1 Universidad Politécnica Territorial del estado Aragua. Domínguez, J. Aspectos interesantes sobre la..
Aspectos interesantes sobre la Ingeniería Social Domínguez Chávez, Jorge Departamento de Informática Departamento de Postgrado Universidad Politécnica Territorial del estado Aragua “Federico Brito Figueroa” La Victoria, Aragua, Venezuela
[email protected]
Resumen—Los ciberdelincuentes han utilizado el phishing y las redes sociales para obtener información de las personas y de las empresas. Los empleados recién contratados son los objetivos más buscados. Los costos de estos ataques son elevados, cada ataque varía según la persona y/o empresa. Los costos involucran: desprestigio para la persona, inquietud sobre bienes y familiares, interrupción de la actividad empresarial, gastos de los clientes, pérdida de ingresos y el detrimento de la imagen personal y/o de la empresa.
un rango de 5,000 a 100,000 dólares según datos de encuestas, como en lo social. Los ataques involucrarían: interrupción de la actividad empresarial, gastos de los clientes, pérdida de ingresos y el deterioro de la imagen de la personal y/o de la empresa. Otros resultados de este estudio: •
El teléfono y los correos electrónicos buscan engañar y obtener la confianza del destinatario, representan la fuente más común de la ingeniería social (47 %).
•
Las redes sociales son suministro continuo de datos personales, familiares, financieros y profesionales, (39 %) y de los terminales móviles mal asegurados (12 %).
•
El afán de lucro es la razón más frecuente de los ataques de ingeniería social, seguida del deseo a acceder a información confidencial de la persona y/o empresa (46 %), la búsqueda de ventajas competitivas (40 %) y los actos de venganza (14 %).
•
Los nuevos trabajadores o colaboradores son los más vulnerables a las técnicas de ingeniería social.
•
Sólo el 34 % de las personas y/o empresas han capacitadas y/o concienciadas sobre políticas de seguridad para evitar caer en los ataques de ingeniería social.
Presentamos algunas sugerencias para resolver este problema. Abstract – The cybercriminals have used pishing and social networks to get information about people and businesses. Newly hired employees are the most sought objectives. The costs of these attacks are high, each attack varies by individual and / or company. The costs involved: discredit the person, attack goods and family, interruption of business, cost of customers, loss of income and expense of personal image and / or company. We have some suggestions to solve this problem.
I. INTRODUCCIÓN Según estudios realizados por diversas empresas y consultores de seguridad informática y en seguridad de Internet, el 50% de las empresas son y han sido víctimas de la ingeniería social. Los delincuentes han utilizado el phishing y las redes sociales para obtener información de las personas y/o empresas. Los nuevos empleados, y aquellos que no tienen aún la pertinencia de estar en una empresa, con frecuencia son los objetivos más solicitados por los ciberdelincuentes. Estos ataques representan costos elevados, tanto en lo económico como en el prestigio de personas y/o de las empresas afectadas, cada ataque varía en
Su empresa o usted tienen servicios de seguridad en su red informática, en su edificio, casa u oficina con un sistema de acceso a tecnología de última generación. Han invertido en tecnología. Pero un ataque de ingeniería social podría pasar por alto todas esas defensas. Debe recordar que el humano es el eslabón más débil en aspectos de seguridad
2 Universidad Politécnica Territorial del estado Aragua. Domínguez, J. Aspectos interesantes sobre la..
informática. Digamos que dos inspectores de incendios aparecen en su oficina, muestran sus credenciales y piden un recorrido por su oficina, legalmente está obligado a darles acceso para hacer su trabajo. Hacen muchas preguntas, toman lecturas eléctricas en varias toma corriente, examinan el cableado debajo de los escritorios. A fondo, ¿no es así? El problema es que en este caso son realmente consultores de seguridad que hacen ingeniería social a través de una "prueba de penetración" y el acaparamiento de las tarjetas de acceso, la instalación de registradores de pulsaciones, y en general, salir con la mayor cantidad de información privada de su negocio, ya que pueden tener en sus manos. Los ingenieros sociales o ciberdelincuentes se aprovechan de la conducta humana para realizar estafas, no se preocupan por un sistema de tarjetas. Es caminar y con confianza pedirle a alguien que les ayude a entrar. Y ¿Qué del firewall? No va a significar mucho si los usuarios son engañados para que haga clic en un enlace malicioso que piensan vino de un amigo de Facebook. Podríamos entrar en particularidades de cada caso expuesto o conocido, lo fundamental es comprender que no hay tecnología capaz de protegernos contra la Ingeniería Social, como tampoco hay usuarios ni expertos que estén a salvo de esta forma de ataque. La Ingeniería Social no pasa de moda, se perfecciona y sólo tiene a nuestra imaginación como límite. II.
