Introduccin

Hoy en da, uno de los activos ms valiosos para las organizaciones es la informacin. Compartir informacin con otras entidades, sugiere la mayora de las veces una invasin de la privacidad.

Por e llo, las instituciones (gubernamentales, educativas, financieras, etc.) buscan la manera de implementar controles de seguridad para proteger su informacin, como circuitos de cmaras, ca as fuertes, fire!alls, etc., medidas "ue adems resultan costosas. #in embargo, $ay un recurso inseguro "ue almacena informacin muy sensible% la mente $umana. &a sea por olvido o por el reto "ue implica asegurar la informacin dentro de las cabezas de sus empleados, las organizaciones no le prestan muc$a atencin a este aspecto. #in importar cuntos candados fsicos o lgicos $aya para proteger un activo, al dar acceso a una persona, siempre e'istir un riesgo $umano presente, y por tanto, vulnerable a ingeniera social.

(mg ). Cortesa *lic+r Qu es la Ingeniera Social? ,a (ngeniera #ocial es el acto de manipular a una persona a trav-s de t-cnicas psicolgicas y $abilidades sociales para cumplir metas especficas. .stas contemplan entre otras cosas% la obtencin de informacin, el acceso a un sistema o la e ecucin de una actividad ms elaborada (como el robo de un activo), pudiendo ser o no del inter-s de la persona ob etivo. ,a (ngeniera #ocial se sustenta en un sencillo principio% /el usuario es el eslabn ms d-bil0. 1ado "ue no $ay un solo sistema en el mundo "ue no dependa de un ser $umano, la (ngeniera #ocial es una vulnerabilidad universal e independiente de la plataforma tecnolgica. 2 menudo, se escuc$a entre los e'pertos de seguridad "ue la 3nica computadora segura es la "ue est- desenc$ufada, a lo "ue, los amantes de la (ngeniera #ocial suelen responder "ue siempre $abr oportunidad de convencer a alguien de enc$ufarla4)5. ,a (ngeniera #ocial es un arte "ue pocos desarrollan debido a "ue no todas las personas tienen /$abilidades sociales0. 23n as, $ay individuos "ue desde pe"ue6os $an demostrado tener la aptitud y con un poco de entrenamiento convertirla en el camino ideal para realizar acciones maliciosas. Por e emplo, $ay crackers "ue en vez de perder $oras rompiendo una contrase6a, prefieren conseguirla preguntando por tel-fono a un empleado de soporte t-cnico.
Formas de ataque

,as formas de ata"ue son muy variadas y dependen de la imaginacin del atacante y sus intereses. 7n general, los ata"ues de (ngeniera #ocial act3an en dos niveles% el fsico y el psicosocial. 7l primero describe los recursos y medios a trav-s de los cuales se llevar a cabo el ata"ue, y el segundo es el m-todo con el "ue se enga6ar a la vctima. ,as formas usadas a nivel fsico son%

Ataque por telfono. Es la forma ms persistente de Ingeniera Social. En sta el perpetrador realiza una llamada telefnica a la vctima hacindose pasar por alguien ms, como un tcnico de soporte o un empleado de la misma organizacin. Es un modo mu efectivo, pues las e!presiones del rostro no son reveladas lo "nico que se requiere es un telfono.

(mg. 8 Cortesa *lic+r

Ataque va Internet. #esde que Internet se volvi uno de los medios de comunicacin ms importantes, la variedad de ataques en red se incrementaron tanto como la gran cantidad de servicios que e!isten en l. $os ataques ms comunes son va correo electrnico %o&teniendo informacin a travs de un phishing o infectando el equipo de la vctima con mal'are(, 'e& %haciendo llenar a la persona o&)etivo un formulario falso( o inclusive conversando con personas especficas en salas de chat, servicios de mensa)era o foros. Dumpster Diving o Trashing %zam&ullida en la &asura(. *onsiste en &uscar informacin relevante en la &asura, como+ agendas telefnicas, organigramas, agendas de tra&a)o, unidades de almacenamiento %*#,s, -S.,s, etc.(, entre muchas otras cosas.

(mg. 9 Cortesa *lic+r

Ataque va SMS. Ataque que aprovecha las aplicaciones de los celulares. El intruso enva un mensa)e SMS a la vctima hacindola creer que el mensa)e es parte de una promocin o un servicio, luego, si la persona lo responde puede revelar informacin personal, ser vctima de ro&o o dar pi a una estafa ms ela&orada.

Ataque va correo postal. -no de los ataques en el que la vctima se siente ms segura, principalmente por la fia&ilidad del correo postal. El perpetrador enva correo falso a la vctima, tomando como patrn alguna suscripcin de una revista, cupones de descuento, etc. -na vez que dise/a la propuesta para hacerla atractiva, se enva a la vctima, quien si todo sale &ien, responder al apartado postal del atacante con todos sus datos. Ataque cara a cara. El mtodo ms eficiente, pero a la vez el ms difcil de realizar. El perpetrador requiere tener una gran ha&ilidad social e!tensos conocimientos para poder mane)ar adecuadamente cualquier situacin que se le presente. $as personas ms suscepti&les suelen ser las ms 0inocentes1, por lo que no es un gran reto para el atacante cumplir su o&)etivo si elige &ien a su vctima.

Por otro lado, e'isten entornos psicolgicos y sociales "ue pueden influir en "ue un ata"ue de ingeniera social sea e'itoso. 2lgunos de ellos, son%

0Exploit de familiaridad1. 2ctica en que el atacante aprovecha la confianza que la gente tiene en sus amigos familiares, hacindose pasar por cualquiera de ellos. -n e)emplo claro de esto ocurre cuando un conocido llega a una fiesta con uno de sus amigos. En una situacin normal nadie dudara de que ese individuo pudiera no ser de confianza. 3ero 4de verdad es de fiar alguien a quien )ams hemos tratado5 *rear una situacin hostil. El ser humano siempre procura ale)arse de aquellos que parecen estar locos o eno)ados, o en todo caso, salir de su camino lo antes posi&le. *rear una situacin hostil )usto antes de un punto de control en el que ha vigilantes, provoca el suficiente estrs para no revisar al intruso o responder sus preguntas.

