‘INGENIERÍA SOCIAL’ EN EL HACKING

Las vulnerabilidades a la información ya no son los virus, gusanos o troyanos los causantes de la pérdida o fuga de información en los ambientes informáticos empresariales o familiares, sino el uso y ejecución de las diferentes técnicas, modalidades o métodos enmarcados dentro de la Ingeniería Social. Inicialmente las empresas en el mundo no son ajenas de las fallas de seguridad en cuanto a que sus empleados pueden causar, lo que se condensa en una falta de cultura alrededor de la información. Algunos hackers destruyen los archivos de las personas o unidades de disco duro entero, por eso son llamados crackers o vándalos. Algunos hackers novatos no se molestan en aprender la tecnología, sino que simplemente descargan herramientas de hacker para irrumpir en los sistemas informáticos, son llamados script kiddies. Los hackers más experimentados con conocimientos de programación desarrollan programas(“hacktools”) y los publican en la Web y sistemas de boletines electrónicos. Y luego personas que no tienen interés en la tecnología, sino en utilizar el ordenador simplemente como una herramienta que les ayude en el robo de dinero, bienes o servicios los usan. Pero la Ingeniería Social es algo que se usa sin programación,es más psicología que programación o ‘exploit’(‘Bug’ o error que se encuentra en un sistema).

¿Qué es Ingeniería Social?

Es el “arte del engaño”,hace referencia al “arte” de manipular personas para eludir los sistemas de seguridad,consiste en obtener información de los usuarios por teléfono,fax,email,correo tradicional o contacto directo.

Ingeniería social utiliza la influencia y la persuasión para engañar a la gente convenciéndolos de que el ingeniero social es alguien que no es, o por la manipulación. Como resultado, el ingeniero social es capaz de aprovecharse de la gente para obtener información con o sin el uso de tecnología. Este término ha adquirido relevante importancia a pesar de que su existencia es desde hace muchísimo tiempo atrás. En una conversación “trivial” el simple hecho de sacar la información a una amistad (edad y fecha del cumpleaños, por ejemplo) o a un profesor las posibles preguntas de un examen final son formas "básicas" de hacer ingeniería social. Por qué el único objetivo es obtener información “valiosa”, el ingeniero social realiza esta técnica para obtener la información de las personas sin que se den cuenta que han sido victimas de un “delito informático”. Aunque algunas técnicas se pueden llevar a cabo a través de varios medios de comunicación y los ataques de ingeniería social suelen ser “multifacéticos”, podemos clasificarlos dependiendo de:

-El tipo: los aspectos más importantes para el éxito del ataque pueden ser cualidades sociales, físicas o técnicas.

-El operador: el ataque se ejecuta con una persona o se puede automatizar con un software.

-El canal: el medio por el cual se lleva a cabo el ataque es el e-mail, la mensajería instantánea, el teléfono, una red social, la nube, una página web o en persona.23

Técnicas de Ingeniería Social:El ser humano es el eslabón más débil dentro de la seguridad informática así que de nada sirve un antivirus o un firewall actualizados debido que mediante una conversación, un correo electrónico o una llamada en donde prima el engaño se pueden obtener datos privados de la víctima. Por tal motivo esta es la razón de este tipo de ataques es muy difícil defenderse ya que no se puede eliminarse con software o hardware, simplemente se puede minimizar el riesgo de sufrir estos ataques con el conocimiento de que existen estas técnicas de engaño. Podemos encontrarnos los siguientes:

-Pretexting/Suplantación de identidad.

En este método el ingeniero social asume un personaje que represente autoridad o necesidad, por ejemplo: puede hacerse pasar, en una llamada telefónica, por un usuario legítimo y contactarse con el departamento de TI para que le cambien su contraseña. También puede fingir ser un jefe y solicitar información específica vía correo electrónico. Podría suplantar telefónicamente al personal de TI de la empresa y simular un incidente para poder solicitarle al usuario incauto su contraseña de acceso a algún sistema, o simplemente, identificarse como miembro de una entidad privada, como una firma auditora o una entidad del estado, y solicitar información sensible. Este tipo de casos es más común en compañías de gran tamaño y con varias sucursales, donde sus integrantes puede que no se conozcan.

-Tailgaiting

Aprovechando la solidaridad o inconsciencia de un empleado,un “atacante” puede evadir controles de acceso físico como puertas electrónicas e ingresar a una organización sin autorización.

-Dumpster diving/Buscar en la basura

Aunque no parezca, esta práctica es más común de lo que se cree. Los ingenieros sociales pueden encontrar en las sestas de basura todo tipo de información; datos financieros, recibos de servicios públicos, “post it” con usuarios y claves, manuales, números de teléfono, formatos con imagen corporativa, etc., que les puede servir para iniciar un ataque a la empresa.

