INGENIERIA SOCIAL


INGENIERIA SOCIAL: El eslabón más débil en la Cadena de Seguridad de toda organización
Ricardo Elena
Business Development Manager para Centro América y Caribe, Easy Solutions, Inc.
relena@easysol.net

“El factor determinante de la seguridad de las empresas es la capacidad de los usuarios de interpretar correctamente las políticas de seguridad y hacerlas cumplir” – Kevin Mitnick, consultor de seguridad informática, ingeniero social y ex–hacker.

¿Qué es la Ingeniería Social?

La ingeniería social consiste en obtener información confidencial a través de la manipulación de usuarios legítimos, los cuales son el eslabón más débil en cualquier sistema de seguridad. Los criminales informáticos utilizan esta técnica para engañar a los usuarios a revelar información o a violar políticas de seguridad, sin que estos se den cuenta.

Muchas empresas han entendido la gravedad de las amenazas de ingeniería social pero continúan sin evaluar el nivel de seguridad cultural de la organización, limitando sus políticas de seguridad al nivel tecnológico, con corta fuegos, antivirus, autenticación biométrica, etc.

Mientras tanto hay diversos grupos de hackers y ladrones que aprovechan esta brecha de seguridad y han sabido evolucionar su forma de atacar a las empresas. Estos criminales ya no tienen como objetivo una vulnerabilidad en el perímetro de la red computacional, sino que su enfoque está orientado a obtener información sensible que los empleados o los usuarios puedan ofrecer, la cual será usada en ataques contra la institución, por ejemplo en incidentes de Phishing.

La Ingeniería Social existe desde hace mucho tiempo y todos somos víctimas potenciales. En el momento en que publicamos detalles personales en redes sociales o cuando hablamos con extraños sobre detalles de nuestro trabajo somos vulnerables a ataques de ingeniería social.

Según Kevin Mitnick, quien hizo popular el término, “Ingeniería Social” se basa en 4 principios del comportamiento de las personas:
• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir No.
• A todos nos gusta que nos alaben.

Un ejemplo del último principio se ve cuando alguien obtiene un logro laboral y lo hace público en alguna red Social. Esta información junto a datos personales permite una fácil suplantación de identidad por un medio telefónico.

Diversidad de ataques de Ingeniería Social

Actualmente existe una gran variedad de ataques de Ingeniería Social y mientras más evolucionen los medios de comunicación continuará igualmente el aumento de estos ataques. Dentro de los ataque más conocidos están:

Ataque WEB

Este se ha vuelto el medio principal para llevar a cabo todo tipo de ataques para el robo de información confidencial, haciendo uso de componentes como keyloggers y troyanos, que son distribuidos por correos electrónicos o enlaces maliciosos en páginas web.

Ataque Telefónico

Al no tener un contacto visual con el criminal, este puede hacer uso de todo su potencial de persuasión para lograr que su víctima le revele datos confidenciales.

Ataque Postal

El criminal usa en este ataque un apartado postal propio y un mecanismo de atracción como una subscripción a revistas o a cupones de descuento. Para la supuesta inscripción a dicho servicio solicita información personal de las víctimas y datos de su cuenta bancaria o tarjeta de crédito.

Ataque SMS

Más que obtener información, este ataque está focalizado a obtener saldo para celulares. Inicia con una base de números que el criminal utiliza para distribuir Mensajes de Texto.

Estos mensajes muestran un tipo de excusa, como el haber ganado un concurso o un cumpleaños, para lo cual es necesaria una respuesta, y en ese punto se realiza el robo de saldo.

Ataque CARA a CARA

Es el más elaborado, ya que requiere que el criminal haya obtenido suficiente conocimiento de sus víctimas para así poder ganar su confianza.

Requiere que el criminal se adapte en vestuario, comportamiento y cultura, pero al ganar la confianza de la víctima se vuelve el ataque más efectivo.

¿Cómo se ve afectada una empresa con un ataque de Ingeniería Social?

 

El objetivo de la Ingeniería Social es robar información confidencial pero, este es solo el primer paso de los criminales, quienes últimamente usarán la información para cometer acciones fraudulentas.

La información crítica de los usuarios lleva a conseguir acceso a datos sensibles de una empresa que pueden ser usados para realizar un robo directo a la institución o para ser vendidas en el mercado negro.

Según el Ponemon Institute, en su estudio 2010 U.S. Cost of a Data Breach, en Estados Unidos el costo promedio de los incidentes de pérdidas de información o “data breach” fue de US $7.2 millones de dólares en el 2010, con un promedio de US $240 por registro. Sin embargo, en los casos de data breach en los cuales estuvo involucrada actividad maliciosa o criminal, el costo promedio de la pérdida por registro fue aún mayor, US$318.