¿QUÉ ES LA INGENIERÍA SOCIAL?
La ingeniería social es esencialmente el arte de obtener acceso a edificios, a sistemas o a datos (archivos, programas y fotografías) mediante la explotación de la psicología humana, en lugar de romper o quebrar su tecnología. Por ejemplo, en lugar de tratar de encontrar una vulnerabilidad de software, un ingeniero social puede llamar a un empleado y hacerse pasar por una persona de soporte de Tecnología de Información o un amigo o un cliente, tratando de engañar al empleado para que divulgue su contraseña.
En los años 90, Kevin Mitnick popularizó el término "ingeniería social", a pesar de que la idea y muchas de las técnicas mencionadas han existido por siempre y ha habido estafadores de cualquier tipo. Técnicas de ingeniería social Existen tres (3) tipos de técnicas según el nivel de interacción del ingeniero social: Técnicas pasivas •
Observación
Técnicas no presenciales •
Recuperar la contraseña
•
IRC u otros chats
•
Teléfonos
•
Carta y fax
Técnicas presenciales no agresivas •
Buscando en la basura.
•
Mirando por encima del hombro.
•
Seguimiento de personas y vehículos.
•
Vigilancia de Edificios.
•
Inducción.
•
Entrada en Hospitales.
•
Acreditaciones.
•
Agendas y teléfonos móviles.
•
Desinformación.
Métodos utilizados por los atacantes Son varios los métodos que un delincuente utiliza para conseguir información o que se le facilite un acceso a un sistema restringido. Lo normal es que el atacante utilice una mezcla de los métodos existentes. Métodos agresivos •
Suplantación de personalidad.
•
Chantaje o extorsión.
•
Despersonalización.
3 Universidad Politécnica Territorial del estado Aragua. Domínguez, J. Aspectos interesantes sobre la..
•
Presión psicológica.
Autoridad falsa Técnica muy usada que se basa en intentar convencer a la victima de que el atacante está en una posición en la que esa información le es necesaria haciéndose pasar por un superior. Esta técnica puede ser usada en empresas muy grandes, donde lo más normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede hacerse pasar por uno de ellos y solicitar la información que necesita. III.
¿MI PERSONA Y/O MI EMPRESA ESTÁN RIESGO?
asume "Si bien es posible que no tenga nada, pero sí puedo asumir su identidad, puede pagar mis cuentas o puedo cometer delitos en su nombre”. Una persona debe entender que no importa quién o qué sea o a quién representa, debe entender que tiene un valor implícito para un criminal. Los delincuentes toman semanas y meses para conocer un lugar, incluso antes de tocar la puerta o hacer una llamada telefónica. Su preparación incluiría la búsqueda de una lista de teléfonos de una empresa, su organigrama, sus empleados o la lista de las amistades de una persona en sitios de redes sociales como LinkedIn o Facebook.
La ingeniería social ha demostrado ser una manera muy exitosa en la que un criminal "ingresa" una organización. Una vez que un ingeniero social tiene la contraseña de un empleado de confianza, puede simplemente entrar y curiosear por los datos sensibles. Otro intento sería la estafa a alguien a través de una tarjeta de acceso o código con el fin de llegar físicamente dentro de una instalación, ya sea para acceder a los datos, robar los activos, o incluso dañar a las personas.
En la prueba de penetración anterior y aplicando las reglas anteriores a un ejecutivo de alto valor, se demuestra lo fácil que sería robarle. Podemos utilizar una búsqueda básica en Internet para encontrar una dirección de correo electrónico del ejecutivo. A partir de ahí, todo es una bola de nieve.
Ejemplo de una prueba de penetración. Los consultores de seguridad informática utilizan los acontecimientos actuales, como la información pública disponible en las redes sociales. Con una camisa Cisco de 4 dólares comprada en una tienda de segunda mano preparan su entrada ilegal. La camisa ayuda a convencer a la recepción y a otros empleados que es un empleado Cisco en una visita de soporte técnico. Una vez dentro, es capaz de dar a sus otros miembros de su equipo una entrada ilegal. También logra conectar varios USB con malware e irrumpir la red de la empresa, todo a la vista del resto de los demás empleados.
Si buscamos la dirección de un correo electrónico en línea, seríamos capaces de encontrar un número de teléfono ya que la persona estaba buscando boletos para un concierto, o en el registro para asistir a un congreso, escribió su número de teléfono para ser contactado.
