(8) Ingeniería social

Vista previa del material en texto

Ingeniería social
Índice
3
3
4
8
10
1 | Concepto
1.1 | Introducción
1.2 | Fases de la ingeniería social
2 | Phishing
3 | Pruebas
Ingeniería social | TELEFÓNICA // 3
Es el conjunto de métodos y técnicas que se pueden aplicar a un 
ser humano para obtener información que permitan a uno o varios 
atacantes obtener acceso a la totalidad o parte de la información 
necesaria para vulnerar sistemas informáticos o físicos de acceso.
La ingeniería social1 en muchos casos es utilizada para obtener de 
manera directa el acceso a cuentas clave de sistemas de información, 
comunicación o cuentas de redes sociales que permitan acceder 
a otra información más pertinente. Esta hace uso de elementos 
psicológicos y emocionales de los individuos para sacar provecho 
de las situaciones personales, haciendo de cada ataque en sí mismo 
una operación personalizada y especializada. Requiere esfuerzos 
adicionales y habilidades de interacción social lo suficientemente 
buenas para conseguir la confianza de la víctima.
No es necesario carecer de conocimientos técnicos en informática 
o seguridad para poder ser víctima de ataques de ingeniería social, 
lo único que se necesita es el momento adecuado y la información 
correcta para romper nuestras defensas y caer en las garras de un 
habilidoso maestro del engaño.
La ingeniería social echa mano de las destrezas para crear confianza, 
de información relevante que se conozca de la persona para este 
cometido o de situaciones difíciles que esté pasando en ese momento 
para encontrar una ventana para ejecutar un ataque asertivo.
Kevin Mitnick es uno de los Hackers más conocidos del mundo y 
un habilidoso ingeniero social que ha escrito varios libros acerca del 
tema, convirtiéndose en una figura de relevancia en el mundo de la 
ciberseguridad. Para Mitnick la ingeniería social se basa en cuatro 
principios de la naturaleza humana:
1. A nadie le gusta decir que no.
2. A la mayoría de las personas les gusta ayudar.
3. A las personas les gusta que les alaben.
4. Crear confianza es el primer paso.
Para seguir estos cuatro principios es necesario haber realizado un 
reconocimiento de la víctima, haber determinado datos personales y 
puntuales para poder abordarle. No es posible acceder a la confianza 
sin haber desarrollado un sentimiento de empatía primero, y no es 
posible acceder a esa necesidad de decir si y ayudar cuando no se 
tiene confianza y no se ha establecido una conexión previa.
Cuando las personas en redes sociales hablan más de lo que 
deben acerca de sus vidas privadas o laborales ponen en riesgo 
sus actividades, a sus seres amados y a ellos mismos ya que debe 
asumirse que cualquier atacante puede estar escuchando en las 
sombras y esperando el momento adecuado para saltar como una 
araña hacia su presa.
1. Concepto
1.1 | Introducción
1 http://www.social-engineer.org/framework/information-gathering/
http://www.social-engineer.org/framework/information-gathering/
Ingeniería social | TELEFÓNICA // 4
Los ataques de ingeniería social o de capa 8 (según el modelo 
OSI) tienen una serie de etapas que deben recorrerse de manera 
efectiva para alcanzar un resultado exitoso. Existen como en todos 
los campos del conocimiento humano personas que tienen una 
capacidad innata para desarrollar actividades sin una estructura 
lógica u obviando pasos, lo que en muchas áreas del conocimiento 
se conoce como un natural, una persona que tiene facilidad. Pero 
para aquellos mortales que no tienen la capacidad de engañar de 
forma natural a otro ser humano o que la tienen, pero aún no la 
descubren, existen fases bien definidas para aprender a realizar 
ataques de ingeniería social.
Se dice que el mayor de todos los talentos es el talento del esfuerzo 
y la dedicación, ya que sin importar cuanto talento se tenga si no 
existe disciplina y práctica al final la persona talentosa termina siendo 
superada por la persona dedicada. Es por esta razón que existe el 
estudio de las técnicas y métodos de las intrusiones informáticas 
como la ingeniería social.
