- CIONES DE UN SISTEMA DE SEGURIDAD. TOMA MÁS ESFUERZO EDUCAR A LOS USUARIOS PARA QUE PUEDAN PREVENIRSE Y DESCUBRIR LOS ESFUER- ZOS DE LA INGENIERIA SOCIAL, QUE AFIANZAR LA SEGURIDAD OPERA- TIVA CON EL ADMINISTRADOR DE LA RED DE SU EMPRESA. Y NO SE OLVIDE QUE USTED ES EL ESLABÓN MÁS IMPORTANTE EN LA CADENA DE SEGURIDAD DE SU EMPRESA O INSTITUCIóN, POR LO TANTO NO DESGATE EL TRABAJO DE SEGURIDAD DEL ADMINISTRADOR DE LA RED. CAPÍTULO II: INGENIERÍA SOCIAL
15. Virus Informáticos : La Epidemia del Siglo XXI FIN DEL CAPÍTULO II A.S.C. MARCELO A. SANCHEZ INGENIERÍA SOCIAL