¿Qué se siente al robar la identidad o una propiedad de una persona? Con demasiada frecuencia las personas asumen que no tienen nada digno de robar. "Hay muchas personas que se miran a sí mismos y/o a las empresas para las que trabajan y piensan, ¿Por qué alguien quiere algo de mí? Yo no tengo dinero ni nada que alguien quiera", el atacante
Ya sea que irrumpir en edificios o en firewalls de última generación, el objetivo es siempre el mismo: extraer información mediante cualquier medio que sea necesario.
Por ejemplo, si el número de teléfono es de su oficina, el intruso puede llamar fingiendo ser un publicista o colega. También, podemos obtener su número de teléfono celular personal, su dirección, y, finalmente, su información financiera. El punto es que con poco de información, la ingeniería social puede crear un perfil entero sobre un objetivo. Piense un momento, el criminal puede saber la escuela de sus hijos, sus horarios o incluso irrumpir la señal Bluetooth de su residencia. Un ingeniero social está listo para atacar cuando sabe lo que hay que decir, sabe a quién pedir y ganar su confianza, elementos que se necesitan para que una persona no autorizada tenga acceso a una
4 Universidad Politécnica Territorial del estado Aragua. Domínguez, J. Aspectos interesantes sobre la..
instalación o datos sensibles.
•
El objetivo es ganar la confianza de uno o más de sus empleados: •
•
En el teléfono: un ingeniero social puede llamar y pretender ser un compañero de trabajo o una autoridad externa de confianza (como la aplicación de la ley o de un auditor). El objetivo es que la persona se sienta cómoda con un lenguaje familiar. El criminal podría aprender la jerga corporativa para que la persona en el otro extremo crea que es información privilegiada. Otra técnica exitosa involucra la grabación de la música de "mantener" una comunicación, música que utiliza cuando las llamadas se quedaron esperando en el teléfono. En la oficina: ¿Puede mantener la puerta para mí? dejé mi llave o tarjeta de acceso" ¿Cuántas veces has escuchado esto en tu edificio? la persona que solicita el favor no parece sospechosa (táctica muy común utilizado por los ingenieros sociales).
En el ejercicio, en el cual el intruso utilizó su camisa Cisco para entrar en un edificio, tenía un miembro del equipo esperando fuera cerca de la zona de fumadores donde los empleados a menudo iban a escapadas. Suponiendo que esta persona era simplemente un compañero de la oficina del hotel, los empleados reales lo dejaron entrar por la puerta trasera sin hacer preguntas. "El cigarrillo es el mejor amigo de un ingeniero social". Este tipo de cosas pasa todo el tiempo, de acuerdo con nuestro intruso. La táctica es la ELA conocida como “girar la rueda”. Las personas simplemente no piden a otros demostrar que tienen permiso para estar allí; incluso en aquellos lugares donde se requiere identificación, carnet, insignias, gafetes u otra prueba para caminar por los pasillos. "Yo suelo usar alguna fotografía de alta calidad para imprimir hasta insignias para mirar realmente como se supone que debo estar en ese ambiente. Pero a menudo ni siquiera te revisen. Incluso he llevado una insignia que decía, al lado derecho, “pateame!!!” y no fue cuestionada.
En línea: Las redes sociales han abierto una nueva puerta entera para estafas de ingeniería social, de acuerdo con la firma de seguridad británica Sophos. Una de las últimas estafas implica el planteamiento penal de Facebook como "amigo". Uno nunca puede estar seguro de que la persona que está hablando contigo en Facebook es en realidad una persona real. Los delincuentes están robando contraseñas e irrumpen cuentas haciéndose pasar por amigos para obtener ganancias financieras.
Una de las tácticas populares que utilizan los estafadores es irrumpir cuentas de Facebook, luego enviar un mensaje en Facebook diciendo que se ha quedado atascado en una ciudad extraña y que necesitan dinero. "A menudo dicen que fueron robados durante el viaje y la persona le pregunta al amigo de Facebook si puede enviarle dinero para ayudarlo a solucionar su problema". Una vez que el intruso tenga acceso a la cuenta de una persona, puede ver quien es su cónyuge es, donde fueron de vacaciones la última vez, el nombre de la empresa o de los hijos o de los amigos. Es fácil pretender ser alguien que no eres. Los ingenieros sociales también aprovechan de los acontecimientos actuales y los días festivos para atraer a las víctimas. Estafas de compras en línea, por lo cual los expertos en seguridad advierten que en las vacaciones, los ingenieros sociales se aprovechan de las tendencias de compra de vacaciones por los resultados de búsqueda posicionamiento y suplantando enlaces reales a sitios ficticios. También podrían ir tan lejos como establecer una organización de caridad falsa con la esperanza de ganar dinero en efectivo a través de una donación para Navidad o una ayudar a personas en una catástrofe. IV.
