jueves, 9 de enero de 2014

Ingeniería social: hackeando a personas


Resumen: La ingeniería social ha aumentado su popularidad en los últimos años. Aprovecha las debilidades de los mecanismos universales que poseemos las personas para entendernos con otros  seres humanos. El ciberdelincuente, con este proceder, obtiene información de las víctimas la cual le permitirá cometer un delito telemático. Veremos que la mejor defensa es preservar nuestra esfera de privacidad.
 
Autor del artículo
Colaboración
SANTIAGO PONTIROLI
 
Actualizado
 
9 de Enero de 2014
 

ÍNDICE
1. INTRODUCCIÓN
2. PSICOLOGÍA Y CIBERDELINCUENCIA
3. MÉTODOS ACTUALES
4. PREVENCIÓN
5. SUJETOS REFERENCIADOS
6. BIBLIOGRAFÍA RECOMENDADA
7. DERECHOS DE AUTOR

1. INTRODUCCIÓN
La ingeniería social, la ciencia y arte de hackear a seres humanos, ha aumentado su popularidad en los últimos años gracias al crecimiento de las redes sociales, los correos electrónicos y demás formas de comunicación online.

En el sector de la seguridad TI, este término se utiliza para hacer referencia a una serie de técnicas que usan los delincuentes para manipular a sus víctimas con el fin de obtener información confidencial o para convencerlos de realizar algún tipo de acción que comprometa su sistema.

Incluso hoy en día, con todas las soluciones de seguridad que hay en el mercado, el usuario es el único que puede protegerse. El hilo que conduce a las credenciales de nuestra cuenta o los datos de nuestra tarjeta de crédito es realmente fino. Por este motivo, es necesario conocer los trucos que utilizan los estafadores, tanto técnicos como psicológicos, para evitar cualquier ataque de estas características.

La ingeniería social no es una amenaza nueva, ha existido desde el origen de los tiempos. Gracias a ingenieros tan populares como Kevin Mitnick [1] o Frank Abagnale [2], reconocidos por su labor en la campo de la seguridad, sabemos que un ciberdelincuente puede dejar el lado oscuro para combatir en nombre del bien.

Fran Abagnale, por ejemplo, fue uno de los hackers más famosos con sus múltiples identidades y engañando a los usuarios para que le revelasen información esencial para sus estafas. Quién haya visto la película “Atrápame si puedes”, se podrá hacer una idea de qué son capaces los ingenieros sociales cuando tienen un objetivo en mente. 

Un ingeniero social no solo utiliza técnicas informáticas para conseguir la información deseada, así que nunca debe bajarse la guardia. Por ejemplo, nunca deben revelarse a nadie las contraseñas por teléfono. Aunque suene absurdo este consejo, imaginemos que llama durante el fin de semana un  empleado del soporte técnico de la propia compañía para arreglar un problema en los equipos del departamento donde trabajamos.  Cualquiera podría caer en la trampa.

La mayoría de los ciberdelincuentes no invierten mucho tiempo en probar tecnologías complejas para sus ataques; saben que es más sencillo utilizar la ingeniería social.

Además, incluso existen páginas web con información valiosa donde aprender los métodos para engañar a las víctimas. Uno de estos portales es SocialEngineer.org [3], plataforma que proporciona datos realmente útiles como los fundamentos teóricos, el funcionamiento de cada ataque y ejemplos que aclaran cada uno de los conceptos.

Sin darnos cuenta, cada día, a través del lenguaje verbal ejercemos una influencia en aquellos que nos rodean. Desde el punto de vista de un ingeniero social, los idiomas tienen sus puntos débiles ya que están sujetos a una experiencia subjetiva que distorsiona las cosas.

La programación neurolingüística o PNL se inventó para fines terapéuticos pero, actualmente, ha evolucionado a una forma de hipnosis que utilizan los ingenieros sociales como herramienta para manipular a las víctimas en sus ataques.  Mediante esta técnica, los delincuentes sonsacan cualquier dato personal  o información necesaria para su objetivo.

