Ingenieria Social

Los hackers y crackers no son sólo grandes en programación de computadoras y análisis, también son bastante buenos en psicología.

Cuando nos enteramos de que un experto pirata informático o hacker ha logrado penetrar en importantes redes de alguna empresa o institución podríamos imaginarnos que ha utilizado complicadas herramientas de software y potentes computadoras para lograr su objetivo, y muchas veces esto es cierto, pero técnicas reveladas por reconocidos hackers nos dicen que simplemente utilizando su verbo pueden obtener claves e informaciones secretas que luego les permiten irrumpir en los sistemas informáticos sin ninguna complicación o sospecha. Que cómo lo hacen? Pues utilizando la Ingeniería Social.

Qué es la Ingeniería Social?

Definido en términos simples, consiste en emplear el engaño y la sutileza para que otros usuarios revelen sus claves o datos personales de acceso a cualquier sistema. Una definición más amplia la da “The Complete Social Engineering FAQ” que dice lo siguiente: “Ingeniería Social: Término usado entre los crackers para crackear, basado en lo relativo a redes, más que en lo relativo a software. El objetivo es engañar a la gente para que revele passwords u otra información que comprometa un sistema de seguridad. Los engaños clásicos suelen ser telefonear a alguien que tenga la información requerida y simular que se tienen problemas técnicos de acceso o que se tiene un empleado el cual no puede acceder al sistema en cuestión.”

Quiénes son las víctimas?

La Ingeniería Social se concentra en el eslabón más débil de cualquier cadena de políticas de seguridad informática. Se dice a menudo que la única computadora segura es aquella que nunca será encendida. El hecho que usted pudiera persuadir a alguien para que le suministre su numero de tarjeta de crédito , puede sonar como un algo poco factible , sin embargo suministra datos confidenciales diariamente en distintos medios, como el papel que arroja a la basura o el sticker adhesivo con su contraseña debajo del teclado. También el factor humano es una parte esencial del juego de seguridad. No existe un sistema informático que no dependa de algún dato ingresado por un operador humano. Esto significa que esta debilidad de seguridad es universal, independiente de plataforma, el software, red o edad de equipo. Cualquier persona con el acceso a alguna parte del sistema, físicamente o electrónicamente, es un riesgo potencial de inseguridad.

El único medio para entender como defenderse contra esta clase de ataques es conocer los conceptos básicos que pueden ser utilizados contra usted o su compañía y que abren brechas para conseguir sus datos. Con este conocimiento es posible adoptar una aptitud más saludable que lo alerte sin convertirse en un ser paranoico.

Técnicas de Ingeniería Social

Intentando persuadir a un individuo para completar un objetivo o tarea se pueden usar varios métodos:

Llamada telefónica: Los “caza-passwords” utilizan varias técnicas al teléfono, lo más común es que llamen al administrador del sistema diciendo que es un usuario que ha perdido su clave de acceso. Antes, lógicamente, hay que saber los datos personales de dicho usuario, que han de obtenerse de manera similar llamando al individuo. Una de las herramientas esenciales usadas para la ingeniería social es una buena recolección de los hábitos de los individuos.

Correo postal tradicional: Consiste en el envío de cartas timbradas con logotipos falsificados de importantes empresas solicitando cortésmente nombres de usuarios y passwords que se perdieron por accidente y prometiendo que nunca volverá a ocurrir. Se utiliza un apartado postal para recibir la correspondencia.

Visita al lugar: Esto es propio de los hackers más arriesgados, pues usan su presencia física para hacerse con información confidencial. Algunos incluso llegan a falsificar credenciales y utilizar la indumentaria de los trabajadores de la empresa o institución. El objetivo es tener acceso a un computador y obtener datos sobre los usuarios de la empresa, para después simular su identidad y solicitar a la compañía las
passwords correspondientes.

Correo electrónico: El correo electrónico es un arma muy utilizada, por ejemplo, se simula que el servicio técnico del proveedor está reestructurando el sistema de passwords para una mayor seguridad de los usuarios y por ello se solicita mediante correo encriptado de alta seguridad el nombre de usuario y clave de acceso a Internet para compararlo con los que se poseen en la base de datos de la empresa.

CHAT: El IRC es otro lugar donde hackers, crackers ponen a prueba sus dotes de elocuencia y persuasión para extraer passwords, sobre todo de usuarios novatos.

¿Cómo defenderse?

Un buen primer paso es crear conciencia de la seguridad a todo quien forme parte del trabajo, aunque no tengan acceso a la computadora.

Sin embargo, la mejor defensa contra esto, como con la mayoría de las cosas, es la educación. Explicando a los empleados la importancia de la seguridad de la computadora y sus datos, advertirles que son responsables directos por su contraseña y lo que hagan con ella, es un eficaz y sabio primer paso.

Contrariamente a la creencia popular, es a menudo más fácil de utilizar a las personas, que explotar vulnerabilidades o malas implementaciones de un sistema. Pero toma más esfuerzo educar a los usuarios para que pueden prevenirse y descubrir los esfuerzos a la ingeniería social que afianzar la seguridad operativa con el administrador del sistema.

Direcciones de interés:

Social Engineering
http://netsecurity.about.com/cs/socialengineering

The complete Social Engineering FAQ
http://morehouse.org/hin/blckcrwl/hack/soceng.txt

Leave a Reply