jueves, 14 de julio de 2011

INGENIERIA SOCIAL

La ingeniería social son las técnicas de manipulación que buscan conseguir información a través de diferentes métodos y que llevan a la persona afectada a realizar actos que normalmente no haría.

Básicamente estas “tretas” lo que hacen es detectar las debilidades de la persona analizando su personalidad, de manera que puedan engañarla para que revele información o acceda a cometer actos que beneficien al manipulador.  Cabe resaltar que las personas ingenuas e incautas son mas fáciles de atrapar.

Aunque el termino “ingeniería social” se utilizo por primera vez en el ámbito informático, haciendo alusión a los hackers y crackers que buscaban contraseñas engañando a los usuarios de sistemas de información, hoy en día la ingeniera social se aplica a cualquier entorno donde haya riesgo de perdida de información.

OBJETIVOS DE LA INGENIERÍA SOCIAL

Lo que impulsa a un delincuente a realizar ingeniería social sobre una persona o un grupo de personas por lo general tiene fines lucrativos.  Una vez obtenida la información o el acceso, el delincuente podría:

  • realizar un fraude
  • vender información confidencial
  • realizar espionaje industrial
  • hacerse pasar por otra persona y llevar a cabo negociaciones, robos, fraudes, etc.  Esta suplantación requiere de un trabajo extenso llevado a cabo por profesionales.
  • Chantajear a la empresa para no publicar, vender o manipular la información, puede ser con fines lucrativos o por razones políticas, religiosas o culturales.
  • Extorsionar a la persona o empresa
  • Sabotear o destruir bienes o información


TÉCNICAS INVASIVAS  DE LA INGENIERÍA SOCIAL

  • TELÉFONO.  Es una técnica muy común, suplantan empresas de servicios, concursos, empresas del estado o se hacen pasar por representantes de fundaciones de caridad, de la iglesia, grupos sociales, bancos.  Los argumentos son simples pero convincentes, de manera inteligente obtienen nombres, direcciones, números de cuenta, claves, etc.  La treta mas común es la confirmación de datos, validación de datos para participar en rifas o concursos, incluso pueden tener información obtenido con otros miembros de la familia o amigos.

  • LUGAR DE TRABAJO.  La violación a los sistemas de control de acceso es común por quienes logran entrar a trabajar al sitio que desean violentar, usan diversas técnicas como la seducción, la confianza, el robo de claves o tarjetas de acceso, etc.  Otras técnicas mas rudimentarias son las de espiar documentos, fotografiarlos, “tomarlos prestado”  para fotocopiarlos,  robar datos en tarjetas de memoria SD, memorias USB. 

  • BASUROLOGÍA.  Escarbar en la basura es una de las técnicas mas utilizadas, por eso es tan importante destruir completamente cualquier documento, disco CD o DVD, diskettes, memorias, etc., que vayan a desecharse.  Un delincuente puede buscar listas de teléfonos, memorandos, organigramas, cronogramas, agendas, manuales, informes, reportes, listados de logins y passwords, cintas, facturas, etc.

  • INTERNET-INTRANET, los delincuentes que se especializan en obtener passwords o claves se basan en el comportamiento predecible del ser humano, ellos saben que las personas tienden a repetir las claves y utilizar la misma para varios servicios. Dentro de esta técnica utilizan la observación y seguimiento para asociar datos, así es como logran ingresar tras varios intentos, en los que prueban con la placa del carro, la fecha de nacimiento, el numero de la cedula, el nombre de la hijo o el hijo, y a esto le agregan el año o una secuencia numérica, por ejemplo, placa del carro + año, nombre de la hija + numeros del 1 al 4, etc., este es un ejemplo de un sinnúmero de combinaciones predecibles y que casi todas las personas utilizamos.  Internet también se presta para “pescar” incautos con técnicas mas avanzadas como la utilización de software espía, los virus tipo gusano o troyanos, paginas falsas de concursos o entidades bancarias, entre otras.

  • INTERNET – REDES SOCIALES.  Las redes sociales son un punto sensible en la ingeniería social. La gente se ha acostumbrado a hablar con desconocidos y darles confianza sin ninguna restricción.    Además del gusto por publicar todo sobre nosotros ofrecemos en bandeja de plata importante información que el delincuente sabe aprovechar e incluso obtener mas con solo ganarse la confianza de la victima.  Según Kevin Mitnick, el hacker social mas famoso del mundo, la ingeniera social es muy efectiva y a veces solo se necesita un teléfono para realizar un ataque, ya que estos se basan en cuatro principios:

    1. todos queremos ayudar  (esto se puede apreciar en foros de Internet, redes sociales, juegos en línea, etc.)
    2. el primer movimiento es siempre de confianza hacia el otro
    3. No nos gusta decir NO
    4. A todos nos gusta que nos alaben

  • REUNIONES SOCIALES.  La ingeniera social cobra su máxima expresión cuando el delincuente tiene armas a su alcance como la bebida, la comida y el roce social.  La seducción y el licor pueden llevar a ganarse la confianza de un ejecutivo y manipularlo para que ingenuamente confiese claves, direcciones de correo, estados de cuenta, balances, datos confidenciales etc.