(mg. : Cortesa *lic+r

*onseguir empleo en el mismo lugar. *uando la recompensa lo amerita, estar cerca de la vctima puede ser una &uena estrategia para o&tener toda la informacin necesaria. 6uchas

peque/as medianas empresas no realizan una revisin meticulosa de los antecedentes de un nuevo solicitante, por lo que o&tener un empleo donde la vctima la&ora puede resultar fcil.

$eer el lengua)e corporal. -n ingeniero social e!perimentado puede hacer uso responder al lengua)e corporal. El lengua)e corporal puede generar, con peque/os, detalles una me)or cone!in con la otra persona. 7espirar al mismo tiempo, corresponder sonrisas, ser amiga&le, son algunas de las acciones ms efectivas. Si la vctima parece nerviosa, es &ueno reconfortarla. Si est reconfortada, 8al ataque9 E!plotar la se!ualidad. 2cnica casi infali&le. $as mu)eres que )uegan con los deseos se!uales de los hom&res, poseen una gran capacidad de manipulacin, a que el hom&re &a)a sus defensas su percepcin. 3ro&a&lemente suene asom&roso, pero es aprovechar la &iologa a favor.

Cmo defenderse contra la Ingeniera Social?

,a me or manera de enfrentar el problema, es concientizar a las personas al respecto. 7ducarles sobre seguridad y fomentar la adopcin de medidas preventivas. ;tros mecanismos sugeridos son%

:unca divulgar informacin sensi&le con desconocidos o en lugares p"&licos %como redes sociales, anuncios, pginas 'e&, etc.(. Si se sospecha que alguien intenta realizar un enga/o, ha que e!igir se identifique tratar de revertir la situacin intentando o&tener la ma or cantidad de informacin del sospechoso. Implementar un con)unto de polticas de seguridad en la organizacin que minimice las acciones de riesgo. Efectuar controles de seguridad fsica para reducir el peligro inherente a las personas. 7ealizar rutinariamente auditoras seguridad de esta naturaleza. pentest usando Ingeniera Social para detectar huecos de

$levar a ca&o programas de concientizacin so&re la seguridad de la informacin.

Conclusiones

,a seguridad de la informacin no slo debe entenderse como un con unto de elementos t-cnicos y fsicos, sino como un proceso cultural de personas y organizaciones. #i el usuario es el eslabn ms d-bil, deben e'istir controles "ue ayuden a disminuir el riesgo "ue -ste pueda representar. <evin =itnic+, el $ac+er ms reconocido a nivel mundial y e'perto en (ngeniera #ocial, concluye% /Puedes gastar una fortuna en tecnologa y servicios> y como sea, tu infraestructura de red podra estar vulnerable a la forma ms vie a de manipulacin0. 2$ora "ue conoces ms sobre la ingeniera social y la seguridad de la informacin, la pr'ima vez "ue sientas "ue tu informacin est completamente segura, recuerda "ue no todas las intrusiones son siempre tan obvias como esta%

(mg. ? Cortesa *lic+r Referencias

;7A:;E7, Sarah< Social Engineering Fudamentals, Part I: Hacker Tactics< =EA7>, ?ame < Top 5 Social Engineering Exploit Techniques< #@$A:, Aaron< Social Engineering< http+AA'''.sans.orgAreadingBroomA'hitepapersAengineeringAsocialCengineeringBDEFG 7A6H7EI, ?orge< Ingeniera Social, una amena a in!orm"tica http+AAes.scri&d.comAdocADJEJKLKJAIngenieriaCsocialCunaCamenazaCinformatica The #!!icial Social Engineering Portal

INGENIERA SOCIAL: EL ARTE DEL ENGAO. (PARTE 2)

Publicado por isaaclin+o el 8) septiembre, 8@)8 A 1e ar un comentario

7n el artculo pasado $ablamos del significado e impacto "ue tiene la ingeniera social, en esta ocasin veremos el perfil de un ingeniero social, el ), 8,9 al momento de realizar un ata"ue y algunas medidas de prevencin. Como podremos darnos cuenta la mayora de estos ata"ues no son de carcter t-cnico, sino $umano. El perfil de ingeniero social ,as cualidades "ue debe poseer un ingeniero social para destacarse en esta disciplina pueden ser varias, desde su $abilidad para relacionarse con sus pares de acuerdo a sus ambiciones, conocimientos en el rea de informtica, su apariencia de inocencia, su credibilidad y su grado de curiosidad. ,as destrezas de (# se pueden ense6ar, practicar y dominar al punto de "ue cual"uier persona, con un poco de adiestramiento y gran capacidad para convencer, puede convertirse en un ingeniero social en cosa de meses. 2$ora bien entre algunas de las caractersticas o re"uisitos ms importantes se destacan las siguientes% Capacidad de socializar con facilidad. Habilidad de palabra. Habilidad en el arte de la persuasin. #onar convincente. 2parentar ser inofensivo. =antener un perfil ba o. #onrer siempre. Bono de voz amigable.