¿POR QUÉ CAEN LAS PERSONAS PARA LAS TÉCNICAS DE INGENIERÍA SOCIAL?
La gente se deja engañar todos los días. Y están en desventaja, ya que no han sido advertidos
5 Universidad Politécnica Territorial del estado Aragua. Domínguez, J. Aspectos interesantes sobre la..
adecuadamente sobre los ingenieros sociales. El comportamiento humano es siempre el eslabón más débil de cualquier programa de seguridad. ¿Y quién puede culparlos? Sin la educación adecuada, la mayoría de las personas no reconocen los trucos de un ingeniero social ya que a menudo son muy sofisticados. Los ingenieros sociales utilizan una serie de tácticas psicológicas en las víctimas inocentes. Como Bushwood Consultores manifiesta, los ingenieros sociales exitosos están seguros y tienen control de la conversación. Simplemente actúan como si pertenecieran a una asociación, a una empresa, universidad, grupo de amistades, colegas, etc., ya que su confianza y postura corporal pone a los demás a gusto. Los ingenieros sociales confunden a la gente según cuatro (4) principios básicos: •
Proyectan confianza. En lugar de a escondidas, de manera proactiva se acercan y llaman la atención sobre sí mismos.
•
Dan algo. Incluso un pequeño favor crea confianza y la percepción de estar en deuda.
•
Usan el humor. Es entrañable y desarmado.
•
Hacen una petición y ofrecen una razón. La psicología demuestra que las personas tienden a responder a cualquier solicitud motivada.
"Las personas a cargo de la seguridad en conciertos, conferencias, exposiciones ni siquiera buscan identificaciones, carnets, pases o insignias". "Por eso, si el intruso es sorprendidos, puede decir que es un fanático tratando de colarse de nuevo y echar un vistazo a la estrella y que está trabajando el caso, ya que parecen como si pertenecieran allí." Los ingenieros sociales utilizan el humor y los elogios en una conversación. Incluso pueden dar un pequeño regalo a un empleado de mantenimiento, al portero, a una recepcionista, para ganarse un favor para el futuro. Estas son formas exitosas para ganar la confianza de una persona, porque "gusto" o por “comodidad” y por "sentir la necesidad de reciprocidad”. Ambos son patrones de acción fijos
que los humanos emplean de forma natural en las circunstancias adecuadas. Muchas estafas de la ingeniería social en línea se están aprovechando de tanto del miedo como de la curiosidad humana. Enlaces que preguntan "¿Ha visto este video donde aparece usted o su novia o jefe? ¿Ha visto a alguna artista famosa desnuda? O ¿sabía que fulano es gay? son cosas imposibles de resistir si no está consciente de que un ingeniero social le mira a como una presa y busca hacerle caer en la trampa al hacer clic en tal enlace. El éxito de los ataques de phishing le advierten que "Su cuenta bancaria se ha violado! Haga clic aquí para ingresar y verificar su cuenta." O "Usted no ha pagado por el artículo que recientemente compró en eBay. Por favor, haga clic aquí para pagar." Esta estratagema juega con la preocupación de una persona sobre el impacto negativo en su puntuación de eBay. Dado que las personas pasan años desarrollando puntuación de votos de eBay o "reputación", la persona reacciona rápidamente a este tipo de correo electrónico. Por supuesto, que le conduce a un sitio de phishing", según Soluciones Green Armor, empresa de software de seguridad informática. "Muchas personas utilizan eBay, y los usuarios suelen pujar días antes de una compra hasta completarla. Así que, es razonable que una persona piense que él o ella se ha olvidado de una oferta que hizo una semana antes." Señuelos recientes de phishing incluso se aprovechan de la crisis económica. No es raro encontrar correos electrónicos falsos que dicen provenir del Departamento de Recursos Humanos que dicen: “Usted ha sido despedido debido a una reducción de personal. Si desea registrarse para un nuevo trabajo, hágalo aquí", e incluye un enlace malicioso. Nadie quiere causar problemas en esta economía, por lo que cualquier correo electrónico que parece ser de un empleador probable obtenga una respuesta. Otra forma de fraude, “En un esfuerzo por reducir costos, estamos enviando los formularios electrónicos para su declaración de
6 Universidad Politécnica Territorial del estado Aragua. Domínguez, J. Aspectos interesantes sobre la..
impuestos este año'". V. ¿CÓMO EDUCARME A MI MISMO Y A MIS EMPLEADOS PARA EVITAR LA INGENIERÍA SOCIAL?
