15

Click here to load reader

Ingenieria social

Embed Size (px)

Citation preview

Page 1: Ingenieria social

INTRODUCCIÓN

Esta monografía tiene como tema central a la Ingeniería Social, una técnica que se ha convertido en una amenaza para las personas tanto conocedoras como no tan conocedoras acerca del mundo de la informática.

En la primera parte se tocarán los orígenes de la ingeniería social y como sus fundamentos que son el engaño, la manipulación, el espionaje, etc. están presentes en los mitos y el folclore popular.

Ya en una segunda parte del trabajo tenemos algunas técnicas empleadas por los más grandes ingenieros sociales, uno de ellos por ejemplo Kevin Mitnick, quien popularizó el término de Ingeniería Social con sus constantes huidas al FBI y hasta un cambio completo de identidad gracias a estas técnicas, como por ejemplo: El espionaje, el phising, la ingenieria social inversa. También se habla de cómo podemos evitar estos ataques

En un último apartado encontraremos una técnica que tiene por fin el ayudar a las personas, hablamos del hacking ético, importante para darle un contraste al tema visto.

Page 2: Ingenieria social

LOS ORÍGENES DE LA INGENIERÍA SOCIAL

Popularizada por Kevin Mitnick, la ingeniería social es en esencia el arte de la persuasión: convencer a las personas para que revelen datos confidenciales o realicen alguna acción. Aunque el término ingeniería social es relativamente nuevo, las técnicas y filosofías que la sustentan están presentes desde los albores de la humanidad. Existen historias de engaño y manipulación en muchas páginas de la historia, el folclore, la mitología, la religión y la literatura.

PROMETEO, ¿EL DIOS DE LA INGENIERÍA SOCIAL?

Page 3: Ingenieria social

Según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería social es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a creer que podía engañar a Zeus, el mayor de los dioses. En la Teogonía y Trabajos y días, el poeta épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas y sus astutos ardides. Se le atribuye la creación del hombre, modelado a partir de barro. En lo que se conoce como el "Engaño de Mecona", Prometeo presentó a Zeus dos ofrendas para dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el interior de su estómago, la otra era el esqueleto del buey cubierto con brillante grasa. La una era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligió la última y, como consecuencia, en lo sucesivo la humanidad debería sacrificar a los dioses sólo huesos y grasa, conservando la carne para sí. Enojado por el engaño de Prometeo, Zeus castigó a los mortales quitándoles el fuego. Sin embargo, en un acto más de ingeniería social contra Zeus, Prometeo robó “el brillo que se ve de lejos del infatigable fuego en una hueca cañaheja” del monte Olimpos y se lo legó a los hombres. Como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada día llegaba un águila que le comía el hígado; por la noche éste le volvía a crecer. Como castigo para los hombres, Zeus creó a la primera mujer, Pandora, quien portaba un ánfora que ella abrió por curiosidad, liberando incontables plagas.

EL ATAQUE DE PHISHING DE JACOB Y REBECA

Del Antiguo Testamento proviene la historia de Jacob y su madre Rebeca, quien utilizó una técnica de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a la víctima que el atacante es alguien diferente. El padre de Jacob y esposo de Rebeca, Isaac, se quedó ciego en los últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijo mayor, Esaú: “tráeme caza y prepárame un buen guisado como a mí me gusta y tráemelo para que yo coma y que mi alma te bendiga antes que yo muera.” (Génesis 27:2-4.) Como quería que fuera Jacob en lugar de Esaú el que recibiera las bendiciones de Isaac, Rebeca concibió un plan. Jacob, reacio al principio, dijo: "Esaú mi hermano es hombre velludo y yo soy lampiño. Quizá mi padre me toque, y entonces seré para él un engañador y traeré sobre mí una

Page 4: Ingenieria social

maldición y no una bendición.” (Génesis 27:11- 12.) Para engañar a Isaac y hacerle creer que estaba con Esaú, Rebeca preparó la comida de Isaac, vistió a Jacob con las mejoras ropas de Esaú y le puso piel de cabrito en las partes lampiñas de las manos y el cuello. Jacob le entregó la comida a Isaac, superó la prueba de autenticación y consiguió las bendiciones que debían ser para Esaú.

SANSÓN Y DALILA: ESPIONAJE A SUELDO

Sansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. El secreto de su fuerza estaba en su largo cabello. Estando en Gaza, Sansón se enamoró de Dalila. Los filisteos la convencieron para que averiguara el secreto de la fuerza de Sansón a cambio de 1.100 monedas de plata. “Persuádelo, y ve dónde está su gran fuerza, y cómo podríamos dominarlo para atarlo y castigarlo. Entonces cada uno de nosotros te dará 1.100 monedas de plata.” (Jueces 16:5.) Sansón se resistió a desvelar su secreto antes de sucumbir a su capacidad de persuasión. Así que ella le dijo: “¿Cómo puedes decir: 'Te quiero,' cuando tu corazón no está conmigo?” “Me has engañado tres veces y no me has declarado dónde reside tu gran fuerza.” Finalmente, tras insistir y acosarlo día y noche, se rindió. De modo que le dijo: ”Nunca ha pasado navaja sobre mi cabeza, pues he sido Nazareo para Dios desde el vientre de mi madre. Si me cortan el cabello, mi fuerza me dejará y me debilitaré y seré como cualquier otro hombre.” (Jueces 16:15–17.) En cuanto Sansón se durmió, Dalila se aprovechó de su vulnerabilidad y le cortó el pelo. Debilitado como quedó, los filisteos prendieron a Sansón, le sacaron los ojos, lo encadenaron y encarcelaron para siempre.

