lunes, 25 de marzo de 2013

Ingeniería Social

La Ingeniería Social continúa siendo una de las metodologías de ataque más utilizada por creadores de malware y usuarios con fines maliciosos debido al alto nivel de eficacia logrado engañando al usuario. Frente a este panorama, resulta fundamental que los usuarios conozcan las artimañas que circulan en Internet para evitar ser víctimas de engaño que suelen apuntar al robo de identidad o de dinero.  


EL ARTE DE ENGAÑAR

En el mundo de la seguridad de la información, el “arte de engañar” es utilizado para dos fines específicos, 
principalmente: 
1. El usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema: esto ocurre
cuando el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto, abrir la página web 
recomendada o visualizar un supuesto video. 
Un caso de “éxito” de este tipo de infecciones es el gusano Sober que, mediante un sencillo mensaje, 
logró ser el de mayor propagación del año 2005. Este malware alcanzó una distribución masiva con 
asuntos de correos tales como “Re:Your Password” o “Re:Your email was blocked”. 
2. El usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta 
con los datos obtenidos. Este es el caso del Scam y el Phishing, en los que el usuario entrega información 
al delincuente creyendo que lo hace a una entidad de confianza o con un pretexto de que obtendrá algo 
a cambio, generalmente un “gran premio”. 

Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.

MOTIVOS DE MALWARE

Acontecimientos de relevancia para una sociedad en particular, o para el mundo en general, son utilizados constantemente por los creadores de malware con varios fines. En el pasado se han encontrado gusanos de correo electrónico que eran enviados como adjuntos de mensajes que pretendían contener fotos o videos de catástrofes naturales (el Tsunami del 2004, Katrina en el 2005), atentados terroristas (Las Torres Gemelas en el 2001, Atocha en Madrid en el 2004, etc.) y guerras (Invasión de Iraq en el 2003, etc.), la ciberguerra entre Rusia y Estonia en 2007 o contra Georgia en 2008, noticias falsas creadas para estos fines en 2009, etc. 

¿Qué tiene que ver la Ingeniería Social con la seguridad informática?

La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.


TÉCNICAS DE INGENIERÍA SOCIAL

Hay tres tipos de ingeniería social, según el nivel de interacción del ingeniero social:
  1. Técnicas Pasivas:
  • Observación
     2. Técnicas no presenciales:
  • Recuperar la contraseña
  • Ingeniería Social y Mail
  • IRC u otros chats
  • Teléfono
  • Carta y fax
     3. Técnicas presenciales:

A) no agresivas
  • Buscando en La basura
  • Mirando por encima del hombro
  • Seguimiento de personas y vehículos
  • Vigilancia de Edificios
  • Inducción
  • Entrada en Hospitales
  • Acreditaciones
  • Ingeniería social en situaciones de crisis
  • Ingeniería social en aviones y trenes de alta velocidad
  • Agendas y teléfonos móviles
  • Desinformación
B) agresivas
  • Suplantación de personalidad
  • Chantaje o extorsión
  • Despersonalización
  • Presión psicológica




Para más información consulte El Arma Infalible: La Ingeniería Social



Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)