“La seguridad es a menudo, simplemente una ilusión, una ilusión a veces aún peor cuando la credulidad, ingenuidad o ignorancia entran en juego.”(1)

¿Qué es la ingeniería social? Es la  forma de obtener información confidencial o sensible de una organización o persona a través de la manipulación de la gente, utilizando medios electrónicos, sistemas automatizados, telecomunicaciones, etc.

El espionaje industrial, comercial y bancario es una de las áreas que mayor uso hacen de la ingeniería social. La venta y compra de información confidencial, secretos de estado, la obtención de ventajas competitivas,  fraudes y extorsiones generan ganancias millonarias.

Por el lado de las víctimas, algunas organizaciones han puesto en marcha este tipo de pruebas (de forma ética), contratando empresas especializadas en seguridad para comprobar el apego del personal a las políticas y controles definidos; como prueba de confiabilidad para ocupar puestos estratégicos de acuerdo a la operación del negocio; para el cumplimiento regulatorio de algún estándar o legislación; como parte de la difusión y continuidad de planes internos de concientización sobre seguridad.

Los ataques pueden hacerse buscando y obteniendo la información deseada a través de un ataque directo a la victima seleccionada o de forma indirecta, mediante la obtención de la información a través de un medio tecnológico o interés personal alternativo (un “tercero conocido”, como yo le llamaría).

Tipos de ataques.

Varios autores que han escrito sobre la materia coinciden en que existen tres tipos de ataque: 

  •  Engaño tecnológico: Obtención de información a  través del uso de la infraestructura y medios tecnológicos, como correo electrónico, suplantación de servicios y servidores, medios impresos,  etc.  Como ejemplo de este tipo de ataques podemos mencionar el  envío de phising por correo electrónico con ligas a páginas Web apócrifas o con código malicioso listo para su ejecución y daño.
  • Engaño a la persona: La víctima es inducida a permitir acciones o a confiar en la información que el atacante brinda con argumentos validos o demandas, con cierto sentido de responsabilidad o urgencia. Para ello puede utilizarse, por ejemplo, la suplantación de identidad, el engaño telefónico, el abuso de confianza,  la visibilidad del entorno de la víctima, la ignorancia, etc. El contacto personal es el método más difícil para la obtención de información, ya que el atacante deberá tener el conocimiento de su objetivo, la habilidad y conducta adecuada para no despertar sentimientos o sensaciones de incertidumbre y desconfianza en la victima.
  • Engaño sofisticado: Es una combinación de los dos anteriores. Se puede utilizar la tecnología para obtener la información, a través de amigos, compañeros de la víctima, grupos sociales, Web Social, etc. Y después presentar esta información a la víctima, para crear una atmosfera de conocimiento y confianza.

El vector de ataque:

Puede haber una cantidad finita de formas de llevar a cabo un ataque, pero siempre se debe aprovechar la facilidad y la de menor riesgo. Algunas de las más usuales son las siguientes:

  •  Obtención de información en campo.
  • Información en fuentes públicas como nombres de cuentas de correo electrónico publicados en foros de discusión, páginas Web de la víctima con información sobre el organigrama de su empresa, información disponible en el NIC sobre el dominio del portal Web, etc.
  • Información en organigramas a la entrada de edificios y oficinas, tableros personales, pizarrones, salas de juntas, etc.
  • Números telefónicos de servicios, por ejemplo la extensión y nombres del personal de soporte técnico o empresa prestadora de servicios.
  • Publicación del calendario de actividades internas, fechas de cumpleaños publicados, números de extensiones, diagramas, URL de páginas Web, pies de página de portales Web, etc.
  • Información impresa “abandonada” en escritorios, impresoras, botes de basura, post-it.
  • Equipos móviles (teléfonos celulares, PDAs, etc.) que se encuentren accesibles y asequibles.
  • Conocer el reglamento interno, así como las políticas de seguridad implementadas.
  • Llamar telefónicamente a la victima para concertar una cita por  algún desperfecto o cambio en su equipo de trabajo, algún interés en obtener una tarjeta de crédito, etc.