Principios y fundamentos de la Ingeniera social ,os principios de la ingeniera social estn basados en el aspecto psicolgico de los seres $umanos. Kevin Mitnick fundamenta las estrategias de (ngeniera #ocial en los siguientes postulados% Bodos los seres $umanos "uieren ayudar. 7l primer movimiento es siempre de confianza $acia el otro. Co nos gusta decir C;. 2 todos nos gusta "ue nos alaben. Bodos tenemos algo de ingenuos. 1esde el punto de vista de la psicologa, e'isten determinados procesos "ue son automticos tanto en el ser $umano como en los animales en virtud de las relaciones con los dems. 2s "ue depende de "ui-n lo analice y los convierta en una venta a o una desventa a para obtener informacin. 7stos procesos son com3nmente utilizados en campa6as de mercadeo y negocios para influenciar sobre la gente. 7l 1r. Dobert Cialdini (profesor de la Eniversidad estatal de 2rizona) realiz una investigacin acad-mica centrada principalmente en por"u- la gente a menudo cumple con peticiones sin realmente pensar acerca de sus necesidades. Cialdini en su libro sobre la persuasin, defini seis armas de influencia% Reciprocidad. Por norma general la gente tiende a devolver un favor. Cicern deca% /Co $ay deber ms obligatorio "ue la devolucin de los favores0. 2simismo, la reciprocidad es un principio muy poderoso. 7so se debe a "ue, adems de ser evidente, es tambi-n impulsado y defendido por la sociedad en generalF a la vez "ue se condena a "uien no lo cumple. Compromiso y consistencia. 7ste concepto se define cuando una persona se compromete a llevar a cabo lo "ue $a decidido "ue es correcto, dic$o verbalmente o por escrito, $acen $onor a a"uel compromiso. 7l principio de la consistencia es uno de los principios primordiales "ue guan el comportamiento $umano, llevando al $ombre a evitar actuar de manera impredecible, y en cierta medida, a temer el cambio. 1e modo "ue cuando un atacante o ingeniero social logra comprometer a su vctima esta no le "uedar ms remedio "ue ceder ante las presiones del atacante. La prue a social. ,as personas $arn a"uellas cosas "ue vean "ue otras personas $acen. 7s la tendencia a imitar a los seme antes. 7ste principio $ace referencia a la tendencia del ser $umano a imitar el comportamiento de los seme antes de forma automtica e irracional sin dar lugar a la lgica, llegando a actuar de modo contrario a lo "ue apuntara la razn en caso de no tener puntos de referencia. !utoridad. 7sta es una de las ms e'plotadas por los ingenieros sociales. 7sto por"ue la gente tiende a obedecer a figuras con autoridad, "ue se desta"uen en su mbito. =uc$as compa6as colocan en sus portales informacin "ue identifica el rango o puesto de autoridad de su personal de traba o. ,o "ue facilita al ingeniero social el identificar "ui-n es la autoridad en la empresa y $acerse pasar por -l o ella. =ayormente se e'plota la vulnerabilidad de los $umanos a subordinarse a las figuras de autoridad, como los efes, directores de empresas, funcionarios de gobierno de alto rango o presidente de compa6as u organizaciones.

El "usto# 7l gusto toma en cuenta el principio de "ue las personas son convencidas fcilmente por otra persona con "uien se sienten a gusto. Generalmente las personas con buena presencia, van a tener ms facilidad de influir a otros. La Escase$. ,a escasez es la tendencia a valorar ms lo "ue es escaso. 2"u el ingeniero social toma en cuenta "ue la escasez percibida generar la demanda. Por eso al crear un correo electrnico falso con ofertas falsas, e'iste una gran probabilidad de "ue los usuarios se vean tentados a abrirlos y por lo tanto se descarga un /mal!are0 o troyano en su PC "ue abrir una puerta trasera al atacante y le permitir entrar en la red de la empresa u $ogar. 7l ganc$o mayor es cuando, por e emplo, se crean a"uellas ofertas "ue dicen estar disponibles durante /un tiempo limitado0 incitan as al consumo, como las ofertas por tiempo limitado o tambi-n un pre lanzamiento, donde se tiene la oportunidad de ser de los primeros participantes, fenmeno "ue apunta a alabar el ego de las personas, al $acerles creer "ue son de los /pocos0 "ue $an recibido dic$o correo. Cmo identificar el %& '&( de la Ingeniera Social %# Se identifica a la )ictima% 7n esta rea se comprende la psicologa de la vctima, y de ser necesario, el ingeniero social se convierte en una persona totalmente distinta a fin de agradarle y obtener la informacin "ue desea. '# Reconocimiento% ;btener informacin de la vctima.
D. $a o&tencin de informacin se puede realizar mediante sitios Me&, &ases de datos, grupos de noticias, socios de negocios, 0dumpster diving1 o &"squeda en la &asura. N. Face$ook. Oace&ooP es una herramienta mu poderosa para estos fines, a que al visitar los perfiles uno puede darse cuenta que la ma ora de las personas no se toman la molestia de mane)ar su perfil como privado, sino que lo de)an como p"&lico. ;racias a estos 0muros1 de datos personales encontramos informacin como nom&re, fecha de nacimiento, lugar de nacimiento, escuelas donde estudi, empresas en las que ha la&orado, amistades e incluso fotografas. E. 2elefnicamente, el atacante se hace pasar por otra persona o sorprende en su &uena f al usuario aprovechndose de su ignorancia o inocencia, as consigue informacin importante. K. Investigando en los contenedores de &asura de la vctima. All pueden encontrarse datos "tiles como horarios de vigilancia, nom&res cdigos de empleados, procedimientos de la empresa, cdigos fuente, discos u otros dispositivos de almacenamiento.

(# Crear el escenario% Ena vez estudiado cuidadosamente "ui-n es la vctima, se procede a crear un escenario creble en el cual participarn la vctima y el ingeniero social. ,a parte ms importante de un ata"ue es la creacin del escenario "ue dar pie al ata"ue en s. 7ste escenario apela a todos los principios antes e'puestos y cuidadosamente elaborados para enga6ar a la vctima. 7ste escenario puede ser una situacin por tel-fono, puede ser una aparicin fsica al rea de traba o, puede ser a trav-s de (nternet, etc. %# Reali$ar el ata*ue% Por supuesto la realizacin del ata"ue supone "ue se conoce de ante mano toda la informacin necesaria para llevarlo a cabo sin de ar rastros. '# + tener la informacin% Ena vez "ue se obtiene la informacin deseada solo procede a salir.

(# Salir% *inalmente el salir implica el borrado de $uellas, de modo "ue no "ueden evidencias de "ue se estuvo all.

