He escrito este post, porque por mucha técnica en informática, telemática, hacking o telecomunicaciones que se tenga, si perdemos de vista la INGENIERÍA SOCIAL, estamos acabados. Mucha gente no sabe lo que es esta práctica, por lo que con este pequeño post voy a intentar ayudaros a poner remedio.
Los usuarios de los sistemas de información son el eslabón más débil de la cadena en lo que a seguridad se refiere. Kevin Mitnick (https://es.wikipedia.org/wiki/Kevin_Mitnick), uno de los hackers más famosos que ha utilizado como nadie esta vulnerabilidad, mostro en una conferencia en 2005, cómo acceder al código de un teléfono móvil en desarrollo, antes de su salida al mercado, con tan solo unos pocos minutos y seis llamadas telefónicas a trabajadores de una compañía telefónica en Hollywood.
Los ataques de ingeniería social se aprovechan de la naturaleza humana de confiar los unos en los otros, cuando se llevan a cabo acciones con buenas intenciones. ¿Cuántos de nosotros hemos dejado la puerta abierta para que alguien que quiere entrar y que va detrás de nosotros con las manos llenas de bolsas pueda pasar con facilidad? ¿Cuántos hemos dejado nuestro ordenador o smartphone a algún amigo para que termine algún trabajo o enviar un mail? No es cuestión de empezar una escalada de locura de seguridad o de volvernos locos y locas, pero sí de saber que no todos son buenos y de que los malos existen y están aquí.
Basamos los ataques de esta naturaleza en dos: basados en personas y basados en la tecnología.
Vulnerabilidades de ingeniería social basada en las personas
Estos ataques necesitan de la interacción de las personas en una conversación o en otras circunstancias con el objetivo de conseguir información útil y privada. Puede ser tan fácil como mantener una conversación con alguien y sacarle la información que necesitas y que ni se entere. Vamos a desgranar algunos de los ataques de ingeniería social más conocidos, con algún que otro ejemplo:
- Suplantación de identidad
- Un ingeniero o ingeniera social pretenderá hacerse pasar por un empleado de alguna organización, un usuario legítimo o una persona importante como altos ejecutivos. Debido a la posición de este, fingiendo que es una persona importante y con autoridad para acometer ciertas acciones, convencerá a su víctima que esta divulgue la información que se requiere.
- Pretexto
- Creamos un escenario inventado (pretexto) para engañar a la victima de manera que aumente las posibilidades de divulgación de información o que cometa acciones improbables en una situación normal. Por ejemplo, se puede usar para suplantar la identidad de autoridades fiscales o bancos, con ánimo de engañar a la víctima y con la intención de obtener información sobre ésta como contraseñas o el PIN de sus cuentas bancarias.
- Hurgar en la basura
- Como bien dice su nombre, hurgar en la basura con la misión de encontrar información útil. Puede ser ejecutado en los contenedores de reciclado de papel en las calles o bien en las papeleras de las oficinas. Lo que pretendemos es encontrar contraseñas escritas, diseños de red, nombres de empleados… Mi comentario personal, ¿para que se ha inventado el destructor de papel?
- Soporte técnico
- Es una técnica de suplantación de identidad. El atacante o la atacante llamará al servicio técnico de una compañía haciéndose pasar por un usuario legítimo, de tal forma que solicitará la ayuda de éste para resetear su contraseña por una que conoce el atacante dándole así acceso de una manera rápida y fácil.
- Espiar físicamente
- El atacante o la atanacte simplemente mirara por “encima del hombro” de un usuario cuando hace login, accede a la información sensible o realiza varios pasos para autenticarse. Este ataque también se realiza a larga distancia, con cámaras de fotos con teleobjetivo o telescopios para obtener información del objetivo.
- Tailgating
- Un atacante tiene una tarjeta falsa y simplemente sigue a una persona autorizada a través de la puerta de seguridad.
- Piggybacking
- El o la atacante no tiene una tarjeta autorizada pero le pregunta a alguien que le deje entrar en el edificio con la excusa de que ha perdido la suya, o de que la ha dejado en casa para que así el usuario legítimo le abra la puerta y el atacante logre entrar.
Vulnerabilidades de ingeniería social basada en la tecnología
Estos ataques son los que se llevan a cabo mediante el uso de ordenadores, tablets, smartphones… Estos ataques pueden incluir multitud de técnicas para engañar al usuario, como por ejemplo que desde una red social engañemos al usuario para que haga clic en una URL que le redirija a éste a una web maliciosa que ejecute un exploit. Vemos ahora algunos ejemplos de estos ataques:
- Phishing
- De normal este ataque se hace vía correo electrónico, enviando un mail que a priori parece legítimo, pero contiene direcciones web falseadas para enviar al usuario a páginas web maliciosas o bien hacer que descargue contenido que sea algún tipo de malware. Hoy en día está muy de moda el cryptolocker.
- Voz de respuesta interactiva
- También llamado phishing telefónico usa un sistema para recrear una copia de voz telefónica de otros sistemas de voz telefónica de un banco u otra organización. Se le engaña a la víctima para que llame a este número telefónico, para verificar información. Una vez que la víctima llama al teléfono falseado, rechazará los intentos de login de la víctima en el sistema de voz, asegurándose de que este diga su PIN bancario o sus contraseñas varias veces.
- Baiting
- Este ataque es como un troyano del mundo real, que utiliza medios físicos y se basa en la curiosidad y la codicia del ser humano. El atacante deja algún tipo de dispositivo de almacenamiento físico como un DVD, un pendrive, etc.. que contiene algún tipo de malware. Este se dejará en algún baño o ascensor, dando la sensación de que se trata de algo legítimo y así aumentar la curiosidad de la víctima. La idea es que este victima inserte el PEN o DVD en un PC de la compañía y que este sea infectado, por ejemplo, dando acceso remoto al equipo para poder robar información.
Hay muchísimos ataques tecnológicos que llevan implícitos componentes de ingeniería social, como por ejemplo todos los relacionados con las redes sociales, los cuales sin duda tiene un componente humano muy fuerte.