Beruflich Dokumente
Kultur Dokumente
Mediante esta serie de artculos queremos explicar que es la ingeniera social, y los diferentes tipos de mtodos que se pueden utilizar para llevarla a cabo, aunque lo ms normal es que el atacante utilice una mezcla de todos los mtodos existentes para obtener la informacin deseada. Qu es la Ingeniera social? Es la prctica de obtener informacin confidencial a travs de la manipulacin de las personas, donde los atacantes por medio del engao intentan obtener informacin confidencial o privilegios en algn sistema. Los atacantes que utilizan este tipo de tcnica se suelen ser considerados como crackers y no hackers, en este tipo de tcnica se basan en que los usuarios son el eslabn dbil, es decir, son el punto de fallo de la seguridad de nuestro sistema. Aunque este tipo de ataques son muy simple, son muy efectivos, ya que se puede obtener mucha informacin en muy poco tiempo, imaginemos que nos hacemos pasar por un administrador de una red y llamamos a un empleado explicndole que se va a realizar un cambio en las contraseas del sistema, y el empleado muy amablemente nos da su usuario y su contrasea. Como veis con una sola llamada hemos conseguido la informacin que nos poda haber llevado semanas o meses conseguir, mediante fuerza bruta, buscando alguna vulnerabilidad en el software que utiliza la empresa, adems sin dejar pruebas en los sistemas de logs de los servidores de la empresa, como hemos comentado est tcnica en muy simple pero muy eficaz. Son varios los mtodos que un atacante puede utilizar para conseguir que le demos informacin o que le facilitemos un acceso a un sistema restringido, aunque lo ms normal es que el atacante utilice una mezcla de todos los mtodos existentes. En los siguientes artculos veremos los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.
Como os comentamos la semana pasada en el artculo, la Ingeniera social La Ingeniera social (Parte IV Compasin), que se basaba en que un atacante intenta hacer creer a la vctima que necesita lo que le est pidiendo de forma inmediata, intentando que la vctima tenga compasin y se vea obligado a ayudarle. En el artculo de esta semana queremos explicar el mtodo conocido como "implicacin personal", los atacantes se han dado cuenta de que es mucho mejor inventar una historia que afecta a la persona a la que estn intentando engaar que si a la persona no le afecta en absoluto. Una de las historias que suelen utilizar es la de hacerse pasar por un empleado de Contabilidad, y ponerse en contacto con el administrador del sistema comentndole que no tiene acceso al sistema, con lo cual no puede ejecutar un proceso de vital importancia para que las nminas lleguen a tiempo y no se retrasen. Como el problema afecta de forma directa al administrador ya que sino su nmina se retrasar, el administrador le da el acceso necesario para que puede ejecutar el proceso, con lo que una sola llamada ha bastado al atacante para conseguir informacin de acceso al sistema. Otro de los mtodos utilizados por los atacantes es conocido como realzar el ego, mediante est tcnica lo que se busca es que alguien se sienta elogiado por lo que le estamos preguntando o contando de forma que sea ms fcil obtener informacin de l, ya que bajar totalmente la guardia con tal de que las alabanzas continen. En el artculo de la semana que viene continuaremos viendo los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.
Como os comentamos la semana pasada en el artculo, la Ingeniera social (Parte V Implicacin personal y realzar el ego) , que se basaba en que los atacantes se han dado cuenta de que es mucho mejor inventar una historia que afecta a la persona a la que estn intentando engaar que si a la persona no le afecta en absoluto. En el artculo de esta semana queremos explicar dos mtodo, el primero conocido como "profesiones poco sospechosas", que se basa en que los atacantes se han dado cuenta que puedes acceder a ciertas partes de una empresa hacindote pasar por alguien de la compaa de telefnica o del gas, ya que ests profesiones pasan ms desapercibidas, es decir, que si una persona vestida de electricista pasa por al lado tuyo en un gran empresa no vas a pensar que es un atacante que quiere acceder a nuestros sistemas, sino que va a reparar alguna avera. Otro de los mtodos que nos gustara explicar es el mtodo conocido como recompensa, el cual se basa en ofrecer algn tipo de recompensa para conseguir que alguien te facilite la informacin. Un ejemplo de este tipo de tcnica es el de colocar un anuncio en una gran cartulina en la Universidad con el siguiente texto: Gana el gran concurso de contraseas! Quieres ganar unas entradas para ver tu grupo favorito? Apunta aqu tu nombre de usuario y contrasea. Regalamos entradas para las cinco contraseas ms originales e ingeniosas. Las contraseas debern seguir las reglas del estndar Unix, es decir, no ms de ocho caracteres y distinguir entre maysculas y minsculas, y debern ser verificadas por nuestros jueces. Aunque pensis que nadie caer en la trampa, es uno de los ejemplos tpicos de la utilizacin de esta tcnica, y en ellos siempre comentan que en pocas horas aparecieron muchos nombres de usuarios y contraseas, que ms tarde fueron utilizadas para acceder a las cuentas de la Universidad de los que pusieron su nombre de usuario y contrasea. En el artculo de la semana que veremos qu medidas podemos tomar para protegernos contra los distintos tipos de ingeniera social que se suelen utilizar para obtener informacin confidencial.
En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.