Sie sind auf Seite 1von 8

La Ingeniera social (Introduccin)

Mediante esta serie de artculos queremos explicar que es la ingeniera social, y los diferentes tipos de mtodos que se pueden utilizar para llevarla a cabo, aunque lo ms normal es que el atacante utilice una mezcla de todos los mtodos existentes para obtener la informacin deseada. Qu es la Ingeniera social? Es la prctica de obtener informacin confidencial a travs de la manipulacin de las personas, donde los atacantes por medio del engao intentan obtener informacin confidencial o privilegios en algn sistema. Los atacantes que utilizan este tipo de tcnica se suelen ser considerados como crackers y no hackers, en este tipo de tcnica se basan en que los usuarios son el eslabn dbil, es decir, son el punto de fallo de la seguridad de nuestro sistema. Aunque este tipo de ataques son muy simple, son muy efectivos, ya que se puede obtener mucha informacin en muy poco tiempo, imaginemos que nos hacemos pasar por un administrador de una red y llamamos a un empleado explicndole que se va a realizar un cambio en las contraseas del sistema, y el empleado muy amablemente nos da su usuario y su contrasea. Como veis con una sola llamada hemos conseguido la informacin que nos poda haber llevado semanas o meses conseguir, mediante fuerza bruta, buscando alguna vulnerabilidad en el software que utiliza la empresa, adems sin dejar pruebas en los sistemas de logs de los servidores de la empresa, como hemos comentado est tcnica en muy simple pero muy eficaz. Son varios los mtodos que un atacante puede utilizar para conseguir que le demos informacin o que le facilitemos un acceso a un sistema restringido, aunque lo ms normal es que el atacante utilice una mezcla de todos los mtodos existentes. En los siguientes artculos veremos los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.

La Ingeniera social (Parte II - Autoridad falsa)


Como os comentamos la semana pasada en el artculo, la Ingeniera social (Introduccin) , son varios los mtodos que un atacante puede utilizar para conseguir que le demos informacin o que le facilitemos un acceso a un sistema restringido, aunque lo ms normal es que el atacante utilice una mezcla de todos los mtodos existentes. En el artculo de esta semana queremos explicar el mtodo conocido como autoridad falsa, est tcnica es usada muy a menudo y se basa en intentar convencer a l a victima de que el atacante est en una posicin en la que esa informacin le es necesaria hacindose pasar por un superior. Est tcnica puede ser usada en empresas muy grandes, donde lo ms normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede hacerse pasar por un superior y solicitar la informacin que necesite. Con lo que muchas veces no es necesario hacer muchos esfuerzos para conseguir la informacin. Un ejemplo de este tipo de ataques podra ser el siguiente: Supongamos que un atacante entra a una compaa de software y se hace pasar por un empleado del departamento de seguridad, y explica a los jefes que tiene que instalar un nuevo fichero para evitar que los ordenadores de todos los empleados se infecten con un virus que acaba de salir y que para hacer eso es necesario que los empleados le faciliten las contraseas de acceso a sus ordenadores, con lo que el atacante ya podra hacer lo que quisiera con los ordenadores de los empleados. Aunque es un ejemplo muy simple, podemos ver que el atacante hacindose pasar por otra persona a conseguido con relativa facilidad las contraseas de todos los empleados de la empresa. En los siguientes artculos veremos los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.

