La Ingeniería Social y la Seguridad.
INTRODUCCIÓN.
La Ingeniería social ha aumentado su popularidad en los
últimos años debido al crecimiento de las redes sociales. Es el arte de sacar
información a una persona sin que ésta se dé cuenta de ello. Es el arte de
“hackear a las personas”.
La Ingeniera social ha existido hace mucho tiempo, los
piratas telefónicos la utilizaron para manipular a los empleados de las
compañías telefónicas, haciéndoles creer que trabajaban en la compañía para
obtener información. El pionero de esta piratería fue John Drapper “Capitán
Crunch” quien sirvió como inspiración a los hackers (piratas) informáticos.
DESARROLLO.
El término Ingeniería Social hace referencia al arte de
manipular a las personas (con técnicas sicológicas y habilidades sociales) con
el fin de obtener su información y
utilizarla o influenciarlas a ejecutar una acción que las lleve a ser víctimas
en todos los casos de un delito informático. Dicha información puede ser
obtenida a través las siguientes técnicas:
Técnicas Pasivas:
Observación de las acciones de la persona, que incluye una formación del perfil
sicológico del individuo blanco, conocer sus conductas informáticas, datos que
estén visibles como fecha de cumpleaños, nombre de familiares, estudios, etc.
Técnicas no
presenciales: a través de los medios de comunicación como emails, chat,
teléfono, carta, fax, etc., para obtener información que pueda servir para el
cracker (vándalo virtual). Este tipo de
técnicas son las más comunes.
Técnicas presenciales
no agresivas: Buscando en la basura, seguimiento a personas, vigilancia de
edificios, entrada a hospitales, acceso a agendas y teléfonos móviles, etc.
Técnicas agresivas:
Suplantación de identidad (Phishing), el chantaje y extorsión o la presión
sicológica. El estafador o Phisier se hace pasar por una persona o empresa de
confianza.
Funcionamiento.
Suplantación de identidad o Phishing.
El estafador o Phisher, se hace pasar por una persona de o
empresa de confianza en una aparente comunicación oficial, a través de llamada
telefónica, email o mensajería instantánea, ejemplos: un email supuestamente de
una entidad bancaria, en el cual se le notifica al usuario que debe actualizar
sus datos, la dirección a la cual que hay que dirigirse es una página web que
no es no oficial, en la cual el usuario
llena todo el formulario, con los datos que es estafador quiere saber.
Spear phising.
Es una variante del phishing, es un ataque de phising
dirigido a un objetivo específico. El timador envía un mensaje por email que
parece auténtico a todos los empleados de una empresa, haciéndose pasar por un
jefe o compañero, e indicando que envíen sus datos personales y contraseñas. Su
objetivo es obtener el acceso a la empresa y su sistema informático.
Envío de archivos adjuntos en el email.
Se envía un mensaje con un archivo adjunto, que contiene un
troyano, el remitente se hace pasar por alguien conocido o hace el mensaje muy
atrayente, si el usuario lo abre éste se aloja en el sistema y permite el
acceso del hacker, quien puede recabar información o controlar remotamente la
máquina. También puede ser que el archivo adjunto sea un capturador de teclas
del teclado, que registran las pulsaciones del teclado, las memorizan en un
fichero y las envían a través de internet
al keylogger.
Revisión de desperdicios en la basura.
Estos pueden representar una fuente de información, como
libretas telefónicas, organigramas, calendarios (re reuniones, eventos,
vacaciones, etc.), formatos con membretes, discos duros, cartas con información
personal de la persona (DNI, dirección, etc.).
Vishing.
Es el robo de datos que combina voz y vishing, para obtener
información de la persona. Son mensajes pregrabados en los cuales solicitan
información financiera personal.
Las personas más susceptibles a los ataques por Ingeniería
Social son:
Recepcionistas
Vendedores
Personal de nómina
Personal de recursos humanos
Personal de finanzas
Personal de administración
Usuarios de redes sociales
Pasos para llevar a cabo un ataque:
Identificar a la víctima
Reconocimiento
Crear el escenario
Realizar el ataque
Obtener la información
Salir
Efectividad de la Ingeniería Social.