Es importante conocer cómo se desarrolla etapa por etapa un ataque 
de esta clase para poder entenderlos a profundidad y reforzar 
nuestras defensas de la manera más oportuna. Si partimos del 
principio de que nunca se obtiene fortaleza si nunca se es atacado y 
que aquellos que sobreviven a ambientes enteramente hostiles son 
los más aptos para la supervivencia deberemos entonces inferir que 
para prevenir ataques de este o cualquier otro tipo debemos primero 
pasar una fase de atacarnos a nosotros mismos para comprender 
nuestras propias vulnerabilidades.
”Si conoces a los demás y te conoces a ti mismo, ni en cien batallas 
correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, 
perderás una batalla y ganarás otra; si no conoces a los demás ni te 
conoces a ti mismo, correrás peligro en cada batalla” Capítulo 3: El arte 
de la guerra Sun Tzu.
Ya que está claro porque es importante conocer las distintas etapas 
de un ataque de ingeniería social vamos sin más rodeos a analizarlas:
1. Reconocimiento
2. Contacto
3. Explotación
4. Intrusión
Estas fases pueden variar agregando pasos intermedios, pero no 
variar su secuencia de orden lógico.
1.2 | Fases de la ingeniería social
Ingeniería social | TELEFÓNICA // 5
La etapa de reconocimiento es una recolección de información 
acerca del objetivo. Esta es una etapa que puede replicarse hasta 
en operaciones de seguridad nacional y militares. Es importante 
conocer al objetivo para realizar de forma correcta un ataque 
lo suficientemente personalizado para saber con exactitud 
donde golpear. Los ataques de ingeniería social son quirúrgicos y 
especializados.
Las personas revelan gigabytes de información personal, laboral y 
rutinaria por propia voluntad en redes sociales y la mayoría ni siquiera 
se preocupa por establecer las mínimas políticas de seguridad en las 
mismas para evitar ser vulnerados. Toda esta información permite a 
un eventual atacante satisfacer a cabalidad esta primera etapa del 
ataque.
El contacto con el objetivo se puede realizar mediante cualquier 
medio de comunicación, desde teléfono hasta correo electrónico, 
aunque también se han dado casos en los que se realiza un contacto 
en persona para establecer un grado superior de confianza con el 
objetivo; sin embargo, en la mayoría de los casos este es el escenario 
más raro ya que los usuarios tienen la tendencia de reaccionar 
adecuadamente a los ataques impersonales.
Desde correos electrónicos de cadena hasta llamadas telefónicas 
inesperadas para acceder a nuestra información privada, nombres 
de usuario y contraseñas. Todos estos son posibles factores de 
riesgo que existen y están latentes para hacernos vulnerables a un 
ataque de ingeniería social.
La explotación es cuando entran en juego elementos psicológicos, 
físicos y del entorno. Es cuando el atacante hace gala de sus mejores 
capacidades en el arte del engaño para echar mano de toda esa 
información que ha recopilado en la primera fase. Crear la confianza 
con el objetivo es primordial, así como lograr derrotar las defensas 
que pueda tener para manipular su comportamiento y hacer que 
quiera hasta una recompensa por vulnerar información sensible.
La intrusión se da una vez que el atacante obtiene datos de acceso 
provistos por el usuario que ha sido vulnerado. Es importante 
recordar que a partir de este punto se pueden dar una serie de 
caminos distintos que nos lleven hacia otros ataques informáticos 
distintos y sus correspondientes fases. Una vez que el atacante tiene 
acceso a los sistemas privados del objetivo puede hacer con estos 
lo que tenga en gusto, pero el peor de los escenarios es cuando está 
ahí y ahí se queda sin ser percibido, como una sombra, como una 
pequeña anomalía casi imperceptible solo… esperando.
Ingeniería social | TELEFÓNICA // 6
Ataques mixtos
El mundo cambia, las tecnologías cambian, los usuarios cambian. 