TÉCNICAS SEDUCTIVAS E INADVERTIDAS DE LA INGENIERÍA SOCIAL

·        AUTORIDAD.  El delincuente pretende hacerse pasar por un alto ejecutivo o por cualquier persona que este por encima de la victima, usa una postura firme y dominantes, con tonos de voz intimidantes o amenazantes, también puede recurrir a simular urgencia o necesidad.

·        CARISMA.  Los tramposos y los impostores siempre son personas agradables, zalameras, en extremo condescendientes, aparentan ser buenos conversadores y muestran interés por temas comunes.

·        RECIPROCIDAD.  Las dadivas y ayudas siempre son bien recibidas, por eso se ganan la confianza rápidamente, pues la promesa de recibir algo a cambio hace que las personas actúen ingenuamente y divulguen información.

·        CONSISTENCIA.  El contacto permanente con la victima hace que esta se identifique con su nuevo “amigo” y se sienta en un ambiente familiar con el atacante.

·        VALIDACIÓN SOCIAL.  El agresor podrá tomar dos posiciones, una es la de necesitado, aquel que no sabe nada y todo le cuesta trabajo pero que es buena gente y colaborador.  La otra postura es la del “bacán” el que trata a todos por igual y su seguridad llama la atención de los que están segregados y quieren ser tomados en cuenta.

·        INGENIERÍA SOCIAL INVERSA.  El agresor crea una situación en la que se requiera la ayuda e intervención de un experto, para esto utiliza un ataque en tres fases:
1.    Sabotaje.  El agresor crea un problema técnico difícil de solucionar.
2.    Promoción.  El agresor aparece como enviado del cielo, con el conocimiento para solucionar el problema.
3.    Asistencia.  Para solucionar el problema requiere acceso a áreas criticas de la empresa o necesita información confidencial, que va pidiendo inteligentemente sin levantar sospecha.  Una vez terminada su labor todos quedan felices y nadie se entera de que un delincuente estuvo en su empresa y se llevo datos e información confidencial.


COMO DETECTAR AL  “INGENIERO SOCIAL”

Aplique los conocimientos en detección de conducta sospechosa, muéstrese siempre seguro, no tiene que volverse una persona huraña o prevenida, pero si mantenga una posición desconfiada sin demostrarlo, en caso de detectar un agresor aplique los conocimientos de contra observación.

Informe a sus superiores si detecta un posible agresor, el ingeniero social generalmente se interesa por datos poco comunes o confidenciales.  Mucho cuidado con los datos que le piden por teléfono, y aun mas si es alguien que nunca lo ha llamado y esta en un cargo mas importante que el suyo, no se deje intimidar, confirme con quien esta hablando y pídale su nombre y departamento en el cual trabaja.

Cuidado con aquellos que buscan descrestarlo con conocimientos o adulaciones.  Sea cauteloso con correos donde le piden confirmar datos o enviar información sensible.  Las cadenas de e-mail son formas muy comunes de “fishing” NO LAS RESPONDA.

COMO DEFENDERSE DEL  “INGENIERO SOCIAL”

Detectar a un “Ingeniero Social” requiere de atención, algo de intuición y malicia combinada con las destrezas adquiridas en los entrenamientos de detección de conducta sospecha y observación.
El ingeniero social siempre se muestra muy seguro, luce como un profesional, ha estudiado a las personas y la empresa, de manera que se mueve como si hubiera trabajado allí toda la vida, es un experto en pasar desapercibido y se escabulle fácilmente.  Sus tarjetas de presentación aunque bien elaboradas, siempre tienen datos falsos, las mujeres son mas creíbles y consiguen datos mas fácilmente cuando recurren al teléfono.  Sus objetivos por lo general siempre son las personas mas inseguras, menos agraciadas y que quieren ser aceptadas o populares.  El ingeniero social puede tener socios  que apoyan su actividad, pues saben trabajar en equipo.



ESTRATEGIAS DE DEFENSA

Revise los reportes de violaciones al sistema de control de acceso, ponga atención a las reincidencias y hágales un seguimiento estricto.
Reaccione ante cualquier novedad de intento de robo o copia de información.  Informe y entrene a todo el personal de la empresa sobre las técnicas utilizadas por el “ingeniero social”.
Mantenga una política estricta sobre el manejo de información y haga respetar los protocolos para su manipulación.  Divulgue información sobre el manejo de desechos, sobre todo documentos impresos.  Obligue a todos los empleados a pasar los documentos por la trituradora antes de ser arrojados a la basura.  Haga guardar o borrar los discos duros de los equipos que se den de baja, así como destruir cintas, CD, DVD y cualquier otro medio magnético de almacenamiento de información antes de ser desechado.

Nunca acceda a la intranet de su empresa desde el computador de un particular, café Internet o computador de otra empresa, nunca se sabe si tienen instalado software espía o de captura de claves.



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)