Por *u caen las personas en estas trampas? ,otal desconocimiento del tema- Co se puede reconocer un ata"ue de ingeniera social por "ue se tiene, en general, poco conocimiento sobre el tema. ,a mayora de las personas no estn consientes o atentas al $ec$o de "ue pueden $aber personas "ue se $acen pasar por cercanas para obtener informacin para sus propios fines. .alta de informacin accesi le- Co se encuentra informacin accesible, clara y especfica sobre esta disciplina ya "ue -sta forma parte del tema de seguridad en informtica. 2un"ue en otros ya se $a estudiado como una disciplina aparte y $asta se $a creado un /frame!or+0 de estudio sobre la misma, a3n la ingeniera social es considerada una $erramienta ms para $ac+ing como lo seran los sniffers, +eyloggers, troyanos y otros. .alta de adiestramientos% ,a falta de adiestramientos es la variable ms com3n en la luc$a por la prevencin e identificacin de ata"ues de ingeniera social. #i no se capacita a la fuerza laboral sobre estos temas, las empresas seguirn siendo vctimas de estos ata"ues. !ctitud- /! m no me 0a a pasar1. 7sta actitud refle a la negacin de muc$as empresas a invertir en adiestramientos y en contramedidas para atacar la ingeniera social en el rea laboral. 7sta negacin a capacitar al personal no t-cnico, as como al t-cnico, se $a traducido en cientos de miles de p-rdidas anuales por la fuga de informacin. 2edidas de pre0encin y proteccin contra la Ingeniera Social ,a me or $erramienta para protegerse de los ata"ues de ingeniera social es el sentido com3n. Bambi-n el aceptar "ue es alto el riesgo de "ue un ata"ue de esta ndole pueda ocurrir fcilmenteF "ue los controles solamente t-cnicos no son suficientes y "ue se necesita una combinacin de controles administrativos y operacionales en la empresa para proteger sus activos. #e recomienda "ue e'ista una combinacin en tecnologas para proteger las redes, polticas de uso de tecnologas de informacin y seguridad en informtica las cuales deben revisarse de forma constante. 2simismo "ue se dise6en proyectos de educacin y capacitacin a la fuerza laboral y "ue se implementen programas agresivos de divulgacin de $erramientas para prevencin y deteccin de ata"ues de ingeniera social. 1e igual manera, es importante el promover el desarrollo de una cultura de seguridad en donde% Co se debe ignorar la interaccin personaHm"uina. Cecesitan reconocer los /trucos0. ,a seguridad de la informacin es un problema de $ard!are, soft!are, firm!are y peopleware. ,a me or defensa% Educacin com inada con tecnologa# Bodos los clientes o empleados deben tener una actitud $acia la seguridad y cuestionar las cosas. #e deben tener procedimientos de respuesta a incidentes y e"uipos "ue mitiguen el da6o si ocurre un ata"ue. #e debe notificar a los involucrados.

2$ora "ue conocemos los puntos principales a considerar, debemos ser muy consientes y estar alertas para evitar cual"uier vulnerabilidad. 2l final, todo se encuentra en la cultura informtica "ue tengamos como usuarios para nuestra propia proteccin.

7n la entrega pasada $ablamos del significado e impacto de la ingeniera social y el perfil del ingeniero social. 7n este artculo $ablaremos de los principales elementos "ue facilitan a los atacantes el robo de informacin. Como veremos la gran mayora de estos no son de carcter t-cnico sino $umano. 7s $ora de activar el 2ntivirus mental. Principios y fundamentos de la Ingeniera social

7l principio de negacin es una de los me ores armas de los cibercriminales. Pensar% Ia m nunca me va pasarI, es como firmar una sentencia de muerte digital ,os principios de la ingeniera social estn basados en el aspecto psicolgico de los seres $umanos. <evin =itnic+ fundamenta las estrategias de (ngeniera #ocial en los siguientes postulados%

Bodos los seres $umanos "uieren ayudar 7l primer movimiento es siempre de confianza $acia el otro Co nos gusta decir C; 2 todos nos gusta "ue nos alaben Bodos tenemos algo de ingenuos

1esde el punto de vista de la psicologa $umana, e'isten determinados procesos "ue son automticos tanto en el ser $umano como en los animales en virtud de las relaciones con los dems. 2s "ue depende de "ui-n lo analice y los convierta en una venta a o una desventa a para obtener informacin. 7stos procesos son com3nmente utilizados en campa6as de mercadeo y negocios para influenciar sobre la gente. ;tras estrategias o principios de la ingeniera social se basan en rutas perif-ricas de persuasin en donde se utiliza la emocin como una forma de distraccin. 7ntre los destacados investigadores en el rea de persuasin se encuentra el 1r. Dobert Cialdini.

7l 1r. Cialdini es un profesor de la Eniversidad estatal de 2rizona y su investigacin acad-mica se centra mayormente en por"u- la gente a menudo cumple con peticiones sin realmente pensar acerca de sus necesidades. Cialdini en su libro sobre la persuasin, defini seis armas de influencia% ). ReciprocidadH Por norma general la gente tiende a devolver un favor. Cicern deca% /Co $ay deber ms obligatorio "ue la devolucin de los favores0. 2simismo, la reciprocidad es un principio muy poderoso. 7so se debe a "ue, adems de ser evidente, es tambi-n impulsado y defendido por la sociedad en generalF a la vez "ue se condena a "uien no lo cumple. 8. Compromiso y consistenciaH 7ste concepto se define cuando una persona se compromete a llevar a cabo lo "ue $a decidido "ue es correcto, dic$o verbalmente o por escrito, $acen $onor a a"uel compromiso. 7l principio de la consistencia es uno de los principios primordiales "ue guan el comportamiento $umano, llevando al $ombre a evitar actuar de manera impredecible, y en cierta medida, a temer el cambio. 1e modo "ue cuando un atacante o ingeniero social logra comprometer a su vctima esta no le "uedar ms remedio "ue ceder ante las presiones del atacante. 9. La prue a socialH ,as personas $arn a"uellas cosas "ue vean "ue otras personas $acen. 7s la tendencia a imitar a los seme antes. 7ste principio $ace referencia a la tendencia del ser $umano a imitar el comportamiento de los seme antes de forma automtica e irracional sin dar lugar a la lgica, llegando a actuar de modo contrario a lo "ue apuntara la razn en caso de no tener puntos de referencia. :. !utoridadJ7sta es una de las ms e'plotadas por los ingenieros sociales. 7sto por"ue la gente tiende a obedecer a figuras con autoridad, "ue se desta"uen en su mbito. =uc$as compa6as colocan en sus portales informacin "ue identifica el rango o puesto de autoridad de su personal de traba o. ,o "ue facilita al ingeniero social el identificar "ui-n es la autoridad en la empresa y $acerse pasar por -l o ella. =ayormente se e'plota la vulnerabilidad de los $umanos a subordinarse a las figuras de autoridad, como los efes, directores de empresas, funcionarios de gobierno de alto rango o presidente de compa6as u organizaciones. ?. El "usto4 7l gusto toma en cuenta el principio de "ue las personas son convencidas fcilmente por otra persona con "uien se sienten a gusto. Generalmente las personas con buena presencia, van a tener ms facilidad de influir a otros. K. La Escase$H ,a escasez es la tendencia a valorar ms lo "ue es escaso. 2"u el ingeniero social toma en cuenta "ue la escasez percibida generar la demanda. Por eso al crear un correo electrnico falso con ofertas falsas, e'iste una gran probabilidad de "ue los usuarios se vean tentados a abrirlos y por lo tanto se descarga un /mal!are0 o troyano en su PC "ue abrir una puerta trasera al atacante y le permitir entrar en la red de la empresa u $ogar. 7l ganc$o mayor es cuando, por e emplo, se crean a"uellas ofertas "ue dicen estar disponibles durante /un tiempo limitado0 incitan as al consumo, como las ofertas por tiempo limitado o tambi-n un pre lanzamiento, donde se tiene la oportunidad de ser de los primeros participantes, fenmeno "ue apunta a alabar el ego de las personas, al $acerles creer "ue son de los /pocos0 "ue $an recibido dic$o correo.

El %&'&( de la Ingeniera Social ). Identificar a la )ictimaH 7n esta rea se comprende la psicologa de la vctima, y de ser necesario, el ingeniero social se convierte en una persona totalmente distinta a fin de agradarle y obtener la informacin "ue desea. 8. ReconocimientoHCo es otra cosa "ue obtener informacin de la vctima.

). 2$ora bien, Ldnde obtenemos informacin de la vctimaM ,a obtencin de informacin se puede realizar mediante sitios Neb, bases de datos, grupos de noticias, socios de negocios, /dumpster diving0 b3s"ueda en la basura. 8. 7'iste una $erramienta "ue para m es una de las ms poderosas y se llama% .ace oo5. 2l visitar los perfiles de *aceboo+, uno puede darse cuenta "ue la mayora de las personas no se toman la molestia de mane ar su perfil como privado, sino "ue al contrario, lo de an como p3blico. Gracias a estos /muros0 de datos personales encontramos informacin como nombre, fec$a de nacimiento, lugar de nacimiento, escuelas donde estudi, empresas en las "ue $a laborado, amistades e incluso fotografas. 9. Belefnicamente, el atacante se $ace pasar por otra persona o sorprende en su buena fe al usuario aprovec$ndose de su ignorancia o inocencia, y as consigue informacin importante. :. (nvestigando en los contenedores de basura de la vctima. 2ll pueden encontrarse datos 3tiles como $orarios de vigilancia, nombres y cdigos de empleados, procedimientos de la empresa, cdigos fuente, discos u otros dispositivos de almacenamiento. ?. Crear el escenarioHEna vez estudiado cuidadosamente "ui-n es la vctima, se procede a crear un escenario creble en el cual participarn la vctima y el ingeniero social. ,a parte ms importante de un ata"ue es la creacin del escenario "ue dar pie al ata"ue en s. 7ste escenario apela a todos los principios antes e'puestos y cuidadosamente elaborados para enga6ar a la vctima. 7ste escenario puede ser una situacin por tel-fono, puede ser una aparicin fsica al rea de traba o, puede ser a trav-s de (nternet en fin e'isten diversos medios para crear el escenario del ata"ue. K. Reali$ar el ta*ueH Por supuesto la realizacin del ata"ue supone "ue se conocen de ante mano toda la informacin necesaria para llevarlo a cabo sin de ar rastros. O. + tener la informacinH Ena vez se obtiene la informacin deseada solo procede a salir. P. Salir Q*inalmente el salir implica el borrado de $uellas, de modo "ue no "ueden evidencias de "ue se estuvo all. Por *u caen las personas en estas trampas? Primeramente las personas son vctimas de ata"ues de ingeniera social por varias causas entre ellasF ). ,otal desconocimiento del tema4 Co se puede reconocer un ata"ue de ingeniera social, por"ue ni si"uiera se reconoce el t-rmino, muc$o menos se podr identificar "ui-n es un ingeniero social y por "u- se $acen las preguntas para obtener informacin. 8. .alta de informacin accesi le4 Co se encuentra informacin accesible, clara y especfica sobre esta disciplina ya "ue la misma forma parte de un cuerpo de integrado del tema de seguridad en informtica. 2un"ue en otros ya se $a estudiado como una disciplina aparte y $asta se $a creado un /frame!or+0 de estudio sobre la misma, a3n la ingeniera social es considerada una $erramienta ms para $ac+ing como lo seran los sniffers, +eyloggers, troyanos y otros. 9. .alta de adiestramientosH ,a falta de adiestramientos es la variable ms com3n en la luc$a por la prevencin e identificacin de ata"ues de ingeniera social. #i no se capacita a la fuerza laboral sobre estos temas las empresas seguirn siendo vctimas de estos ata"ues. :. !ctitud- /! m no me 0a a pasar1H 7sta actitud refle a la negacin de muc$as empresas a invertir en adiestramientos y en contramedidas para atacar la ingeniera social en el rea laboral.

7sta negacin a capacitar al personal no t-cnico as como al t-cnico se $a traducido en cientos de miles de p-rdidas anuales por la fuga de informacin. 2edidas de pre0encin y proteccin contra la Ingeniera Social ,a me or $erramienta para protegerse de los ata"ues de ingeniera social es el sentido com3n. Bambi-n el aceptar "ue la facilidad de un ata"ue de esta ndole pueda ocurrir es altoF "ue los controles solamente t-cnicos no son suficientes y "ue se necesita una combinacin de controles administrativos y operacionales en la empresa para proteger sus activos. #e recomienda "ue e'ista una combinacin de inversin en tecnologas para proteger las redes, polticas de uso de tecnologas de informacin y seguridad en informtica las cuales deben revisarse de forma constante. 2simismo "ue se dise6en proyectos de educacin y capacitacin a la fuerza laboral y "ue se fermenten programas agresivos de divulgacin de $erramientas para prevencin y deteccin de ata"ues de ingeniera social. 1e la misma manera es importante el promover el desarrollo de una cultura de seguridad en donde% ). Co se debe ignorar la interaccin personaHma"uina 8. Cecesitan reconocer los /trucos0 9. ,a seguridad de la informacin es un problema de $ard!are, soft!are, firm!are y peopleware :. ,a me or defensa% Educacin com inada con tecnologa# ?. Bodos los clientes o empleados deben tener una actitud $acia la seguridad y cuestionar las cosas. K. #e deben tener procedimientos de respuesta a incidentes y e"uipos "ue mitiguen el da6o si ocurre un ata"ue. O. #e debe notificar a los involucrados. RES62E7

,as (nstituciones en general tienen la responsabilidad corporativa y social de participar activamente en la educacin de sus clientes, usuarios y fuerza laboral en reas relacionadas a la seguridad en informtica. ,a educacin, adiestramientos, talleres y campa6as de promocin son la clave para prevenir ata"ues de (#. Promover una cultura de seguridad en informtica debe ser una prioridad financiera y, dira yo sin afanar de e'agerar, nacional.

La Dra. Aury M. Curbelo, es consultora en el rea de seguridad en sistemas de informacin. Tambi n es !rofesora de la "niversidad de #uerto $ico $ecinto de Mayag%e& en la 'acultad de Administracin de (m!resas. )us reas de investigacin involucran la tica en el uso de tecnolog*as de informacin y la fotograf*a digital, as* como el uso de redes sociales y su im!acto en el rea laboral, y la ingenier*a social el lado +umano del +acking. )e +a destacado como oradora en eventos internacionales en reas de seguridad en informtica. Cuenta con las certificaciones de ,acker -tico, )ecurity ., 'orense Cibern tico, entre otras.

7n el campo de la seguridad informtica, la ingeniera social se conoce como la prctica de obtener informacin confidencial a trav-s de la manipulacin de usuarios legtimos. 2simismo se define como a"uellas conductas y t-cnicas utilizadas para conseguir informacin de las personas. Por otro lado, es tambi-n una disciplina "ue consiste en sacarle informacin a otra persona sin "ue esta s- de cuenta de "ue est revelando /informacin sensible0 y "ue normalmente no lo $ara ba o otras circunstancias. ,a ingeniera social se sustenta en el principio de "ue en cual"uier sistema /los usuarios son el eslabn ms d-bil0.

7n la prctica, un ingeniero social utiliza com3nmente el tel-fono o (nternet para enga6ar a la gente. 7ntre otras cosas puede fingir ser, por e emplo, un empleado de alg3n banco o alguna otra empresa, un compa6ero de traba o, un t-cnico o un cliente. Ra (nternet utiliza el m-todo del envo de solicitudes de renovacin de permisos de acceso a pginas !eb, crean memos falsos "ue solicitan respuestas e incluso las famosas /cadenas0, llevando as a los usuarios a revelar informacin sensible, o a violar las polticas de seguridad tpicas de su organizacin. Con este m-todo, los ingenieros sociales /e'plotan0 la tendencia natural de la gente a ayudar.

8e0in 2itnic5& un famoso 9ac5er, e'perto en ingeniera social coment% /La gente !or no 0uerer 0uedar mal o crear un escndalo, brinda a cual0uiera 0ue le solicita, /informacin sensible1, y a+* es donde 2uega un !a!el im!ortante la educacin, el ense3arle a los em!leados a decir no1. Implicaciones econmicas de las rec9as de informacin Ena investigacin realizada por el (nstituto Ponemon a ?@ empresas de 7stados Enidos "ue perdieron datos durante el a6o 8@)) inform "ue el costo anual por p-rdidas de informacin rebasa los S9K.? millones de dlares por empresa. 2simismo, un estudio de seguridad a nivel mundial presentado por Cisco sobre la fuga de informacin, revel "ue la p-rdida de datos a consecuencia de la conducta de los empleados es una amenaza muc$o ms grande de lo "ue creen muc$os profesionales en el rea de tecnologas de informacin. Por *u la Ingeniera Social :IS; es tan efecti0a? 7'isten cientos de razones "ue podran e'plicar por "u- la (# es tan efectiva, sin embargo slo mencionar- algunas de ellas. ). El campo de la seguridad de la informacin est< enfocado principalmente en seguridad tcnicaH Bodas las empresas se $an enfocado en crear muros de fortalezas con la me or tecnologa, protegiendo as todos sus activos con los me ores /fire!alls0 lo me ores /(1#0, todas