Es un ambiente de cambio constante y esto hace quelos atacantes 
constantemente vayan desarrollando métodos más complejos, 
elaborados y precisos para vulnerar los sistemas de seguridad de 
las empresas y las personas. Así como los mercados y los atacantes 
evolucionan lo hacen también los usuarios que de una u otra manera 
se vuelven más maliciosos cada día, haciéndose victimas más 
difíciles para los típicos ataques de antaño.
Sin embargo, esto no hace que sea imposible ser vulnerado, todo lo 
contrario. Hace que sea aún más peligroso ese mundo difuso que 
es el internet. Cada vez se realizan más transacciones en línea y 
se expone más información personal a la red, lo que hace cada vez 
más difícil tener en consideración todas las estrategias que hay que 
tener para llevar a cabo una protección efectiva contra las amenazas 
virtuales que se van desarrollando conforme pasa el tiempo.
Los correos de “phishing” ya no son raros y mal traducidos, ahora 
usan mascaras para que la dirección de correo electrónico se 
visualice como una conocida o de confianza, los sitios maliciosos 
utilizan protocolos de seguridad como “https” y hasta se clonen 
sitios de confianza con diferencias mínimas en sus direcciones “URL” 
para hacerse transparentes a la buena fe del usuario.
Hoy en día los atacantes utilizan estrategias mixtas usando ingeniería 
social de la mano de otras técnicas de intrusión como el “phishing“ 
o el “spear phishing“ donde se usa información confidencial parcial 
del usuario para ganarse su confianza. Esto hace que la combinación 
de estrategias de vulneración haga de la vida de los usuarios una 
pesadilla virtual y de los desarrolladores de software un infierno 
abstracto donde se debe balancear la seguridad con la usabilidad.
Es necesario cambiar, volverse más estrictos, más informados 
y por sobre todo más interesados e involucrados en temas de 
ciberseguridad para sobrevivir a este entorno hostil que empeora 
según evoluciona la tecnología. Tanto como usuarios como aquellos 
que desarrollamos tecnologías de la información para hacer más 
intuitivo y seguro el manejo para los usuarios finales.
Ingeniería social | TELEFÓNICA // 7
Defensa contra las artes oscuras
Debemos saber qué hacer para defendernos aun cuando los 
desarrolladores no alcancen a evolucionar las aplicaciones o 
servicios web a la velocidad que todos quisiéramos. Es por un lado 
necesario conocer cómo podemos ser atacados y cómo piensan los 
enemigos y por otro lado saber que debemos hacer.
Lo primero que debemos hacer es establecer políticas de seguridad 
para la vida digital y física:
1. Controlar las políticas de privacidad de las cuentas de correo 
electrónico. Entender estas políticas y aplicarlas a cabalidad.
2. Entender conscientemente cómo funcionan las redes sociales 
y cuáles son sus políticas de privacidad y aplicarlas a cabalidad.
3. Desarrollar políticas de seguridad propias como, por ejemplo: 
jamás se dan contraseñas por teléfono, correo electrónico ni 
personal. Simplemente no se dan. Las contraseñas son como la 
ropa interior sencillamente no se prestan, a nadie, nunca, bajo 
ninguna circunstancia. Lo mismo para el pin de la cuenta bancaría.
4. Preguntar el nombre del funcionario que llama para pedir datos, 
sea del servicio que sea, solicitar que se le vuelva a llamar 
luego de verificar la autenticidad del mismo, antes de brindar 
cualquier dato personal.
5. Utilizar un antivirus y escanear el equipo diariamente.
6. Actualizar el sistema operativo de nuestros dispositivos móviles 
o físicos cada vez que sea oportuno o posible.
7. Actualizar todo nuestro software cada vez que se libere una 
actualización, tanto de dispositivos móviles como de escritorio.
8. Instalar software solamente de fuentes de confianza, verificar 
estas fuentes antes de considerarla de confianza.
9. No usar piratería, si no le gusta pagar por Windows aprenda a 
usar Linux o adquiera un equipo que incluya una licencia OEM 
de Microsoft Windows. Pero jamás acceda a usar piratería.