Según Kevin Mitnick (un hacker considerado como uno de los
padres de la ingeniería social) hay cuatro principios por los cuales la efectividad de la Ingeniería Social
resulta inmensurable y que se aplican a
todas las personas:
Todos quieren ayudar siempre, o sea que siempre se está
dispuesto a dar un poco más de lo que se pide.
El primero movimiento hacia el otro, es siempre de
confianza.
A las personas no les gusta
decir no.
A todos les gusta que los alaben.
Otros factores que intervienen para que se de la
ingeniería social son:
En la red es eslabón más débil de la cadena es el usuario.
El miedo y la codicia.
La inocencia y la credulidad.
Quiénes hacen Ingeniería social:
Detectives privados, miembros de organismos policiales,
delincuentes organizados, hackers y crackers, personas curiosas que quieran
información de otros, etc.
McAfee estima que el cibercrimen le cuesta a las empresas un trillón de
dólares cada año.
Cómo evitar la
Ingeniería Social.
Control en el acceso físico donde se encuentran los equipos
informáticos
Establecer políticas de seguridad del sistema operativo.
Bloquear la entrada de archivos o ficheros con extensiones
“.exe”, entre otros.
O tirar a la basura documentos importantes que contengan
información sensible.
No dar información por correo electrónico, ni por teléfono a
menos que se conozca al interlocutor.
No abrir archivos adjuntos de mensajes dudosos.
Actualizar el software del sistema operativo.
Tener un antivirus actualizado, con firewall.
No poner datos personales completos en las redes sociales.
Restringir la privacidad en las redes sociales.
Antes de aceptar a un amigo confirmar que éste es real.
Utilizar contraseñas seguras evitando poner datos
relacionados con hijos, mascotas, etc.
Evitar en todo lo posible las redes peer to peer o P2P como
emule, Ares o Gnutella.
Protección de datos.
La Agencia Española de Protección de datos estima que
tenemos derecho a que se cancelen nuestros datos publicados en sitios web si no
se cuenta con nuestro consentimiento y para exigir dicha cancelación se debe
dirigir al sitio web que aloja dicho contenido o en su caso al responsable del
buscador de Internet.
La Ley Orgánica 1/1982 de 5 mayo, está la protección del
honor, la intimidad personal y familiar y la propia imagen de los usuarios. Sin
embargo no se regulan de manera específica determinadas situaciones derivadas
del uso de las redes sociales y sitios web colaborativos, por lo que pueden
tener problemas a la hora de hacer efectiva esta normativa. Por ejemplo el
registro de alta como usuario sin configurar correctamente el nivel de
privacidad.
Sin embargo dicha protección está siendo mayor, y prueba de
ello es la la Ley 34/2002 de 11 de julio, de Servicios de la Sociedad de la
Información y Comercio Electrónico, que regula jurídicamente los servicios de
la sociedad de la información (las comunicaciones comerciales vía electrónica,
obligaciones de los prestadores de servicios, y el régimen sancionador)
La CISPA (Cyber
Intelligence Sharing and Protection Act) aunque está todavía en proyecto su
objetivo es ayudar al gobierno de los Estados Unidos a investigar amenazas
cibernéticas y garantizar la seguridad de las redes contra los ataques en la
red.
CONCLUSIONES.
Hoy en día nadie está a salvo en la red, hay muchas personas
a las que les han hackeado su cuenta de correo o les han clonado su tarjeta de
crédito, entre otras acciones, porque han sido víctimas de la ingeniería
social. El ser humano por naturaleza tiene ciertas conductas que lo hacen
vulnerables ante estos malhechores, se dice que el 80% de los
ataques informáticos se deben a errores humanos y no a la tecnología. Por lo
que es muy importante es no poner nuestra información en bandeja de plata al
hacker o cracker y ser muy cuidadoso con la apertura de archivos que no
conozcamos su procedencia, el aceptar amigos sin saber quiénes son, y evitar
siempre dar datos personales en páginas web que no conozcamos, o sin verificar,
lo mismo por teléfono o por correo electrónico.
BIBLIOGRAFÍA.
No hay comentarios:
Publicar un comentario