La Ingeniera social (Parte III - Suplantacin)


Como os comentamos la semana pasada en el artculo, la Ingeniera social (Parte III - Autoridad falsa), explicamos el mtodo conocido como autoridad falsa, est tcnica es usada muy a menudo y se basa en intentar convencer a la victima de que el atacante est en una posicin en la que esa informacin le es necesaria hacindose pasar por un superior. En el artculo de esta semana queremos hablaros de la suplantacin, que aunque se parece mucho a la autoridad falsa, no es lo mismo, es decir, la suplantacin se parece a la autoridad falsa en el hecho de que se intenta engaar a una persona hacindose pasar por alguien que tiene ms derechos en el sistema. La diferencia radica que la suplantacin se basa en hacerse pasar por una persona que realmente existe. En esta tcnica el atacante se hace pasar por otra persona de distintos modos, por ejemplo podra imitar la voz de la persona a suplantar, usar un chat o incluso imitar su estilo de escritura leyendo sus correos, es decir, que un atacante podra recabar informacin sobre una persona y hacerse pasar por ella. Una vez que el atacante ha conseguido convencernos que es quien dice ser slo le quedar pedirnos la informacin que desea obtener para acceder a nuestros sistemas. En el artculo de la semana que viene continuaremos viendo los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.

La Ingeniera social (Parte IV Compasin)


Como os comentamos la semana pasada en el artculo, La, que se basaba en hacerse pasar por una persona que realmente existe. En el artculo de esta semana queremos explicar el mtodo conocido como "compasin", est tcnica suele ser muy usada, y suele dar muy buenos resultados. En este caso el atacante intenta hacer creer a la vctima que necesita lo que le est pidiendo de forma inmediata, intentando que la vctima tenga compasin y se vea obligado a ayudarle. Por ejemplo, supongamos que somos los administradores de un sistema y recibimos una llamada de un empleado del Departamento de Finanzas que nos pide que por favor le cambiemos el password a su cuenta que no lo recuerda y que necesita entregar un informe que el jefe le ha pedido urgentemente. Seguramente como administradores sintamos compasin por esa persona, e intentaremos hacer lo posible por solucionar su problema y que no se lleve una buena bronca de su jefe, incluso olvidaremos verificar que el empleado es quien dice ser. Lo que realmente deberamos hacer es asegurarnos que la persona que est llamando es quien dice ser, y que es un empleado de la empresa, no dando por obvio que todo el mundo que nos llame pertenece a la empresa, aunque el 99% de las veces sean empleados de la empresa. La tcnica de compasin es utilizada diariamente por millones de personas, y los atacantes lo saben, porque no lo pueden utilizar ellos para acceder a la informacin que necesitan para entrar en nuestros sistemas. En el artculo de la semana que viene continuaremos viendo los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.

La Ingeniera social (Parte V Implicacin personal y realzar el ego)

Como os comentamos la semana pasada en el artculo, la Ingeniera social La Ingeniera social (Parte IV Compasin), que se basaba en que un atacante intenta hacer creer a la vctima que necesita lo que le est pidiendo de forma inmediata, intentando que la vctima tenga compasin y se vea obligado a ayudarle. En el artculo de esta semana queremos explicar el mtodo conocido como "implicacin personal", los atacantes se han dado cuenta de que es mucho mejor inventar una historia que afecta a la persona a la que estn intentando engaar que si a la persona no le afecta en absoluto. Una de las historias que suelen utilizar es la de hacerse pasar por un empleado de Contabilidad, y ponerse en contacto con el administrador del sistema comentndole que no tiene acceso al sistema, con lo cual no puede ejecutar un proceso de vital importancia para que las nminas lleguen a tiempo y no se retrasen. Como el problema afecta de forma directa al administrador ya que sino su nmina se retrasar, el administrador le da el acceso necesario para que puede ejecutar el proceso, con lo que una sola llamada ha bastado al atacante para conseguir informacin de acceso al sistema. Otro de los mtodos utilizados por los atacantes es conocido como realzar el ego, mediante est tcnica lo que se busca es que alguien se sienta elogiado por lo que le estamos preguntando o contando de forma que sea ms fcil obtener informacin de l, ya que bajar totalmente la guardia con tal de que las alabanzas continen. En el artculo de la semana que viene continuaremos viendo los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.