10. Use su sentido común siempre, si le parece raro lo más probable 
es que sea raro hágale caso a su séptimo sentido.
11. Cambie sus contraseñas cada tanto y use contraseñas seguras, 
letras mayúsculas, minúsculas, caracteres especiales y 
números.
12. Use contraseñas diferentes para cada cuenta de correo o red 
social que tenga
13. Use software de protección anti robos en sus dispositivos 
móviles.
14. Acepte que usted es un blanco más, aprenda e ilústrese en el 
tema, es una necesidad inevitable, así como usar cerradura 
para su automóvil y casa.
15. Cree sus propias políticas de seguridad constantemente y 
analice los riesgos que puede correr, haga aportes y participe 
en foros de seguridad informática. De esta manera aprenderá y 
enseñará a otros sobre sus experiencias personales.
Es importante aprender cómo defendernos ante las amenazas 
que existen. No se trata de dejar de usar la tecnología porque sea 
compleja o peligroso su uso por las amenazas que existan allá 
afuera. Se trata de volverse un blanco difícil, de dar la pelea.
Ingeniería social | TELEFÓNICA // 8
El phishing principalmente lo que permite es robar la identidad y 
datos personales como el nombre de usuario, claves, número de 
tarjetas, contraseñas, … 
Phishing procede de la palabra inglesa pescar, por lo que el 
ciberdelincuente intentará que el usuario pique y “pescar” todos los 
datos posibles.
Imagen 119 Phishing - Fuente:Wikipedia
La forma de actuar de los ciberdelincuentes es hacerse pasar por 
un banco legítimo, por un servicio de correo válido, … y para ello 
utilizarán todo lo necesario para hacerlo más creíble. Pedirán al 
usuario una serie de datos para poder robarlos, normalmente datos 
sensibles.
Ejemplos son el envío de SMS falsificados con enlaces acortados 
que nos redirigen a web con petición de datos, correos electrónicos 
supuestamente verdaderos de bancos, empresas de servicios, … 
o simplemente a través de una llamada telefónica. Además, otra 
forma es la clonación de webs auténticas por unas webs exactas 
que la original pero que capturan la información y redirigen a la web 
auténtica. A esto último se le llama pharming.
2. Phishing
Ingeniería social | TELEFÓNICA // 9
También existen las típicas cartas nigerianas, pero que han 
evolucionado al mundo cibernético a través de correos electrónicos.
Los ciberdelincuentes se aprovechan a través de extorsiones, timos 
de caridad, estafas emocionales y ofertas de trabajo falsas. Hay que 
estar muy atentos ya que evolucionan rápidamente las distintas 
formas de phishing.
Los 4 métodos principales de phishing que existen son:
• Mensaje SMS: Se envía un SMS solicitando confirmar datos como 
datos bancarios, tarjeta de crédito, correo electrónico, cuenta de 
PayPal, usuario/contraseña, …
• Llamada telefónica: Realizan una llamada telefónica haciéndose 
pasar por un operado de una entidad auténtica, para confirmar 
datos y asó poder obtenerlos rápidamente.
• Correo electrónico: Se envía un mail, muy bien construido (logos, 
colores, tipografía, …), supuestamente de una entidad auténtica. 
En ella suelen solicitar datos o acceder a url que nos redirigen a 
web clones falsificadas donde introducir dichos datos.
• Cartas nigerianas: Se informan de premios, herencias, … que 
nunca llegan a recibir los usuarios.
Imagen 120 Phishing - Esquema básico
SERVIDOR
DELINCUENTE
VÍCTIMA (TÚ)
WWW.TU_BANCO.COM
WWW.TUBANCO.COM
Página web falsificada
Página web verdadera
3 2
4
5
1
http://www.tubanco.com/
Ingeniería social | TELEFÓNICA // 10
Crearemos un ejemplo básico de phishing en el que se procederá a 
clonar un sitio web, idéntico al original, en el que el usuario introducirá 
sus credenciales y se obtendrán estas credenciales.