EL PRIMER CABALLO DE TROYA

La historia del caballo de Troya, famosa gracias a la obra épica del poeta griego Homero, la Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaños de ingeniería social más inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no pudieron derribar las murallas que circundaban la ciudad. El astuto guerrero griego Ulises concibió una estratagema para inducir a los troyanos a creer que los griegos habían abandonado el asedio de la ciudad. Los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera junto con un soldado griego llamado Sinón. Tras ser capturado por los troyanos, Sinón les dijo que los griegos habían dejado el enorme caballo de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo habían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad, ya que ello les traería mala suerte a los griegos. El relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisos de Casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera jamás, y de Laocoonte, un sacerdote troyano. La falta de juicio de los troyanos fue su perdición. Esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejército. Gracias a la ingeniosa táctica de ingeniería social ideada por Ulises, los griegos derrotaron a los troyanos.

Page 5: Ingenieria social

LA INGENIERÍA SOCIALConcepto

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de la

Page 6: Ingenieria social

introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

Todos queremos ayudar. El primer movimiento es siempre de confianza hacia el otro.

No nos gusta decir No. A todos nos gusta que nos alaben.

COMO PROTEGERSELa mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de la compañía. Sin importar el tipo de información solicitada, se aconseja que:

Averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico);

Si es posible, verifique la información proporcionada; Pregúntese qué importancia tiene la información requerida.

Page 7: Ingenieria social

UN CASO EN FASES

La primera fase, al realizar un trabajo de ingeniería social artesanal, implica un acercamiento para generar confianza del usuario. Esto lo logran a través de correos haciéndose pasar por representantes técnicos de algún servicio o incluso a través de una presentación formal en una charla coloquial, mostrándose empático y sacándonos de una eventual situación de alerta ante el extraño (aunque bien podría ser un compañero de trabajo, un amigo de un conocido, etc.) La atención que ponen en esta etapa es fundamental para captar cualquier información que digamos y tomarla como valorable.

Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés o necesidad en la otra persona. En base a su curiosidad o deseo, ésta estará predispuesta consciente e inconscientemente a brindar información. La idea del experto será observar nuestra reacción y actuar en consecuencia con alguna técnica un poco más agresiva si el dato a conseguir tiene un nivel alto de preservación. Lo demás será prueba y error según el caso al que nos estemos refiriendo.

Por ejemplo, si un investigador simplemente quiere encontrar una forma de acceder a tu correo electrónico, podría bastarle con saber que tienes un blog en el que escribes cosas personales, sacar nombres de parientes, instituciones y hechos importantes de tu vida e ir “corriendo” a tu inicio de sesión de correo electrónico y pedir que se le recuerde el password porque lo ha olvidado. Si por casualidad en la pregunta de seguridad pusiste “Cuál es mi mejor amigo de la infancia”, probablemente el experto esté matándose de la risa y ya haya entrado a tu correo con información que tú mismo le diste. Si no lo consigue de esa manera, su trabajo no ha terminado y buscará técnicas más agresivas o repetirá el proceso para conseguir nueva información. Todo esto, repito, está supeditado al caso en el que nos refiramos. Si el cracker está intentando tirar abajo el sistema informático de un Estado, obviamente no irá a revisar los blogs personales de los encargados de limpieza del lugar.

Page 8: Ingenieria social

TÉCNICAS

EL ESPIONAJE

Se denomina espionaje a la práctica y al conjunto de técnicas asociadas a la obtención encubierta de datos o información confidencial. Las técnicas comunes del espionaje han sido históricamente la infiltración y la penetración, en ambas es posible el uso del soborno y el chantaje.

MÉTODOS

La infiltración es la técnica utilizada para introducir unidades propias en las filas del contrario o blanco, para que suministren información de interés inmediato o potencial sobre las actividades, capacidades, planes, proyectos, etc. del contrario. También podría decirse que es la acción que consiste en la utilización de una persona, conocida como topo, cuyo cometido básico es ganarse la confianza de aquéllos que poseen la información para tener acceso a la misma.