El ingeniero social  vigila las fechas de festividades especiales (calendario de ingeniería social), para saber cuáles son los tiempos y movimientos del personal en su área de trabajo o tiempo libre. Algunos ejemplos: la época de los juegos olímpicos representa la oportunidad para el envío de malware a través de cadenas de correo electrónico. La fecha de un cumpleaños, ya que el festejado tiende a faltar al trabajo ese día o recibir postales electrónicas de felicitación, o  la solicitud de vacaciones del director para tener mejor opción de abordar a su secretaria.

Otra herramienta muy empleada es la publicación de una noticia falsa acerca del artista, deportista o evento de moda, el lanzamiento del iPhone, el secuestro del amigo de un amigo que vive cerca de tu colonia, etc.

Conocer el horario de la víctima ayuda a mejorar las posibilidades de éxito de la ingeniería social,  veamos la siguiente situación de una prueba que realizamos a cierta institución bancaria: llamamos a la 1:55 PM, cinco minutos antes del horario de comida de la víctima,  argumentando que somos del área de soporte técnico y que estamos revisando equipos que no han registrado  sus actualizaciones de antivirus en la consola principal, entre los que está el suyo. Dada la importancia de la revisión le notificamos que estaremos en breve en su lugar de trabajo, ante lo cual el usuario puede hacer dos cosas, irse a comer y dejar su equipo con algún compañero o esperar impaciente la llegada del personal de soporte.

Nuestro atacante muy precavido lleva impreso un supuesto correo electrónico con las autorizaciones del área de seguridad  y TI autorizando las actividades de revisión y mantenimiento al antivirus, menciona al usuario que pronto le llegara la copia del mismo, todo para infundir confianza. El final es ya conocido, el usuario permitió el acceso a su equipo y además el envío desde su correo de evidencias de la supuesta falla, capturas en imagen de la IP y su configuración. Además de que gracias a su actitud de servicio nos condujo hacia otras víctimas, que confiaron en el atacante al ser presentado por la primera víctima como el “chico de soporte”.

  

¿Cómo evitar la ingeniería social?

A continuación una lista de algunas de las mejores prácticas para evitar este tipo de ataques:

  • Deberá contar y documentar una política de seguridad y que sea difundida a todo el personal, manteniendo un control de cumplimiento de la misma.
  • Seguimiento y auditorías sobre la aplicación de las normas. Dado que con el tiempo es factible que se reblandezca la seguridad, es importante asegurar su continuidad mediante la vigilancia constante.
  • Aplicar un plan de difusión y seguimiento a las campañas de concientización en temas de seguridad.
  • Tener un procedimiento de validación de llamadas telefónicas y solicitud de requerimientos.
  • Comunicar a los colaboradores del trabajo la intervención de cualquier personal autorizado  de forma explícita verbal y escrita.
  • No proporcionar información relevante de los compañeros de trabajo, en su defecto canalizar el requerimiento con una persona facultada para proporcionar esta información, además de tomar nota del evento.
  • Destrucción de información sensible. Ciertos documentos, dado su contenido, deben ser destruidos completamente en lugar de ser sólo enviados al cesto de basura.
  • Mantener el escritorio de trabajo libre de documentos con información sensible o confidencial.
  • El personal debe apegarse a los lineamientos de seguridad dentro y fuera de la compañía en el caso de contener equipos móviles con información sensible.
  • No visitar sitios Web y abrir correo electrónico de dudosa procedencia o contenido, desde los equipos provistos por la compañía.
  • Mantener el software de seguridad como antivirus, antispyware y firewall personal actualizado.
  • Visualizar que el monitoreo de las cámaras de video sea efectivo, manteniendo una colocación y orientación estratégica, sobre todo en aquellos equipos o lugares de trabajo de mayor importancia.
  • Verificar que la identidad de todo personal externo o desconocido este siempre visible en las oficinas de trabajo.
  • Verificar que los gafetes de acceso al inmueble sean los adecuados para el personal externo.
  • Orientar al personal en cuanto a la utilización de dispositivos móviles como reproductores de mp3, que no contengan información sensible o confidencial.
  • Verificar el buen funcionamiento de las puertas de acceso al piso de oficinas y verificar que no entre personal sin autorización por escrito y/o acompañado del responsable de la visita.
  • Mantener la vigilancia de entrada al piso de forma permanente verificando y validando el registro en la bitácora de acceso.
  • No platique cerca de desconocidos sobre cosas que proporcionen información relevante personal o de trabajo.
  • Tenga cuidado de que tipo y cuanta información personal pública en su Web Social.
  • No se deje caer en el engaño por no mostrar un poco de ignorancia y aprenda a crear un canal de validación ante cualquier petición de información, ya sea personal o de un amigo o compañero.
  • Como los espías de verdad, tenga contraseñas para ciertas situaciones. Por ejemplo, defina frases o palabras para poder autenticar si la persona al otro lado de la línea de verdad es su esposo, esposa, novia, etc.
  • Infórmese de las medidas de seguridad publicadas por los especialistas. Por ejemplo, en el portal de Isecom se puede consultar un documento sobre las medidas de  seguridad a tomar cuando salimos de vacaciones (http://www.isecom.org/hsm/).