2. PSICOLOGÍA Y CIBERDELINCUENCIA

“Una compañía puede gastar cientos de miles de dólares en firewalls, sistemas de cifrado y demás tecnologías de seguridad, pero si un atacante engaña a un empleado, todo ese dinero no habrá servido para nada”- Kevin Mitnick

Aunque parezca que hay una gran distancia entre la psicología y la ciberdelincuencia, la realidad es que ambas se basan en los mismos principios:

·       El deseo de toda persona de reciprocidad. Si te hago un favor espero que tú me hagas otro.

·       De aprobación social. Confiamos en los juicios de la mayoría.

·       De autoridad. Confianza en la policía, un médico, un técnico…

Son mecanismos universales para entendernos con otros  seres humanos. Un ingeniero social sabe qué botones pulsar para conseguir que un usuario caiga en su trampa.

Se inventan un contexto o una historia totalmente creíble que les permite controlar la interacción con la víctima. No olvidemos que suelen ser personas realmente inteligentes que, en una fracción de segundo, son capaces de conseguir lo que buscan.

Sin embargo, en este artículo queremos centrarnos en las diferentes técnicas que usan los delincuentes online para llevar a cabo sus fechorías y obtener información de sus víctimas.

Como se ha mencionado, los principios que se utilizan en estas estafas son los mismos que existen en la vida real; simplemente Internet es un medio enorme de distribución de información y, por ejemplo, un mail de phishing se puede enviar a millones de usuarios a la vez. Aunque solo caiga en sus redes un grupo reducido de personas, los beneficios pueden ser enormes.

3. MÉTODOS ACTUALES

“Lo que hacía en mi juventud, es mil veces más fácil hoy en día. La tecnología alimenta al crimen” – Frank William Abagnale.

En la actualidad, uno de los métodos más usados para obtener información confidencial es el phishing. Esta técnica se caracteriza por ser un fraude informático que utiliza los principios de la ingeniería social para robar datos a la víctima.

El ciberdelincuente envía un email, SMS u otro tipo de mensaje, el cual convence a la víctima para que revele cierta información directamente o realice cierta actividad (entrar en una web falsa, hacer clic en un enlace malicioso… etc.) que permita al atacante seguir con su plan.

Hemos visto una evolución en el malware que acompaña a la ingeniería social. En el pasado, el usuario se percataba casi de inmediato si su equipo estaba infectado porque el ordenador se comportaba de forma extraña. Hoy en día, es muy habitual que el malware infecte un equipo, acceda al sistema y permanezca oculto hasta que tenga que entrar en acción.

Así, los ciberdelincuentes y las empresas de seguridad TI juegan constantemente al gato y al ratón; siendo la educación uno de los mecanismos de defensa más importantes para que los usuarios conozcan y estén informados de todas las amenazas y peligros en la Red.

Muchas muestras de malware utilizan la ingeniería social para colocar la carga maliciosa en el sistema de la víctima. Entre los trucos más populares se encuentran las actualizaciones falsas de Flash Player, los archivos ejecutables incrustados en documentos Word y las copias de baja calidad de navegadores legítimos como Internet Explorer.

Un gran número de ataques se dirigen contra los usuarios de Latinoamérica. El motivo se debe, principalmente, a que:

·       La mayoría de la población de esta región desconoce estas amenazas tecnológicas.

·       Sus sistemas informáticos suelen tener software sin actualizar.

Es el escenario ideal para cualquier ciberdelincuente. Hasta hace muy poco, las entidades bancarias apenas disponían de medidas de seguridad para las cuentas online y existen, todavía, muchos agujeros por donde se puede colar un ingeniero social.

En Sudamérica, además, existen otros tipos de ataques que poco tienen que ver con el fraude informático. La estafa conocida como “secuestro virtual” usa la ingeniería social para  hacer creer a una familia que uno de sus miembros ha sido secuestrado y reclamar un rescate por su liberación. En este tipo de delitos, lamentablemente bastante habituales, los delincuentes explotan las debilidades humanas (urgencia y miedo) para conseguir su botín.

4. PREVENCIÓN

Es importante recordar que cualquier información que publicamos en la Red (Facebook, Twitter, Foursquare, etc) puede ser una pista fantástica para los cibercriminales, allanándoles el terreno y poniéndoles las cosas más fáciles.  Incluso nuestra lista de favoritos de Amazon puede ser la entrada para un ataque de ingeniería social.

