Por ahora, se dirá que la Ingeniería Social (Social Engineering) son aquellas conductas y técnicas
utilizadas para conseguir información de las personas. Es una disciplina que consiste básicamente
en sacarle datos a otra persona sin que esta se de cuenta de que está revelando "información
sensible" y que normalmente no lo haría.
A nivel informático, generalmente se usa para conseguir nombres de acceso y contraseñas. Para
usar esta disciplina no hay que ser un experto en sistemas, ni requiere muchos conocimientos,
simplemente hay que saber a quién dirigir el “ataque” y bastante astucia.
Es un arte... el arte de conseguir algo que nos interesa de otra persona por medio de habilidades
sociales (manipulación).
Estas conductas o técnicas que usan estas personas (también llamados Ingenieros Sociales) son
tan estudiadas que para alguien que no está embebido en temas de seguridad, son altamente
efectivas, y es por eso que la Ingeniería Social es tan preocupante.
Las técnicas utilizadas pueden consistir en mensajes de texto cortos por celulares (SMS), correos
electrónicos, llamados telefónicos, cartas, incluso personalmente acreditando credenciales falsas
(a veces no es necesario, sólo basta una conversación con mucha convicción haciéndose pasar
por otra persona). El objeto de todas estas técnicas, como antes se menciona, es el robar
información valiosa sin que la víctima pueda darse cuenta de lo que está revelando, y así utilizar
dicha información para su propio beneficio.
La ingeniería social, hoy quizá la técnica más divulgada para propagar algún mal, consiste en la
utilización de debilidades en los usuarios, utilizando su desconocimiento o miedo, entre otros
factores, para aprovecharse de su ingenuidad. Si bien el término de Ingeniería Social es bastante novedoso en el ámbito informático, en el mundo cotidiano es tan antiguo como la comunicación misma. Hoy, nos han manipulado empleando técnicas de Ingeniería Social en algún momento de nuestras vidas sin habernos dado cuenta. La cantidad de ejemplos son incontables.
Estas técnicas consisten en engaños, actuaciones, acciones estudiadas para lograr que otra
persona le brinde amablemente acceso a valiosa información u objeto de interés, utilizando una
gran astucia y mucha paciencia.
En materia de seguridad informática, estas técnicas son utilizadas para muchos fines específicos,
algunos ejemplos sencillos son:
· El usuario recibe un correo con un título que atrae su atención, o la dirección del
destinatario le suena familiar, y esto lo lleva a abrir el archivo adjunto del correo, el cual
podría tratarse de un gusano, troyano o algún malware no identificado por su antivirus
actualizado, ni por la heurística empleada por el mismo.
· El usuario es llevado a confiar información necesaria para que el atacante realice una
acción fraudulenta con los datos obtenidos. Este es el caso del phishing, cuando el usuario
entrega información al delincuente creyendo que lo hace a una entidad de confianza
(Tema analizado más adelante).
· El usuario es atraído por un falso anuncio de infección en un sitio web de seguridad
informática, donde se aconseja descargar una aplicación antispyware que detecta un
supuesto malware, para el que sólo ofrece solución si se compra una licencia.
· Los formularios que un usuario tiene que completar al momento de crear una nueva casilla
de correo, con valiosa información tales como ingresos anuales promedio, gustos y hobby,
edad y otros datos personales con los que fácilmente luego pueden hacerles “ofertas a
medida”.
· La voz agradable de una mujer o en caso contrario la voz de un hombre, que pertenece al
soporte técnico de la empresa del usuario, que le solicita telefónicamente información para
resolver un inconveniente detectado en la red.
· El llamado de un usuario al Administrador del Sistemas que necesita que le blanqueen su
clave, porque la cambió durante el transcurso del día y no la recuerda. A simple vista esto
no parece algo fuera de lo común, pero si el llamado propiamente dicho no es efectuado
por el usuario quien dice ser, sino por un Ingeniero Social, la información personal sería
entregada al atacante por el mismo Administrador del Sistema. Con esta astucia y un
Administrador desprevenido o desinformado, este método es completamente viable.
Aún las más grandes empresas que invierten millones de dólares al año en la seguridad de sus
datos, fueron víctimas de estos ataques de Ingeniería Social. De una forma más específica, un excelente ejemplo donde se muestra la imaginación de los “Ingenieros Sociales”, es la auditoria a la que fue sometida en junio de este año, una empresa estadounidense que se dedica a conceder créditos, siendo el objetivo el de mostrar la inseguridad de las memorias USB.
La empresa tomó 20 memorias USB de muestra, les pusieron archivos de varios tipos, incluyendo un troyano que una vez ejecutado en cualquier computadora comenzaría a enviar información a los servidores de la empresa auditora, y los fueron dejando «olvidados» en el estacionamiento, zonas de fumadores y otros sitios de la empresa bajo auditoria.
De las veinte memorias, quince fueron encontradas por empleados de la empresa en cuestión, y
las quince terminaron por ser enchufadas en computadoras conectados a la red de la compañía,
que en seguida empezaron a enviar datos a la empresa Auditora que les permitieron entrar en sus sistemas sin ningún problema, Con todo esto, es fácil deducir que aún con la mejor tecnología, los mejores profesionales a cargo de los datos de su empresa, no hay forma alguna de protegerse contra la Ingeniería Social, ya que tampoco hay usuarios ni expertos a salvo de estos ataques. La Ingeniería Social, siempre existió, nunca pasa de moda, día a día se perfecciona, no va a morir nunca, y tiene un limite.... la Imaginación Humana.
“La Seguridad muchas veces es una mera Ilusión. Una compañía puede tener la mejor tecnología,
firewalls, sistemas de detección de intrusos, dispositivos de autentificación avanzados como
tarjetas biométricas, etc y creen que están asegurados 100%. Viven una Ilusión. Sólo se necesita
un llamado telefónico y listo. Ya son vulnerables a un ataque. La Seguridad no es un producto, es
un Proceso. En este caso no se trata de una educación estrictamente técnica, sino más bien una capacitación social que alerte a la persona cuando está por ser blanco de este tipo de ataque. Si el Ingeniero Social tiene la experiencia suficiente, puede engañar fácilmente a un usuario en beneficio propio, pero si este usuario conoce estas tretas no podrá ser engañado. Además, la educación de los usuarios suele ser una importante técnica de disuasión.
Con todo lo dicho hasta ahora hay una conclusión que salta a los ojos de cualquier lector, y es que
el ser humano es el eslabón más débil de cualquier sistema. Los encargados del mismo pueden
haber tenido en cuenta hasta los más ínfimos detalles en el armado de la red (hablando en materia de seguridad informática) y aún así siempre es un usuario quien está frente a una computadora, tomando decisiones y haciendo uso del sistema. Los diseñadores pueden haber tenido en cuenta todos los patrones de seguridad al momento de diseñar el sistema y aún así será siempre un humano quien manipule en algún momento los datos.
Por ende, es el ser humano el objetivo y el medio para acceder al sistema, entonces es de alta
importancia la capacitación para cada usuario con acceso al sistema, y que internalicen que todos
somos un eslabón más en la cadena de la seguridad de los datos de la empresa.
www.globaldll.com
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario