Resumen: La ingeniería social ha aumentado su
popularidad en los últimos años. Aprovecha las debilidades de los mecanismos
universales que poseemos las personas para entendernos con otros seres humanos. El ciberdelincuente, con este
proceder, obtiene información de las víctimas la cual le permitirá cometer un
delito telemático. Veremos que la mejor defensa es preservar nuestra esfera de
privacidad.
Autor del artículo
|
Colaboración
|
|
SANTIAGO
PONTIROLI
|
||
Actualizado
|
9 de Enero de 2014
|
|
ÍNDICE
2. PSICOLOGÍA Y CIBERDELINCUENCIA
3. MÉTODOS ACTUALES
4. PREVENCIÓN
5. SUJETOS REFERENCIADOS
6. BIBLIOGRAFÍA RECOMENDADA
7. DERECHOS DE AUTOR
1.
INTRODUCCIÓN
La ingeniería social, la ciencia y arte de hackear a seres
humanos, ha aumentado su popularidad en los últimos años gracias al crecimiento
de las redes sociales, los correos electrónicos y demás formas de comunicación
online.
En el sector de la seguridad TI, este término se utiliza para
hacer referencia a una serie de técnicas que usan los delincuentes para manipular
a sus víctimas con el fin de obtener información confidencial o para
convencerlos de realizar algún tipo de acción que comprometa su sistema.
Incluso hoy en día, con todas las soluciones de seguridad que
hay en el mercado, el usuario es el único que puede protegerse. El hilo que conduce a las
credenciales de nuestra cuenta o los datos de nuestra tarjeta de crédito es
realmente fino. Por este motivo, es necesario conocer los trucos que utilizan los
estafadores, tanto técnicos como psicológicos, para evitar cualquier ataque de
estas características.
La ingeniería social no es una amenaza nueva, ha existido
desde el origen de los tiempos. Gracias a ingenieros tan populares como Kevin
Mitnick [1] o Frank Abagnale [2], reconocidos por su labor en
la campo de la seguridad, sabemos que un ciberdelincuente puede dejar el lado
oscuro para combatir en nombre del bien.
Fran Abagnale, por ejemplo, fue uno de los hackers más
famosos con sus múltiples identidades y engañando a los usuarios para que le
revelasen información esencial para sus estafas. Quién haya visto la película
“Atrápame si puedes”, se podrá hacer una idea de qué son capaces los ingenieros
sociales cuando tienen un objetivo en mente.
Un ingeniero social no solo utiliza técnicas informáticas
para conseguir la información deseada, así que nunca debe bajarse la guardia.
Por ejemplo, nunca deben revelarse a nadie las contraseñas por teléfono. Aunque
suene absurdo este consejo, imaginemos que llama durante el fin de semana un empleado del soporte técnico de la propia
compañía para arreglar un problema en los equipos del departamento donde
trabajamos. Cualquiera podría caer en la
trampa.
La mayoría de los ciberdelincuentes no invierten mucho
tiempo en probar tecnologías complejas para sus ataques; saben que es más
sencillo utilizar la ingeniería social.
Además, incluso existen páginas web con información valiosa
donde aprender los métodos para engañar a las víctimas. Uno de estos portales
es SocialEngineer.org [3], plataforma que proporciona datos
realmente útiles como los fundamentos teóricos, el funcionamiento de cada
ataque y ejemplos que aclaran cada uno de los conceptos.
Sin darnos cuenta, cada día, a través del lenguaje verbal
ejercemos una influencia en aquellos que nos rodean. Desde el punto de vista de
un ingeniero social, los idiomas tienen sus puntos débiles ya que están sujetos
a una experiencia subjetiva que distorsiona las cosas.
La programación neurolingüística o PNL se inventó para fines
terapéuticos pero, actualmente, ha evolucionado a una forma de hipnosis que
utilizan los ingenieros sociales como herramienta para manipular a las víctimas
en sus ataques. Mediante esta técnica,
los delincuentes sonsacan cualquier dato personal
o información necesaria para su objetivo.
