INGENIERIA SOCIAL
Con el término ingeniería social se define el conjunto de
técnicas psicológicas y habilidades sociales utilizadas de forma consciente y
muchas veces premeditada para la obtención de información de terceros.
Implica valerse de cualquier medio para obtener información
acerca de una o varias personas, para obtener beneficio o causar daño. No se
asocia sólo a las acciones ejecutadas en línea, y se aprovecha de la credulidad
de las personas
Elementos que se identifican en esta técnica:
- La presencia de un “Ingeniero Social” o de la persona que busca la información.
- La presencia de una persona incauta o inocente, que ofrece la información.
- Herramientas, instrumentos y técnicas para encontrar la información.
- Un objetivo definido que se pretende alcanzar (ya sea obtener lucro o perjudicar y causar daño).
Seguridad informática
La seguridad informática tiene por objetivo el asegurar que
los datos que almacenan nuestros computadores se mantengan libres de cualquier
problema, y que el servicio que nuestros sistemas prestan se realice con la
mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca
cosas tan dispares como:
- Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
- La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
- La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias.
- El control del acceso físico a los sistemas.
- La elección de un hardware y de un software que no de problemas.
- La correcta formación de los usuarios del sistema.
- El desarrollo de planes de contingencia.
Debemos tener en cuenta que una gran parte de las
intrusiones en sistemas se realizan utilizando datos que se obtienen de sus
usuarios mediante diferentes métodos y con la intervención de personas
especialmente entrenadas, los ingenieros sociales.
Tipos de ataque:
Suplantación de identidad o Phishing: Es un
término informático que se refiere a un tipo de delito encuadrado dentro del
ámbito de las estafas, y que se comete al intentar adquirir información
confidencial de forma fraudulenta (como puede ser una contraseña o información
detallada sobre tarjetas de crédito u otra información bancaria).
Spear Phishing: El “spear phishing” es una
variante del Phishing, Se traduce como
“pesca de arpón” porque es un ataque de Phishing dirigido a un objetivo
específico.
Los timadores de “spear phishing” envían
mensajes de correo electrónico que parecen auténticos a todos los empleados o
miembros de una determinada empresa, organismo, organización o grupo.
Podría parecer que el mensaje procede de un
jefe o de un compañero que se dirige por correo electrónico a todo el personal
(por ejemplo, el encargado de administrar los sistemas informáticos) y quizá
incluya peticiones de nombres de usuario o contraseñas.
En realidad, lo que ocurre es que la
información del remitente del correo electrónico ha sido falsificada. Mientras
que las estafas de suplantación de identidad (phishing) tradicionales están
diseñadas para robar datos de personas, el objetivo de las de “spear phishing”
consiste en obtener acceso al sistema informático de una empresa.
Simple embaucamiento.
Envío de archivos adjuntos en el correo
electrónico: El Ingeniero Social le envía un correo electrónico a la víctima
potencial con un troyano adjunto,
enviado por una persona que le es familiar o simplemente con un interesante
título al destinatario como “es divertido, pruébalo”, “mira a Anita desnuda”,
etc.
El Troyano no es más que un “programa
malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios
externos, a través de una red local o de Internet, con el fin de recabar
información o controlar remotamente a la máquina anfitriona”
Recolección de hábitos de las víctimas
potenciales: El Ingeniero Social crea perfiles ficticios y se infiltra en Redes
Sociales o en Servicios de Mensajería, para poder recolectar información acerca
de los hábitos de las víctimas potenciales.
Vishing: Una llamada para avisar que tu tarjeta
se usa sin tu consentimiento puede significar una estafa. Imagina esta
situación. Estás en casa viendo una película cuando recibes una llamada para
avisarte que se realizaron cargos no autorizados a tu tarjeta bancaria, te dan
un número telefónico para que corrobores tus datos y cuando marcas te contesta
una grabación pidiendo que marques tu número de tarjeta, fecha de vencimiento y
código de seguridad…
Dumpster divining
Revisar los desperdicios y la basura (“trashing” en inglés),
es otro método popular que aplica la Ingeniería Social. Una gran cantidad de
información puede ser recogida desde los colectores de desperdicios de las
empresas. El “Lan Times”[19] elaboró una lista con los artículos echados en la
basura que pueden representar una potencial fuga de información: libretas
telefónicas, organigramas, memorandas, manuales de procedimientos, calendarios
(de reuniones, eventos y vacaciones), manuales de operación de sistemas,
reportes con información sensible o con las cuentas de usuarios y sus
contraseñas, códigos fuentes, discos flexibles o duros, formatos con membretes
y hardware obsoleto.