La principal manera de prevenir este tipo técnica es destruir toda clase de registros físicos que ya no representen importancia para la compañía mediante el uso de máquinas trituradoras de papel o de forma manual. También se pueden disponer los depósitos de basura en lugares donde el personal de seguridad y vigilancia los pueda observar, y recalcar en los trabajadores, el no escribir datos confidenciales en “papelitos” que luego terminarán en la basura.

-Shoulder surfing/Espiar por encima del hombro

Es una de las modalidades más comunes pues, no se requiere de gran esfuerzo para captar la información. Los ingenieros sociales la aplican en las filas de los bancos o cajeros electrónicos consiguiendo ver las claves de sus víctimas. También se usa en sitios públicos como café-internet o bibliotecas, donde se logra ver lo que digita la otra persona.

Actualmente se emplean dispositivos móviles como celulares o cámaras espías para tomar fotografías o hacer videos en lugar de memorizar los datos. Una medida de prevención esencial es la de tapar los teclados de cajeros o datafonos a la hora de digitar las claves, o hacer uso de estos servidos en lugares seguros como las mismas instalaciones de los bancos. También es aconsejable no acceder a sitios web donde sea necesario identificarse desde lugares públicos, y disponer de filtros antiespías en las pantallas de los dispositivos móviles como celulares o tabletas.

-Baiting

Consiste en colocar memorias externas(“pendrives”)con “malware”(“software dañino”:como “virus” informaticos o ”troyanos”) instalado en lugares donde personas “escogidas específicamente” puedan encontrarlas e infectar sus ordenadores.

-Phishing

Engañar a una gran cantidad de personas mediante emails,paginas web,perfiles sociales o SMS falsos con el fin de “robar” información confidencial con actividades “engañosas”. El "phishing" es una forma donde el delincuente busca un objetivo con el cual se encarga de intentar y obtener de un usuario sus respectivos datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, y entre otras. Se concluye como el termino "todos los datos posibles" con el fín de ser usados de forma fraudulenta. Se puede resumir de forma fácil, engañosa al posible estafador, "suplantando la imagen de una empresa o una entidad publica", de esta manera se hacen "creer" a la posible víctima que realmente este tipo de datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.

Los sitios Web a visitar en la dirección URL en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la banca por internet pero NUNCA le pedirán sus CONTRASEÑAS por email.

-Vishing

Llamadas telefónicas mediante las que se buscan engañar a la victima suplantando a compañías de servicios o de gobierno para que revele información privada.

-Social Networking

Esta técnica tiene dos grandes objetivos,por un lado,obtener información sobre la “victima” y,por otro lado,generar una relación con la misma. Hoy en día existe un “boom” de las redes sociales y hay muchos “fanáticos” de las mismas,los cuales dan a conocer sus vidas “segundo a segundo”,estos casos son muy “apreciados” por los ingenieros sociales(“atacantes”),ya que se podrá obtener gran cantidad de información de la persona.

-Cyberbullyng/Ciberacoso

En este caso se usan la tecnología para causar daño de manera repetida,deliberada y hostil. Puede incluir,aunque no siempre,el uso de internet,teléfonos móviles u otros dispositivos electrónicos para difundir o colocar textos o imágenes que causan daño o avergüenzan a la “victima”.

-Grooming

Conjunto de estrategias que un adulto realiza para ganarse la confianza de un menor de edad,a través de la tecnología,con el propósito de abusar o explotar sexualmente del mismo. Se suele crear un “perfil” falso en una red social,foro,sala de chat,etc;para hacerse pasar por un chico o chica y entablan una relación de amistad y confianza con el menor con la intención de acosarle.

-Sexting

Envío y/o recepción de contenido sexual,a través de medios electrónicos de imágenes y videos sexuales a través de redes sociales,mensajes,emails y,sobre todo con el móvil.

-Sextortion

Extorsión en la que se chantajea a la persona(“blackmail”)por medio de una imagen o video en la que aparece que pudo haber compartido con otras personas,a través de internet o teléfono móvil.

-Affectivity/Afectividad

Es la susceptibilidad que tienen las personas ante situaciones específicas en su entorno, lo que es aprovechado por los ingenieros sociales para conseguir su objetivo.

La afectividad incluye, pero no está limitada al: miedo, emoción o pánico. Esta puede ser la promesa de un premio sustancial con un valor de cientos de miles de dólares o el pánico de tener un empleado en el trabajo dependiente de una decisión. La ola de emociones fuertes trabaja como una poderosa distracción e interfiere con la habilidad de la víctima para evaluar, pensar de manera lógica o desarrollar argumentos.