Adicionalmente, estos incidentes cada día cuestan más a las empresas. El costo promedio de la pérdida por registro ha aumentado por 5 años consecutivos. Los siguientes son algunos ejemplos de casos de data breach ocurridos en el 2010:
• U.S Army Reservists ‐ 207,000 registros robados
• Education Credit Management ‐ 3.3 Millones de registros robados
• AvHealth Plans ‐ 1.2 Millones de registros robados

Medios para mitigar esta problemática

Evitar ataques de Ingeniería Social no es una tarea fácil, ya que esta aprovecha debilidades comunes y frecuentemente ignoradas en las organizaciones: empleados sin el entrenamiento necesario para destruir archivos o documentos sensibles, ejecutivos navegando en redes inalámbricas sin protección, como por ejemplo en aeropuertos y hoteles, equipos de venta que hablan de estrategias o comparten información personal en lugares públicos o en redes sociales.

Es necesario que las empresas reconozcan la gravedad de los ataques de Ingeniería Social y comiencen a identificar y mitigar sus vulnerabilidades, con el fin de prevenir graves pérdidas económicas y daños al buen nombre y a la confianza en la institución.

Easy Solutions con su servicio Detect Social Engineering Assessment (DSEA), enfrenta el riesgo de las amenazas de rápida evolución que involucran Ingeniería Social, ayudando a las organizaciones a fortalecer el compromiso de los empleados con la Cultura y Conciencia de Seguridad.

Este servicio identifica vulnerabilidades y brinda a los empleados las herramientas que necesitan para reconocer y responder a las amenazas de ingeniería social, a través de políticas, procedimientos y entrenamientos claros y completos.

Algunas de las principales características del servicio son:
• Identifica debilidades físicas y psicológicas y vectores de ataque.
• Provee guías para la creación de políticas, procedimientos y procesos.
• Entrega entrenamiento efectivo, diseñado a la medida de la organización.
• Ofrece mayor protección al combinarse con las soluciones Detect Monitoring Service y Detect Safe Browsing.
• Ayuda al cumplimiento de regulaciones de protección de datos (FERPA, FISMA, GLBA, etc.)

Para mayor información sobre el servicio Detect Social Engineering Assessment o para aprender más sobre amenazas de ingeniería social como Phishing y Pharming por favor visite: http://www.easysol.net

PHISHING-Wikipedia

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido comophisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea1 o incluso utilizando también llamadas telefónicas.2

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.

Origen del término

El término phishing proviene de la palabra inglesa “fishing” (pesca), haciendo alusión al intento de hacer que los usuarios “muerdan el anzuelo”.3 A quien lo practica se le llama phisher.4 También se dice que el término phishing es la contracción de password harvesting fishing (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura ‘ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.5

La primera mención del término phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600,6 aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker 2600 Magazine.7 El término phishing fue adoptado por quienes intentaban “pescar” cuentas de miembros de AOL.

Respuestas técnicas

Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.

Muchas organizaciones han introducido la característica denominada «pregunta secreta», en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo.23 Estas y otras formas de autentificación mutua continúan siendo susceptibles de ataques, como el sufrido por el banco escandinavo Nordea a finales de 2005.24

Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido phishing.

El Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería socialutilizadas por los phishers.25 Ellos suponen que en un futuro cercano, el pharming y otros usos de malware se van a convertir en herramientas más comunes para el robo de información.

Pharming

Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.

Origen de la palabra

La palabra pharming deriva del término farm (granja en inglés) y está relacionada con el término phishing, utilizado para nombrar la técnica de ingeniería social que, mediante suplantación de correos electrónicos o páginas web, intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta contraseñas.

El origen de la palabra se halla en que una vez que el atacante ha conseguido acceso a un servidor DNS o varios servidores (granja de servidores o DNS), se dice que ha hecho un pharming.

Método de funcionamiento del pharming

Todos los ordenadores conectados a internet tienen una dirección IP única, que consiste en 4 octetos (4 grupos de 8 dígitos binarios) de 0 a 255 separados por un punto (ej: 127.0.0.1). Estas direcciones IP son comparables a las direcciones postales de las casas, o al número de los teléfonos.

Debido a la dificultad que supondría para los usuarios tener que recordar esas direcciones IP, surgieron los Nombres de Dominio, que van asociados a las direcciones IP del mismo modo que los nombres de las personas van asociados a sus números de teléfono en una guía telefónica.

Los ataques mediante pharming pueden realizarse de dos formas: directamente a los servidores DNS, con lo que todos los usuarios se verían afectados, o bien atacando a ordenadores concretos, mediante la modificación del fichero “hosts” presente en cualquier equipo que funcione bajo Microsoft Windows o sistemas Unix.

La técnica de pharming se utiliza normalmente para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s