2. PSICOLOGÍA
Y CIBERDELINCUENCIA
“Una
compañía puede gastar cientos de miles de dólares en firewalls, sistemas de cifrado
y demás tecnologías de seguridad, pero si un atacante engaña a un empleado,
todo ese dinero no habrá servido para nada”- Kevin Mitnick
Aunque parezca que hay una gran distancia entre la psicología
y la ciberdelincuencia, la realidad es que ambas se basan en los mismos principios:
·
El deseo de toda persona de
reciprocidad. Si te
hago un favor espero que tú me hagas otro.
·
De aprobación social. Confiamos en los juicios de la
mayoría.
·
De autoridad. Confianza en la policía, un médico,
un técnico…
Se inventan un contexto o una historia totalmente creíble que les permite controlar la interacción con la víctima. No olvidemos que suelen ser personas realmente inteligentes que, en una fracción de segundo, son capaces de conseguir lo que buscan.
Sin embargo, en este artículo queremos centrarnos en las
diferentes técnicas que usan los delincuentes online para llevar a cabo sus
fechorías y obtener información de sus víctimas.
Como se ha mencionado, los principios que se utilizan en
estas estafas son los mismos que existen en la vida real; simplemente Internet
es un medio enorme de distribución de información y, por ejemplo, un mail de
phishing se puede enviar a millones de usuarios a la vez. Aunque solo caiga en
sus redes un grupo reducido de personas, los beneficios pueden ser enormes.
3.
MÉTODOS ACTUALES
“Lo
que hacía en mi juventud, es mil veces más fácil hoy en día. La tecnología
alimenta al crimen” – Frank William Abagnale.
El ciberdelincuente envía un email, SMS u otro tipo de mensaje,
el cual convence a la víctima para que revele cierta información directamente o
realice cierta actividad (entrar en una web falsa, hacer clic en un enlace
malicioso… etc.) que permita al atacante seguir con su plan.
Hemos visto una evolución en el malware que acompaña a la
ingeniería social. En el pasado, el usuario se percataba casi de inmediato si
su equipo estaba infectado porque el ordenador se comportaba de forma extraña. Hoy
en día, es muy habitual que el malware infecte un equipo, acceda al sistema y
permanezca oculto hasta que tenga que entrar en acción.
Así, los ciberdelincuentes y las empresas de seguridad TI
juegan constantemente al gato y al ratón; siendo la educación uno de los
mecanismos de defensa más importantes para que los usuarios conozcan y estén
informados de todas las amenazas y peligros en la Red.
Muchas muestras de malware utilizan la ingeniería social para
colocar la carga maliciosa en el sistema de la víctima. Entre los trucos más
populares se encuentran las actualizaciones falsas de Flash Player, los
archivos ejecutables incrustados en documentos Word y las copias de baja
calidad de navegadores legítimos como Internet Explorer.
Un gran número de ataques se dirigen contra los usuarios de
Latinoamérica. El motivo se debe, principalmente, a que:
·
La
mayoría de la población de esta región desconoce estas amenazas tecnológicas.
·
Sus
sistemas informáticos suelen tener software sin actualizar.
Es el escenario ideal para cualquier ciberdelincuente. Hasta
hace muy poco, las entidades bancarias apenas disponían de medidas de seguridad
para las cuentas online y existen, todavía, muchos agujeros por donde se puede
colar un ingeniero social.
En Sudamérica, además, existen otros tipos de ataques que
poco tienen que ver con el fraude informático. La estafa conocida como
“secuestro virtual” usa la ingeniería social para hacer creer a una familia que uno de sus
miembros ha sido secuestrado y reclamar un rescate por su liberación. En
este tipo de delitos, lamentablemente bastante habituales, los delincuentes
explotan las debilidades humanas (urgencia y miedo) para conseguir su botín.
4. PREVENCIÓN
Es importante recordar que cualquier información que
publicamos en la Red (Facebook, Twitter, Foursquare, etc) puede ser una pista
fantástica para los cibercriminales, allanándoles el terreno y poniéndoles
las cosas más fáciles. Incluso nuestra
lista de favoritos de Amazon puede ser la entrada para un ataque de ingeniería
social.