las actualizaciones al da, con polticas de seguridad (todas ellas enfocadas en aspectos t-cnicos), en fin todo lo "ue tiene "ue ver con la fase t-cnica de un sistema de informacin. 2$ora bien es P+C+ lo "ue presupuestan para atender las necesidades de orientacin y capacitacin en reas relacionadas al aspecto $umano de esa cadena de proteccin de datos. 8. Casi no se presta atencin a la interaccin m<*uina4persona.H =uc$o se $a estudiado y reportado sobre la importancia de atender la interaccin m"uinaHpersona sin embargo muy pocas empresas entienden "ue reforzando el lado $umano mediante adiestramientos y seminarios acerca de la ingeniera social se crea una cultura de seguridad "ue a la larga se convierte en un retorno de inversin. 9. Ingeniera Social :IS; es e=tremadamente difcil de detectarH Co e'iste un sistema de deteccin de intrusos ((1#) para detectar la /falta de sentido com3n0 o ignorancia del usuario. Hoy, la ingeniera social es "uiz la t-cnica ms divulgada para propagar ciberata"ues, por"ue consiste en la utilizacin o aprovec$amiento de las debilidades en los usuarios, utilizando su desconocimiento o miedo, entre otros factores, para aprovec$arse de su ingenuidad y obtener lo "ue "ueremos. 7n este caso% acceso a la informacin. El perfil de ingeniero social ,as cualidades "ue debe poseer un ingeniero social para destacarse en esta disciplina pueden ser varias, desde su $abilidad para relacionarse con sus pares $asta cuales son sus ambiciones, conocimientos en el rea de informtica, su apariencia de inocencia, su credibilidad y su grado de curiosidad. ,as destrezas de (# se pueden ense6ar, practicar y dominar al punto de "ue usted, con un poco de adiestramiento y gran capacidad para convencer, puede convertirse en un ingeniero social en cosa de meses. 2$ora bien algunas de las caractersticas o re"uisitos ms importantes se destacan las siguientes% ). Capacidad de socializar con facilidad. 8. Habilidad en el $ablar. 9. Habilidad en el arte de persuasin. :. #onar convincente. ?. 2parentar ser inofensivo. K. =antener un perfil ba o. O. #onrer siempre. P. Bono de voz cmodo. 7n la siguiente entrega abordaremos el tema de la ingeniera social desde su principios y fundamentos de funcionamiento, $asta algunos conse os para estar protegido contra la ingenuidad, sobre confianza o torpeza $umana, en otras palabras la famosa Capa P.

La Dra. Aury M. Curbelo, es consultora en el rea de seguridad en sistemas de informacin. Tambi n es !rofesora de la "niversidad de #uerto $ico $ecinto de Mayag%e& en la 'acultad de Administracin de (m!resas. )us reas de investigacin involucran la tica en el uso de tecnolog*as de informacin y

la fotograf*a digital, as* como el uso de redes sociales y su im!acto en el rea laboral, y la ingenier*a social el lado +umano del +acking. )e +a destacado como oradora en eventos internacionales en reas de seguridad en informtica. Cuenta con las certificaciones de ,acker -tico, )ecurity ., 'orense Cibern tico, entre otras.

Prue as de penetracin en ingeniera socialcuatro tcnicas efecti0as

1ave #$ac+leford, Contribuidor Correo electrnico (mprimir

2 22 222 ,in+ed(nin#$are) *aceboo+ B!itter Compartir esto Publicaciones 2nteriores

,a ingeniera social se $a convertido en uno de los m-todos de ata"ue ms frecuentes en nuestros das, provocando graves fallos de seguridad. 7l fallo de D#2 en 8@)), por e emplo, se baso en una campa6a de p$is$ing dirigido y un e'ploit incrustada en un arc$ivo 7'cel. 2dems las empresas deben conocer las amenazas reales a las "ue se enfrentan, por lo "ue realizar pruebas frente a ata"ues de ingeniera social debe ser algo obligado para todas las compa6as. ,os atacantes en pruebas deben poder acceder rpidamente a datos sensibles, o poder instalar un dispositivo en poco tiempo para probar su -'ito ya "ue la ventana de la "ue disponen es muy breve. ,a ingeniera social se basa en la psicologa. 7'isten diferentes incentivos y motivadores en las personas "ue permiten a los ingenieros sociales llevar a su vctima a actuar. Por e emplo el 1r. Dobert Cialdini define en su libro 4nfluence5 T+e #syc+ology of #ersuasion (lanzado en )TP:), estos seis motivadores claves%

Deciprocidad% sentir "ue le debemos un favor a "uien $ace algo por nosotros. ;rientacin social% buscamos a una persona "ue nos diga "ue tenemos "ue $acer. ConsistenciaU compromiso% desarrollamos patrones de conducta "ue se convierten en $bitos. 2ceptacin% "ueremos /enca ar0 y nos persuaden ms fcilmente a"uellas personas "ue nos gustan. 2utoridad% somos receptivos a las rdenes y peticiones de las figuras de autoridad. Bentacin% tenemos ms motivacin para perseguir lo e'clusivo o limitado.