La penetración es la técnica que consiste en lograr la colaboración consciente o inocente de un miembro de la organización o grupo contrario con el fin de que proporcione datos e información confidencial del grupo al que pertenece. Generalmente, esta actividad se realiza de forma encubierta y emplea personas reclutadas que han sido persuadidas para trabajar en secreto en contra de su propia organización por diferentes motivaciones: ideológicas, económicas, morales, religiosas o personales. A la penetración le precede un estudio o selección de personas con acceso a lo que se quiere conocer, sus motivaciones y vulnerabilidades. Con posterioridad, se provoca un acercamiento, a través de terceros, de apariencia casual por parte de un agente de inteligencia o reclutador quien inicia un proceso denominado «desarrollo de la fuente», dirigido a cultivar la confianza del futuro informante y prepararlo para la propuesta de colaboración futura.

De ambos métodos, las agencias de inteligencia y los diferentes servicios de espionaje prefieren la penetración, dado que es más segura y requiere un menor esfuerzo logístico que la infiltración.

Existen diferentes técnicas para realizar este tipo de delito informático, entre ellas:

Dialers: Es la instalación de un marcador que provoca que la conexión a Internet se realice a través de un número de tarificación especial y no a través del nodo indicado por el operador con el que se haya contratado dicha conexión.

Page 9: Ingenieria social

Adware: Son programas que recogen o recopilan información acerca de los hábitos de navegación del usuario en cuestión.

Programas de acceso remoto: que permiten el acceso de un tercero a su ordenador para un posterior ataque o alteración de los datos. Son fácilmente reconocibles por los antivirus.

Caballos de Troya: Este programa es conocido ya que una vez instalado en el ordenador provoca daños o pone en peligro la seguridad del sistema.

Virus o gusanos (worms): Es un programa o código que provoca daños en el sistema, como alteración o borrado de datos, se propaga a otros computadores haciendo uso de la Red, del correo electrónico, etc.

Programas de espionaje o spyware: Es un programa que se encarga en registrar todo lo que se realiza en un PC, hasta un sencillo 'clic' en el ratón queda almacenado. Se utiliza para obtener información confidencial o conocer cuál es el funcionamiento que una persona le está dando a la máquina.

RECURSOS

Explotación de la sexualidad: A menudo los ingenieros sociales suelen enviar invitaciones ofreciendo contenido sexual atractivo, esto hace caer a la víctima más rápido.

Exploit de Identidad: El atacante hace creer a la víctima que es una persona que puede ayudarle a resolver sus problemas o simplemente le habla de buena manera para que pueda confiar. Esta técnica es utilizada mucho para hacer el conocido phising.

Ataque en la web: La herramienta más utilizada para hacer ingeniria social es la red, donde millones de cibernautas navegan confiando en cualquier persona que quiera sacarle información confidencial.

Page 10: Ingenieria social

LA INGENIERÍA SOCIAL REVERSA

Cuando un usuario legítimo tiene dificultades, y él o ella te pide ayuda. En el proceso de ayudar al usuario en su problema, podemos obtener contraseñas, nombres de cuentas (lo que se te ocurra). A qué hora dejan de usar la pc y cuando la prende. Cuando la dejan prendida sin estar al frente de la misma.

ESTO CONSISTE EN DOS PASOS.

Ayuda y publicidad.

La publicidad consiste en hacer saber al usuario que estás disponible para contestar preguntas relacionadas con la computadora. (Llamar antiguos o usuarios de pc, al asar clientes para hacerle saber tu nuevo numero de teléfono “un que sea el mismo”. Siempre tienen un problema con la PC. De todas maneras hay que comprender por que es mejor hacer que te llamen en vez de lo inverso. Tener una base de datos de usuarios locales. Llamarles y comunicarle tu numero nuevo.

El primer paso para hacer ISI es descomponer la computadora blanco del ataque o la capacidad del usuario de usar esa computadora. Esto significa que el usuario no podrá tener todos los privilegios. Se desactivaran varias propiedades de control del S.o.

El usuario llamara sin duda cuando, su pc no funcione correctamente.

CAUSAS.

Alterar un parámetro que ellos no conocen. Ejemplo desabilitar los controladores de la impresora, color de la pantalla, configuración del periférico. Mi favorito es cambiar el idioma del teclado.

Instalar programas que saturen el inicio de sesión. Programas de simulación de errores (en el inicio).

En resumen, el uso de esta técnica se reduce a causar daños en un sistema para después ofrecerse a arreglar el problema, una vez dentro el atacante es capaz de hacer y deshacer con la información que se le brinda con el objetivo de que “repare el problema”. El usuario siempre quedará contento puesto que el problema desapareció y todo parece indicar que la persona que le dijo que lo arreglaría lo hizo.

Page 11: Ingenieria social

HACKING ÉTICO

Ethical Hacking es basicamente lo mismo que "hackear" solo que con propositos "buenos", en otras palabras sirve para hacer inspecciones a los sistemas y poder asi detectar fallas en los protocolos seguridad informatica que se esten utilizando, se puede implementar haciendo o simulando ataques que podria sufrir la empresa y/o sus sistemas pero hechos premeditadamente por un especialista en seguridad informatica que puede ser interno o externo (outsourcing) a la compañia. Se pueden utilizar diferentes herramientas para hacerlo, lo importante es poder prepararse ante un posible ataque verdadero.