Sie sind auf Seite 1von 4

LA INGENIERIA SOCIAL Y SUS IMPLICACIONES

Para empezar a hablar de este tema, quiero empezar citando a uno de los ms famosos hackers de los ltimos tiempos, Kevin Mitnick, quien comentaba que hacia la mayor parte de su trabajo usando ingeniera social, y que slo el ltimo 15% era con la ayuda de un computador, hace varios aos el explico ante el Senado Norteamericano, cmo viol sistemas de servicios financieros y de la administracin y concluyo diciendo, "Las empresas gastan millones de dlares en cortafuegos, cifrado y mecanismos de seguridad, y es dinero malgastado porque ninguna de estas medidas se dirige al eslabn ms dbil: la gente que utiliza, administra y cuida los sistemas donde est la informacin protegida". Atacar a los sistemas de computacin obteniendo informacin por medio de interaccin social es una forma de ingeniera social, y no nos debe sorprender que la Ingeniera Social sea una tcnica muy utilizada ya que los atacantes saben que es ms fcil engaar a miembros de una organizacin, que lidiar con las complejas protecciones. Definiciones de Ingeniera Social se pueden encontrar muchas: El arte y ciencia de hacer que la gente haga lo que se desea", o "Ataque realizado por un hacker con trucos psicolgicos en usuarios de una red para que entreguen informacin de acceso al sistema" con el fin de conseguir informacin valiosa (Un password por ejemplo) de una persona en lugar de intentar acceder a su PC. En realidad la Ingeniera social puede ser todo esto, dependiendo la ptica con que se mire. En lo nico en que todas las personas coinciden es en que la Ingeniera Social es la manipulacin de la tendencia humana de la confianza, y el objetivo de la persona que ejerce esta accin es obtener la informacin necesaria para acceder a la informacin sensible de una organizacin. La seguridad se fundamenta en la confianza: confianza en la proteccin y en la autenticacin. Generalmente aceptado como el eslabn ms dbil en la cadena de la seguridad, las personas y su tendencia a confiar en las dems personas abren las puertas a muchsimas vulnerabilidades. No importa cuantos artculos se publiquen sobre vulnerabilidades en redes, parches de actualizacin y firewalls, siempre podremos reducir las amenazas detectando la ingeniera social. El propsito bsico de la Ingeniera Social es el mismo que el de un hacker, obtener acceso no autorizado a un sistema o a informacin con el propsito de cometer un fraude, una intrusin, espionaje industrial, robo de identidad, o simplemente inhabilitar los sistemas. Los blancos mas usuales de estos ataques incluyen a proveedores de internet, grandes multinacionales, entidades financieras, agencias militares y gubernamentales, y entidades de salud.

Encontrar buenos ejemplos de la vida real de ingeniera social es complicado. Las empresas que han sido vctimas de estos ataques pueden no querer admitirlo (una falla en seguridad no solo es vergonzoso, tambin afectara el buen nombre de la compaa), y tambin es muy probable que el ataque no est bien documentado por lo cual no hay forma de estar seguros de que haya sido un ataque de ingeniera social o no. Los ataques de ingeniera social se ejecutan en dos niveles; fsico y sicolgico. Observemos inicialmente la parte fsica de estos ataques: En el sitio de trabajo, el telfono, la cesta de basura, o inclusive ataques en lnea. En el sitio de trabajo el hacker puede simplemente entrar por la puerta y simular ser un empleado de mantenimiento quien puede entrar a la Compaa. Una vez el intruso lograr acceder a la Compaa, simplemente con desplazarse por los corredores podr encontrar escritos usuarios y contraseas los cuales aprovechara desde la comodidad de su casa. Ahora observemos Los Ataques Sicolgicos en que consisten: Telefnico: Este es el tipo de ingeniera social que ms se realiza. Un atacante puede llamar e imitar la voz de un funcionario con cierto nivel de autoridad y obtener informacin de un supuesto subalterno. Los Helpdesk son particularmente vulnerables a este tipo de ataques. Los atacantes simulan llamar desde el interior de la compaa atacando el PBX o la compaa de telfonos, con lo cual un identificador de llamadas queda burlado por completo. En la Red: Internet es el sitio preferido por los atacantes que buscan obtener nombres de usuario y passwords. La debilidad principal de los usuarios es repetir el mismo password en todas las aplicaciones, pginas, correo etc. que utilizan. Una vez que el atacante obtiene un password probablemente podr acceder a mltiples sitios bajo la identidad de su vctima. Una forma que utilizan los atacantes para obtener passwords es a travs de un formulario en lnea en el cual le piden a la victima que digite sus datos como email y un password, y as obtienen acceso a todos los sistemas, redes sociales, email corporativo, etc. de dicha persona. De Persuasin: Los atacantes siempre realizan sus ataques enfatizando en crear el ambiente psicolgicamente perfecto para el ataque. Mtodos bsicos de persuasin incluyen la suplantacin, simular ser una persona muy agradable o la falsa amistad. Sin importar el mtodo que se utilice, el objetivo principal es convencer a la victima de que el atacante es en realidad una persona a quien confiarle informacin sensible. Otro punto importante en estos ataques es que no buscan obtener toda la informacin en un solo ataque, pero si conseguirla toda en varios ataques en diferentes ocasiones.