,os atacantes usan estos motivadores para realizar sus ata"ues de ingeniera social. 7'isten cuatro t-cnicas de ingeniera social "ue los atacantes pueden usar para probar la seguridad de la organizacin% p$is$ing, prete'ting, media dropping y tailgating. Prue as de seguridad de penetracin mediante ingeniera social- P9is9ing 7l p$is$ing implica el envi de un correo a un usuario donde se le convence para "ue $aga algo. 7l ob etivo de este ata"ue de prueba debera ser "ue el usuario $aga clic+ en algo y despu-s registrar esa actividad, o incluso instalar un programa como parte de un programa de pruebas muc$o ms e'tenso. 7n 3ltima instancia pueden instalar e'ploit adaptados al soft!are del cliente para verificar problemas con los navegadores, contenido dinmico, plugins o soft!are instalado 2e>orando la calidad de las prue as internas ,a clave del -'ito de este sistema es la personalizacin. Personalizar el correo dirigido al usuario ob etivo, con t-cnicas como el envi a trav-s de una fuente de confianza (o "ue perciba como tal) incrementa la disponibilidad del usuario a leer y seguir las instrucciones del correo. En buen atacante en pruebas no debe olvidar la ortografa ni la gramtica. En correo bien escrito, aun"ue sea breve, es muc$o ms creble. #eguramente la me or solucin para crear ata"ues p$is$ing sea el #ocial 7ngineering Bool+it (#7B) de cdigo abierto. #u men3 para crear ata"ues a trav-s de email es una de las $erramientas ms sencillas de crear ata"ues mediante p$is$ing. ;tras $erramientas comerciales como P$is$=e de P$is$=e (nc. y P$is$Guru de Nombat #ecurity tambi-n son interesantes. Prue as de seguridad de penetracin mediante ingeniera social- Prete=ting 7l prete'ting (prete'tos) implica llamar por tel-fono al usuario y pedirle cierta informacin, generalmente simulando ser alguien "ue precisa su ayuda. 7sta t-cnica puede funcionar bien si se usa mediante a"uellos usuarios de ba o nivel t-cnico y "ue tengan acceso a informacin sensible. ,a me or estrategia para empezar es empezar con nombres reales y pe"ue6as peticiones al personal de la organizacin "ue est- esperando algo. 7n la conversacin el atacante simula necesitar ayuda de la victima (=uc$a gente est dispuesta a $acer pe"ue6as tareas "ue no sean percibidas como algo sospec$oso). Ena vez establecido el contacto el atacante puede pedir algo ms sustancial. ,a b3s"ueda de informacin de inter-s, usando Google y $erramientas como =altego de Paterva puede impedir el -'ito de este tipo de ata"ue. 7l uso de $erramientas de mascaras telefnicas y pro'y como #poofCard (filial de BelBec$ #ystems) y #poof 2pp de #poof2pp.com ,,C, as como los addons de 2steris+ PVW de 1igium (nc., pueden llegar a mostrar el n3mero de tel-fono del atacante, aun cuando trate de $acerse pasar por un numero interno de la empresa. Prue as de seguridad de penetracin mediante ingeniera social- 2edia dropping ,a descarga en medios suele implicar la presencia de un disco E#V en un lugar razonable, como un aparcamiento o la entrada al edificio. 7l ingeniero social busca el inter-s de la persona "ue, al utilizar esta unidad flas$, lanza un ata"ue contra el e"uipo donde se conecta. ?ispositi0os ?rop o= para prue as de ata*ues ,os atacantes en pruebas pueden instalar un pe"ue6o programa, sin riesgo, dentro de la red del cliente y despu-s e ecutarlo de forma remota. 7'isten productos comerciales como P!nie 7'pressX P!nPlug, o

bien los programas y dispositivos "ue los atacantes puedan crear con $erramientas de sniffing y spoofing. Ena $erramienta gratuita para crear estos arc$ivos es =etasploit, "ue genera automticamente cargas maliciosas. 7l #7B /Generador de =edios infecciosos0 tambi-n utiliza =etasploit por"ue ayuda a automatizar el proceso. =ediante #7B creamos un e ecutable "ue automticamente se activa en el PC ob etivo. =ediante t-cnicas de e ecucin automtica y e ecucin con unta de arc$ivos podemos me orar las posibilidades de -'ito del ata"ue. Ena solucin ms sofisticada para este tipo de ata"ues es el desarrollo de ata"ues personalizados "ue se incluyan en un disco E#V, o la compra directa de unidades E#V creadas para tal fin. Para incrementar las posibilidades de -'ito se recomienda incluir arc$ivos conocidos como parte de esos e'ploits autorizados (los formatos P1*, Nord y 7'cel son los me ores). 7ti"uetar el dispositivo de forma /apetitosa0, como /1atos de DDHH0 o /,aboral0 tambi-n puede ayudar. Prue as de seguridad de penetracin mediante ingeniera social- ,ailgating 7l tailgating supone lograr acceso a una instalacin fsica mediante enga6o a su personal, o simplemente colndose dentro. 7l ob etivo de este test es demostrar "ue el atacante puede superar a la seguridad fsica. ,os atacantes deberan ser capaces de obtener informacin sensible o poder instalar un dispositivo rpidamente para mostrar su -'ito, ya "ue tienen poco tiempo para $acerlo antes de salir de la instalacin. #i el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un sistema de pruebas dropo bo' con acceso a la red Nifi o 9G podr acceder posteriormente a los datos sensibles de la empresa. =ediante el uso de estas cuatro t-cnicas de ingeniera social, el personal de pruebas puede determinar las vulnerabilidades de la organizacin y recomendar las medidas correctoras y formativas "ue reduzcan el riesgo de sufrir ata"ues maliciosos basados en ingeniera social. So re el autorDave )+ackleford es !ro!ietario y consultor !rinci!al de 6oodoo )ecurity, 6ice!residente de investigacin y CT7 de 4A8) y analista, formador y autor sobre )A8). ,a traba2ado !ara cientos de em!resas en as!ectos de seguridad y cum!limiento legal, as* como infraestructura de red e ingenier*a. (s e9!erto en 6M:are y tiene gran e9!eriencia en el dise3o y configuracin de infraestructuras de redes virtuali&adas. ,a traba2ado anteriormente como C)7 de Configuresoft, CT !ara el Center for 4nternet )ecurity y analista de ar0uitectura de seguridad, analista y gestor en diversas em!resas del 'ortune ;<<. Dave es coautor de ,ands=7n 4nformation )ecurity, del Curso de Tecnolog*a as* como del ca!*tulo relativo a>Managing 4ncident $es!onse> del curso de Tecnolog*a y los Casos de ?estin de )eguridad de la 4nformacin. $ecientemente Dave tambi n +a colaborado en el !rimer curso sobre virtuali&acin de seguridad del instituto )A8). Dave actualmente traba2a como directivo del )A8) Tec+nology 4nstitute y colabora con Alian&a de )eguridad en la nube de Atlanta.