Como se ha mencionado anteriormente, es imprescindible instalar una buena solución de seguridad si solemos navegar en Internet habitualmente.

Además, aconsejamos estar informados de las últimas amenazas cibernéticas para intentar no caer en la trampa (offline y online).

Todos los dispositivos tecnológicos y los mecanismos de defensa son inútiles si no sabemos utilizarlos y no somos conscientes de que los ciberdelincuentes siempre están a nuestro acecho. El crimen está en constante evolución y debemos ser precavidos.

“La policía no puede proteger a los consumidores. Los usuarios deberían ser más conscientes y recibir una mayor educación sobre el robo de identidad. Necesitamos ser más listos, sabios y, cómo no, escépticos. Vivimos en una época donde si ponemos las cosas fáciles, nos robarán antes o después” – Frank William Abagnale.

5. SUJETOS REFERENCIADOS

NOTA DEL EDITOR: Si bien estas mini-biografías no constan en el documento original, he creído conveniente incorporarlas para facilitar la comprensión de aquellos lectores que no estén familiarizados con la vida de los sujetos que aparecen citados a lo largo del artículo.

[1] Kevin David Mitnick nació el 6 de agosto de 1963 y es uno de los Hackers estadounidenses más famosos. Su nick o apodo fue Cóndor. También apodado por él mismo "fantasma de los cables".

Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunos de los ordenadores más seguros de los Estados Unidos. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos telemáticos.

Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía “Mitnick Security” (anteriormente llamada Defensive Thinking).

[2] Frank William Abagnale, Jr. nació el 27 de abril de 1948 y fue un falsificador estadounidense de cheques e impostor durante cinco años en la década de 1960. Actualmente dirige “Abagnale and Associates”, una compañía financiera de consultas de fraudes.

La historia de su vida fue la inspiración para la creación de la película "Atrápame si puedes" dirigida por Steven Spielberg y basada en su biografía escrita con el mismo nombre.

En sólo cinco años trabajó con ocho identidades diferentes y pasó cheques falsos por un valor total de 2,5 millones de dólares en 26 países.

6. BIBLIOGRAFÍA RECOMENDADA

- OSI (Oficina de Seguridad del Internauta) de INTECO. “Fraude / Ingeniería Social”. Página web.
Fraude / Ingeniería social

- [3] Social-Engineer.org. “Security Through Education”. Página web.
Social-Engineer.org

- Christopher Hadnagy & Paul Wilson. “Social Engineering: The Art of Human Hacking”. 2011. Wiley Publishing Inc.

7. DERECHOS DE AUTOR

Todas las imagines bajo licencia 123RF Internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

 

Sobre el autor:

 

 

Santiago Pontiroli tiene una amplia y destacada experiencia y  conocimientos en temas de seguridad de TI. Actualmente trabaja como analista de seguridad dentro del Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT, por sus siglas en inglés). Sus principales responsabilidades son el análisis e investigación de amenazas en la región SOLA, la seguridad de las aplicaciones Web, desarrollo de herramientas de automatización del estudio inteligente de las amenazas y la ingeniería inversa de malware (programas de código malicioso).
 
Antes de incorporarse a Kaspersky Lab, Santiago se desempeñaba como Líder de Desarrollo en Accenture para proyectos como “Site Concept Studio” y “Avanade Connected Methods”,  donde supervisaba todos los aspectos técnicos de su equipo, desarrollaba demostraciones de las diferentes plataformas  y ofrecía apoyo técnico al equipo de ventas. Previo a Accenture,  Santiago trabajó como consultor ofreciéndole apoyo a empresas independientes  en software de control de acceso, administración de sistemas y redes, y seguridad de aplicaciones web.
 

Santiago realizó estudios de Ingeniería de Sistemas y Análisis de Sistemas  en  la Universidad Tecnológica Nacional F.R.L.P en Buenos Aires (Argentina).

 

Es miembro de ISSA (Information Systems Security Association) y de OWASP (Open Web Application Security Project).



NOTA DEL EDITOR: La primera publicación de este artículo tuvo lugar el 20 de diciembre de 2013 en el Blog de Kaspersky.


 



No hay comentarios:

Publicar un comentario