La suplantacin generalmente significa crear uno o varios personajes e interpretar sus roles. Entre ms sencillo el personaje, mejor. Usualmente los atacantes estudian a sus vctimas, esperando por ejemplo que se ausenten de la ciudad para suplantarlos al telfono. Algunos de los papeles ms comnmente interpretados por los atacantes es el de un tecnico, soporte en Sistemas, un Gerente, un tercero de toda confianza (por ejemplo, el presidente de una compaa) o un compaero de trabajo. En una compaa grande, esto no resulta tan difcil de realizar, pues no hay forma de conocer a todos los empleados, los carnets pueden ser falsificados, etc. Un factor comn que se puede obtener de estas suplantaciones es el de personas con algn rango o posicin jerrquica en la compaa, lo cual nos lleva a la complacencia. Todo empleado desea impresionar a su jefe, asi que suministrara sin problema cualquier informacin que le sea solicitada por un superior. Espionaje Basura: El Espionaje Basura es otro popular mtodo de ingeniera social. Una gran cantidad de informacin puede ser encontrada entre la basura de una compaa. Que informacin puede llegar all? Agendas telefnicas, organigramas, manuales de las polticas de la compaa, agendas de trabajo, eventos o vacaciones de empleados, manuales de sistemas, planos de las instalaciones, impresiones de cdigos fuente, CDs, DVDs. Toda esta "basura" se puede constituir en una enorme fuente de informacin para el atacante. Las agendas telefnicas pueden dar informacin de posibles blancos o personas a suplantar. Los organigramas revelan quienes estn en cargos con autoridad en la organizacin. Manuales de polticas pueden darle idea de que tan segura o insegura es una compaa. Los calendarios pueden indicar que empleado va a estar fuera de la oficina. Los manuales de sistemas pueden brindar informacin exacta de como desbloquear una red. El hardware desactualizado, por ejemplo discos duros pueden ser restaurados para obtener toda clase de informacin. Ingeniera Social Inversa: Para terminar, el mtodo mas avanzado de obtener acceso no autorizado a un sistema o informacin es conocido como "Ingeniera Social Inversa". Esta se realiza cuando el atacante suplanta a una persona que se encuentra en una posicin con autoridad suficiente para que los empleados le pidan a el informacin en vez de el pedir informacin. Si se investiga, planea y ejecuta adecuadamente, este ataque puede brindarle al atacante mayores oportunidades de obtener informacin valiosa de los propios empleados; sin embargo este ataque requiere de un alto grado de preparacin e investigacin para culminarlo con xito. Este ataque frecuentemente se compone de 3 etapas: sabotaje, intromisin, y el ataque en si. Observemos en que consiste: Un atacante sabotea una compaa de la cual quiere obtener informacin, ocasionando que se presente un problema. Al materializarse el problema, el mismo atacante se presenta en la Organizacin argumentando que es el candidato ideal para solucionar ese problema (Intromisin), y una vez que se le da acceso a la Organizacin realiza su ataque obteniendo la informacin, acceso a la red o lo que est buscando. Lo ms

asombroso del ataque es que en la Organizacin vctima del ataque son incapaces de identificar al atacante como tal por que el problema del que fueron vctimas fue solucionado y se recupero la normalidad; o peor an, no saben que fueron vctima de un ataque por que todo est operando normalmente.

Para concluir este tema, debemos tener en cuenta que una gran parte de las intrusiones en sistemas se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes mtodos y con la intervencin de personas especialmente entrenadas, los ingenieros sociales. Tambin se dice que la computadora ms segura es la que permanece apagada, y que el eslabn mas dbil en cualquier poltica de seguridad es el factor humano, ya que no existe un sistema informtico que no dependa de algn dato ingresado por un operador humano. Esta debilidad es la que se trata de explotar con la aplicacin de la Ingeniera Social; por tal razn, es que se debe de concientizar sobre el rol que jugamos no slo con la seguridad sino con todos los rdenes de la vida. Se puede decir que no hay informacin, independientemente de su carcter personal o emocional, que est fuera de los lmites de un ingeniero social que busca hacer dao. Con frecuencia la persona que piensa que est ms segura es la que posee la mayor vulnerabilidad. Adicionalmente la poltica de seguridad es solo tan buena como lo sea su aplicacin. Los delincuentes suelen jugar con la naturaleza buena de un empleado y el deseo de ser til. La ingeniera social puede ser parte de la estrategia de defensa de una organizacin. Para terminar como empezamos este tema de Ingeniera Social, cabe mencionar a Kevin Mitchnick quien comenta. Usted puede gastar una fortuna en tecnologa y servicios mas actualizados de seguridad. Pero su organizacin aun puede ser vulnerable a ser manipulada a la antigua".