La Ingeniera social (Parte VI Profesiones poco sospechosas y recompensas)

Como os comentamos la semana pasada en el artculo, la Ingeniera social (Parte V Implicacin personal y realzar el ego) , que se basaba en que los atacantes se han dado cuenta de que es mucho mejor inventar una historia que afecta a la persona a la que estn intentando engaar que si a la persona no le afecta en absoluto. En el artculo de esta semana queremos explicar dos mtodo, el primero conocido como "profesiones poco sospechosas", que se basa en que los atacantes se han dado cuenta que puedes acceder a ciertas partes de una empresa hacindote pasar por alguien de la compaa de telefnica o del gas, ya que ests profesiones pasan ms desapercibidas, es decir, que si una persona vestida de electricista pasa por al lado tuyo en un gran empresa no vas a pensar que es un atacante que quiere acceder a nuestros sistemas, sino que va a reparar alguna avera. Otro de los mtodos que nos gustara explicar es el mtodo conocido como recompensa, el cual se basa en ofrecer algn tipo de recompensa para conseguir que alguien te facilite la informacin. Un ejemplo de este tipo de tcnica es el de colocar un anuncio en una gran cartulina en la Universidad con el siguiente texto: Gana el gran concurso de contraseas! Quieres ganar unas entradas para ver tu grupo favorito? Apunta aqu tu nombre de usuario y contrasea. Regalamos entradas para las cinco contraseas ms originales e ingeniosas. Las contraseas debern seguir las reglas del estndar Unix, es decir, no ms de ocho caracteres y distinguir entre maysculas y minsculas, y debern ser verificadas por nuestros jueces. Aunque pensis que nadie caer en la trampa, es uno de los ejemplos tpicos de la utilizacin de esta tcnica, y en ellos siempre comentan que en pocas horas aparecieron muchos nombres de usuarios y contraseas, que ms tarde fueron utilizadas para acceder a las cuentas de la Universidad de los que pusieron su nombre de usuario y contrasea. En el artculo de la semana que veremos qu medidas podemos tomar para protegernos contra los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.

La Ingeniera social (Parte VII Como protegerse)


Como os comentamos la semana pasada en el artculo, la Ingeniera social (Parte VI Profesiones poco sospechosas y recompensas), que se basaba en que los atacantes se han dado cuenta que puedes acceder a ciertas partes de una empresa hacindote pasar por alguien de la compaa de telefnica o del gas, adems del mtodo basado en ofrecer algn tipo de recompensa para conseguir que alguien te facilite la informacin. En el artculo de esta semana queremos explicar cmo protegerse contra de los ataques de ingeniera social, como podris haber visto el problema de la ingeniera no es problema de tcnico, por ejemplo que tengamos mal configurado el firewall de nuestro sistema, sino del comportamiento y pautas que debemos seguir. Para protegernos de los ataques de ingeniera social tenemos que ser un poco paranoicos y no confiar en todo lo que nos digan. Hay que preguntarlo todo, porque necesita esa informacin que nos estn solicitando y sugiere alternativas, ya que en los ataques de ingeniera social un atacante siempre insistir en que hagamos lo que nos dice. Por otro lado hay que saber decir que no, si notas algo sospechoso fuera de los procedimientos que suele seguir la empresa, es muy recomendable decir que siga los procedimientos habituales y nos evitaremos muchos problemas. Otro de los aspectos importantes es que formar a los usuarios para que tengan en cuenta todos los mtodos que suelen usar los atacantes para realizar este tipo de ataques. Adems, es muy recomendable comprobar que informacin estamos mostrando al pblico, ya que los atacantes normalmente hacen sus deberes y antes de lanzar cualquier ataque de ingeniera social intentarn obtener toda la informacin posible sobre la empresa y sobre las personas que trabajan en ella, para poder ser ms eficaces en su ataque. Con este artculos llegamos al final de esta serie de artculos sobre la ingeniera social y cules son los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial y como protegerse ante la Ingeniera social.

En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Das könnte Ihnen auch gefallen