 En resumen, recuerde siempre que, como dijo Bruce Schneier,  “la seguridad no es un producto, es un proceso” y siempre trate de mantener las cosas fáciles y simples. Si el wetware(2) es bueno, la vida es bella.

[email protected]

(1) The Art of Deception , Kevin D. Mitnick, Cap. 1 Security’s Weakest Link. Página 12.

 (2) El término wetware es usado para describir la integración de conceptos de la construcción física conocida como «sistema nervioso central» y la construcción mental conocida como la «mente humana». Wetware es una abstracción de dos partes de un humano vistas desde los conceptos informáticos del hardware y el software. La intrincada interacción entre el ámbito físico y el ámbito mental es observable en muchos ejemplos. La combinación de esos conceptos son expresados en el término wetware. En la jerga de los piratas informáticos, este término generalmente hace referencia a una persona operando una computadora. Es decir, un humano que forma parte de un sistema de computadora.

__________________________________________________________________________________________________

Cualidades del atacante

Los ingenieros sociales deben tener o dominar al menos algunos de los siguientes temas:

Personal

  • Conceptualización y definición de objetivos (conocer el perfil de la victima facilita el trabajo).
  • Facilidad de palabra y persuasión.
  • Infundir confianza.
  • Improvisación.
  • Planeación y precaución (no dejar rastros).
  • Paciencia.
  • Asumir la actitud adecuada ante cada situación
  • Sobrellevar el tema y autocontrol.
  • Saber cómo y dónde buscar la información.

Tecnología

  • Tecnologías de información, aplicaciones y bases de datos.
  • Técnicas de hacking, creación de puertas traseras.
  • Creación de diccionarios para ataques de fuerza bruta, etc.

Características de la víctima.

En la búsqueda de información estas son algunas de las cosas que un atacante busca en la victima:

  •  Actitud de servicio y proactividad.
  • Reconocimiento por su ayuda y trabajo.
  • Experiencia en su área o trabajo.
  • Necesidad de demostrar sus conocimientos y dominio de la información.
  •  “Alma de la fiesta” o amiguero.
  • Resentimiento hacia una persona o la institución en general.
  • Insatisfacción con el cargo o puesto en la institución.
  • Resistencia al cambio.
  • Niveles de tolerancia bajos, no apto para la presión personal influenciada por el medio.
  • Facilidad para inducir una conducta o acción.
  • Falta de capacitación o entrenamiento, entrenamiento insuficiente e inconsistente.
  • Descuido.
  • Relaciones personales.
  • Presentación física.
  • Codicia.
  • Etc.