Estas fuentes pueden proveer de
una inagotable fuente de información para un Ingeniero Social. Las libretas
telefónicas le suministran los nombres y números telefónicas de potenciales
víctimas o de personas por las que se puede hacer pasar. Los organigramas
contienen información acerca de las personas que están en posiciones de
autoridad en la organización. Los memorandas proveen de información rutinaria
que puede ser usada para aparentar autenticidad. Los manuales de procedimientos
muestran cuán segura (o insegura) es la organización. Los calendarios son muy
provechosos, ya que muestran cuándo los empleados van a encontrarse fuera de la
ciudad. Los manuales de operación de sistemas, los reportes con información
sensible y otro tipo de información técnica le dan al Ingeniero Social las
herramientas para entrar a la red. Finalmente,
el hardware obsoleto y los discos pueden contener información susceptible
de ser recuperada.
ATAQUES DE
MODIFICACION
Tampering
o Data Diddling
Esta categoría se refiere a la modificación desautorizada de
los datos o el software instalado en el sistema víctima (incluyendo borrado de
archivos). Son particularmente serios cuando el que lo realiza ha obtenido
derechos de Administrador o Supervisor, con la capacidad de disparar cualquier
comando y por ende alterar o borrar cualquier información que puede incluso
terminar en la baja total del sistema.
Ataques
Mediante Java Applets
Java es un lenguaje de programación interpretado,
desarrollado inicialmente por la empresa SUN. Su mayor popularidad la merece
por su alto grado de seguridad. Los más usados navegadores actuales,
implementan Máquinas Virtuales Java (MVJ) para ser capaces de ejecutar
programas (Applets) de Java.
Estos Applets, al fin y al cabo, no son más que código
ejecutable y como tal, susceptible de ser manipulado por intrusos. Sin embargo,
partiendo del diseño, Java siempre ha pensado en la seguridad del sistema. Las
restricciones a las que somete a los Applets son de tal envergadura
(imposibilidad de trabajar con archivos a no ser que el usuario especifique lo
contrario, imposibilidad de acceso a zonas de memoria y disco directamente,
firma digital, etc.) que es muy difícil lanzar ataques. Sin embargo, existe un
grupo de expertos especializados en descubrir fallas de seguridad en las
implementaciones de las MVJ.
Ataques
Mediante JavaScript
JavaScript es uno de los lenguajes mas usados por los diseñadores de sitios Web para
evitar el uso de Java. Los programas realizados son interpretados por el
navegador.
Aunque los fallos son mucho más numerosos en versiones
antiguas de JavaScript, actualmente se utilizan para explotar vulnerabilidades
específicas de navegadores y servidores de correo ya que no se realiza ninguna
evaluación sobre si el código.
Ataques
Mediante ActiveX
ActiveX es una de las tecnologías más potentes que ha
desarrollado Microsoft®. Mediante ActiveX es posible reutilizar código,
descargar código totalmente funcional de un sitio remoto, etc. Esta tecnología
es considerada la respuesta de Microsoft® a Java.
ActiveX soluciona los problemas de seguridad mediante
certificados y firmas digitales. Una Autoridad Certificadora (AC) expende un
certificado que acompaña a los controles activos y a una firma digital del
programador.
Cuando un usuario descarga una página con un control, se le
preguntará si confía en la AC que expendió el certificado y/o en el control
ActiveX. Si el usuario acepta el control, éste puede pasar a ejecutarse sin
ningún tipo de restricciones (sólo las propias que tenga el usuario en el
sistema operativo). Es decir, la responsabilidad de la seguridad del sistema se
deja en manos del usuario, ya sea este un experto cibernauta consciente de los
riesgos que puede acarrear la acción o un perfecto novato en la materia.
Vulnerabilidades
en los Navegadores
Generalmente los navegadores no fallan por fallos
intrínsecos, sino que fallan las tecnologías que implementan, como pueden ser los "Buffer
Overflow".
Los "Buffer Overflows" consisten en explotar una
debilidad relacionada con los buffers que la aplicación usa para almacenar las
entradas de usuario. Por ejemplo, cuando el usuario escribe una dirección en
formato URL ésta se guarda en un buffer para luego procesarla. Los protocolo
usado puede ser HTTP, pero también otros menos conocidos, internos de cada
explorador, como el "res:" o el "mk:". Precisamente existen
fallos de seguridad del tipo "Buffer Overflow" en la implementación
de estos dos protocolos. Además la reciente aparición (octubre de 2000) de
vulnerabilidades del tipo Transversal en el servidor Web Internet Information
Server© de la empresa Microsoft, explotando fallas en la traducción de
caracteres Unicode.
No hay comentarios:
Publicar un comentario