-Overloading/Sobrecarga

Consiste en “bombardear” a la víctima con gran cantidad de información en un corto periodo de tiempo, a tal punto, que se sienta confundida o frustrada, para que al final, acceda a las razones o argumentos del ingeniero social.

Un ejemplo claro podría ser el de un usuario que entabla una discusión con una secretaria o asesor de servicio al cliente, asediándolo con gran cantidad de preguntas y de un momento a otro, cambia el tema de conversación, confundiendo a su víctima y haciéndola decir cosas que muy seguramente no quería.

-Deceptive Relationships/Relaciones basadas en engaños

Aquí lo que busca el ingeniero social es crear relaciones personales para lograr conseguir información de otra persona o de un sistema. Un ejemplo de esto es un ataque realizado a AOL, donde el ingeniero social habló por teléfono con un empleado de la empresa durante más de una hora. “En algún punto durante la llamada el hacker mencionó que su coche estaba en venta. El técnico estaba interesado, entonces el hacker le envió un email con una imagen del coche adjunta. El archivo adjunto contenía un “exploit” de puerta trasera(“backdoor”) que abría una conexión aunque AOL tuviera un firewall”.

-Email con malware

Los correos electrónicos pueden traer adjuntos cualquier tipo de archivos contenedores de alguna clase de malware, como: virus, gusanos, troyanos, entre otros; cada uno con una tarea específica y características especiales. Una vez más se recomienda no abrir mensajes de remitentes desconocidos ni descargar sus adjuntos.

“También hay que tener cuidado con los falsos antivirus. En algunas páginas web peligrosas (servicios de descargas ilegales, por ejemplo) aparece un mensaje que nos avisa de que estamos infectados y se ofrecen amablemente para descargar un antivirus que nos limpiará el ordenador”,bajo este “amable” ofrecimiento está un “ataque”.La instalación de estas aplicaciones puede acarrear en una de las pérdidas o el secuestro de la información, la cual lleva a permitir que se alojen en la computadora o en otra serie de virus, que a su vez pueden convertirse en un “zombie” para lanzar un ataque escalado, y puede abrir puertas traseras o inundarla de publicidad. Lo mismo sucede con los programas de “tuning” que surgen en acelerar el funcionamiento de las computadoras pero que al final resultan ser software malicioso.

Por esta razón es importante contar con un software antivirus licenciado y actualizado, y por supuesto, hacer uso de las buenas prácticas de usuario.

-Spam

Este nombre como lo indica es aquel nombre que llamamos spam, y que se encuentra en el correo en la parte de basura o sms basura a estos mensajes no solicitados, habitualmente este tipo publicitario, son enviados en cantidades masivas que por lo tanto se perjudican de una u otra manera al receptor. Aunque este tipo de mensajes se puede hacer por distintas vías, pero la más fácil y utilizada entre el público en general es la que se lleva al el correo electrónico. Otro tipo de tecnologías de Internet han sido objeto de que el correo basura se incluyen grupos de noticias usenet, motores de búsqueda, wikis, foros, blogs, también a través de popups, tipos de imágenes y textos en la Web.

El correo basura además puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Kmail, Webmail, etc31.

Igualmente se llama spam a los virus sueltos en la red y páginas filtradas (casino, sorteos, premios, viajes y pornografía), se activa cuando se accede por medio de links cuando se ingresa a páginas de comunidades o grupos.

Estás son algunas de los casos que observamos diariamente con el uso del correo electrónico, esto lleva a que al final nuestra laptop en el menor de los casos sea infectada con cualquier programa maligno (malware), a continuación algunos ejemplos más comunes a diario en nuestras redes.

Algunos ejemplos que se pueden citar:

* La ejecución de un virus troyano por parte del usuario, adjunto a un correo electrónico enviado por una dirección que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", "mira a Shakira desnuda", etc.

* También lo podemos ver con este típico asunto en que promueve mensajes publicitarios y cosas del estilo "hágase millonario mientras duerme".

*Descarga los últimos emoticonos de este link y disfruta de las nuevas variedades.

-Pop – Up’s

Son las ventanas emergentes que despliegan algunos sitios web y su propósito es mostrar publicidad al usuario. Pueden ser una fuente de contagio de “malware” como virus y troyanos, o simplemente; entorpecer el uso de la computadora al crear, en algunos casos, ciclos o bucles infinitos de apertura de ventanas.

Ya es común que todos los navegadores incluyan “bloqueadores de ventajas emergentes”, activados por defecto, los cuales se deben deshabilitar al entrar en sitios seguros, pues, el uso de pop-up’s es normal en los portales de los bancos y plataformas educativas con el fin de proteger los datos del usuario o evitar fraudes y suplantaciones.