La conciencia es el número uno como medida defensiva. Nosotros y los empleados debemos estar conscientes de que existe la ingeniería social y también conscientes de las tácticas más utilizadas. Afortunadamente, la conciencia de ingeniería social se presta a la narración. Y las historias son mucho más fáciles de entender y mucho más interesante que las explicaciones de fallas técnicas. El éxito de pasar por un técnico es un ejemplo de una historia que transmite el mensaje de una manera interesante. Pruebe y llame la atención o haga carteles humorísticos ya que son recordatorios eficaces acerca de no asumir que las personas no siempre son quienes dicen que son. Siempre hay que ser un poco paranoico y exigente, porque nunca se sabe lo que una persona quiere de ti. La focalización de los empleados "se inicia con la recepcionista, el vigilante de la puerta que está observando un estacionamiento. Es por eso que la formación tiene que llegar al personal." Los trucos de ingeniería social están siempre en evolución, y la formación de la conciencia tiene que ser mantenida fresca y actualizada. Los sitios de las redes sociales crecen y evolucionan, así que también lo hacen las estafas que tratan de utilizar allí los ingenieros sociales. Inicie una campaña para conseguir que usted y los empleados presten atención a su comportamiento en línea para reconocer como contrarrestar a la ingeniería social antes de meterse en problemas. Pero no sólo el empleado medio que tiene que ser consciente de lo que es la ingeniería social. Un estudio realizado en 2010 encontró que los altos ejecutivos en realidad son los blancos más fáciles, por muchas razones, entre ellas una actitud relajada seguridad y su tendencia a utilizar la última tecnología, incluso que se ha vetado antes. El miedo al ridículo es un gran aliciente, aunque se trata de una táctica a utilizar con gran precaución.
A nadie le gusta parecer tonto, y una exitosa prueba de ingeniería social hace que la víctima se sienta tonta. Esto es en parte la razón porque la narración funciona - el lector o el oyente siente empatía por la persona que "pillaron". Considere este factor sí decide diseñar un ensayo de penetración de ingeniería social en su empresa. Un poco de vergüenza pondrá a todos en estado de alerta; cruzar la línea de la humillación sólo hará que los empleados estén enojados. VI.
¿EXISTE HERRAMIENTAS PARA QUE ESTE PROCESO SEA EFICAZ?
Un número de vendedores ofrecen herramientas o servicios para realizar los ejercicios de ingeniería social, y/o para generar conciencia en los empleados a través de carteles y boletines. VII.
CONCLUSIONES
Es muy importante capacitarnos y capacitar a nuestros empleados (empleado y superiores) en reconocer a los ingenieros sociales. Siempre deben solicitar una identificación, y preferentemente tener un protocolo de trabajo (si se realizará una actualización de software, enviar 24 horas antes un correo electrónico a todos los empleados avisando que pasará el técnico a realizar el trabajo). Tampoco dar información confidencial por mensajería instantánea ni por teléfono, se debe seguir un protocolo de trabajo. El peor error de las personas y/o empresas es confiar en que nunca sucederá en ellas. No suministre información personal o corporativa a una persona no identificada. Evite dar información que pueda comprometer la seguridad de su sistema y la suya personal. Datos como usuario, contraseña, fecha de nacimiento, familiares, empresas, tarjetas, situación social, salud, costumbres, datos económicos, etc. pueden ser utilizados por una persona inescrupulosa para efectuar acciones dañinas. REFERENCIAS
[1] GRANGER, Sarah; Social Engineering Fudamentals, Part I: Hacker Tactics; 2010.
7 Universidad Politécnica Territorial del estado Aragua. Domínguez, J. Aspectos interesantes sobre la.. [2] HEARY, Jamey; Top 5 Social Engineering Exploit Techniques; 2013, pp. 123–135. [3] DOLAN, Aaron; Social Engineering; http://www.sans.org/reading_room/whitepapers/engineeri ng/social-engineering_1365 [4] RAMÍREZ, Jorge; Ingeniería Social, una amenaza informática http://es.scribd.com/doc/19394749/Ingenieria-social-unaamenaza-informatica [5] MOLIST, Mercè; Ingeniería Social: Mentiras en la Red; http://ww2.grn.es/merce/2002/is.html Autor Jorge Domínguez Chávez, Dr. en Ciencias de la Computación, IIMAS, UNAM. México. Especialista en Seguridad Informática (OWC), University of Washington, Seattle, WA, USA. Profesor Universidad Politécnica Territorial del estado Aragua, Venezuela. Profesor Visitante, Universidade Federal do Rio Grande do Sul, Porto Alegre, Brasil. Tutor designado, Universidad Nacional Autónoma de México.