Como se ha mencionado anteriormente, es imprescindible
instalar una buena solución de seguridad si solemos navegar en Internet
habitualmente.
Además, aconsejamos estar informados de las últimas
amenazas cibernéticas para intentar no caer en la trampa (offline y online).
Todos los dispositivos tecnológicos y los mecanismos de
defensa son inútiles si no sabemos utilizarlos y no somos conscientes de que
los ciberdelincuentes siempre están a nuestro acecho. El crimen está en
constante evolución y debemos ser precavidos.
“La
policía no puede proteger a los consumidores. Los usuarios deberían ser más
conscientes y recibir una mayor educación sobre el robo de identidad.
Necesitamos ser más listos, sabios y, cómo no, escépticos. Vivimos en una época
donde si ponemos las cosas fáciles, nos robarán antes o después” – Frank
William Abagnale.
5. SUJETOS REFERENCIADOS
NOTA DEL EDITOR: Si bien estas mini-biografías no constan en el documento
original, he creído conveniente incorporarlas para facilitar la comprensión de
aquellos lectores que no estén familiarizados con la vida de los sujetos que
aparecen citados a lo largo del artículo.
Su último arresto se produjo el 15 de febrero de 1995, tras
ser acusado de entrar en algunos de los ordenadores más seguros de los Estados
Unidos. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos
delitos telemáticos.
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a
la consultoría y el asesoramiento en materia de seguridad, a través de su
compañía “Mitnick Security” (anteriormente llamada Defensive Thinking).
[2] Frank William Abagnale, Jr. nació el 27 de abril de 1948 y fue un falsificador
estadounidense de cheques e impostor durante cinco años en la década de 1960.
Actualmente dirige “Abagnale and Associates”, una compañía financiera de consultas
de fraudes.
La historia de su vida fue la inspiración para la creación de
la película "Atrápame si puedes" dirigida por Steven Spielberg y basada en su
biografía escrita con el mismo nombre.
En sólo cinco años trabajó con ocho identidades diferentes y
pasó cheques falsos por un valor total de 2,5 millones de dólares en 26 países.
6.
BIBLIOGRAFÍA RECOMENDADA
- [3] Social-Engineer.org.
“Security Through Education”. Página web.
Social-Engineer.org
- Christopher Hadnagy & Paul Wilson. “Social
Engineering: The Art of Human Hacking”. 2011. Wiley Publishing Inc.
7. DERECHOS DE AUTOR
La presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
Santiago Pontiroli tiene una amplia y destacada experiencia y conocimientos en temas de seguridad de TI. Actualmente trabaja como analista de seguridad dentro del Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT, por sus siglas en inglés). Sus principales responsabilidades son el análisis e investigación de amenazas en la región SOLA, la seguridad de las aplicaciones Web, desarrollo de herramientas de automatización del estudio inteligente de las amenazas y la ingeniería inversa de malware (programas de código malicioso).
Antes de incorporarse a Kaspersky Lab, Santiago se desempeñaba
como Líder de Desarrollo en Accenture
para proyectos como “Site Concept Studio”
y “Avanade Connected Methods”, donde supervisaba todos los aspectos técnicos
de su equipo, desarrollaba demostraciones de las diferentes plataformas y ofrecía apoyo técnico al equipo de ventas.
Previo a Accenture, Santiago trabajó como consultor ofreciéndole
apoyo a empresas independientes en
software de control de acceso, administración de sistemas y redes, y seguridad
de aplicaciones web.
Santiago realizó estudios de
Ingeniería de Sistemas y Análisis de Sistemas
en la Universidad Tecnológica Nacional
F.R.L.P en Buenos Aires (Argentina).
Es miembro de
ISSA (Information Systems Security
Association) y de OWASP (Open Web Application
Security Project).
NOTA DEL EDITOR: La primera publicación de este artículo tuvo lugar el 20 de diciembre de 2013 en el Blog de Kaspersky.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.