Para que el usuario introduzca las credenciales se deberá hacer 
llegar de alguna manera el link de la web clonada a través de algún 
método de ingeniería social.
Para ello utilizaremos SET (Social-Engineering Toolkit) que es una 
suite dedicada a la ingeniería social que nos permite automatizar 
diversastareas como el envío de SMS falsos, en el que se puede 
suplantar el número de teléfono que envía el mensaje, a realizar el 
clonado de cualquier sitio web y poner en marcha un servidor donde 
obtener las peticiones del phishing en cuestión de segundos.
El kit de herramientas que componen SET está diseñado para 
realizar ataques avanzados contra el elemento más débil del 
escalón de seguridad que es el humano. SET fue escrito por David 
Kennedy contando con la colaboración de la comunidad con la que 
se incorporaron tipos de ataques nunca antes contemplados en un 
conjunto de este tipo de herramientas de explotación.
Imagen 121 SET - The Social Engineer Toolkit
3. Pruebas
Ingeniería social | TELEFÓNICA // 11
Primeramente, vamos a clonar el sitio web para ello ejecutaremos 
SET con el comando setoolkit. Una vez ejecutado observamos en 
el menú las diferentes opciones, entre las que seleccionaremos 
la opción Social-Engineering Attacks, para empezar el diseño del 
ataque de ingeniería social.
Como hemos comentado, vamos a utilizar un vector de ataque 
mediante la clonación de un sitio web existente, para nuestro 
ejemplo utilizaremos el de una red famosa. Seleccionamos la opción 
Website Attack Vector.
Imagen 122 SET - Vector de ataque
Puede comprobarse que hay otros tipos de vectores de ataques 
como Wireless, Powershell, QR, Payloads, …
Utilizamos el método Credential Harvester Attack Method que utiliza 
la clonación web de un sitio web que tiene un campo de nombre de 
usuario y contraseña y recolecta toda la información publicada en 
ese sitio web clonado.
Imagen 123 SET - Método de ataque
Ingeniería social | TELEFÓNICA // 12
Este no es el único tipo de ataque que podemos utilizar, ya que 
podemos utilizar applets de Java, utilizar los exploits de navegador 
de Metasploit, esperar a que el usuario acceda a otra pestaña, tab, 
para poder realizar las acciones correspondientes, …
SET nos permite seleccionar entre plantillas de sitios web 
predefinidas, importar o clonar un sitio web. Esta última opción es 
mucho más interesante, ya que las plantillas que dispone pueden 
no estar actualizadas, por lo que si se le envía al usuario una versión 
antigua de un sitio web puede que no llegue a interactuar con ella 
por sospechas.
Imagen 124 SET - Clonación Web
Nos pedirá información como la IP de la máquina que recibirá los 
datos introducidos por el usuario, la dirección url de la web a clonar, 
así como nos permitirá activar el servidor web con la web clonada y 
dejar el sistema a la escucha.
Imagen 125 SET - Datos clonación
Imagen 126 SET - Archivos creados
Ingeniería social | TELEFÓNICA // 13
Finalizamos la ejecución de SET y salimos de la aplicación.
Una vez ya tenemos el sitio web clonado con el sistema a la escucha, 
a través de la ingeniería social se ha de hacer llegar el enlace a la 
víctima para que introduzca sus datos y así recolectarlos.
Imagen 127 SET -Web clonada
Al acceder al enlace observamos el clon de Facebook, igual que la 
original. Si se introducen credenciales nos recargará el sitio web 
original como si nos hubiéramos equivocado a la hora de introducir 
algún dato. 
Imagen 128 Web Original
Ingeniería social | TELEFÓNICA // 14
En la máquina atacante, en /var/www/
html se observa el contenido del archivo 
llamado harvester_xxxxx.txt, que contiene 
las credenciales introducidas por la víctima.
Para hacerlo más creíble se podría realizar 
un FakeDNS y realizar un ataque mucho 
más real que en el ejemplo básico anterior. 
Para ello podríamos utilizar algún módulo 
de Metasploit como auxiliary/server/
fakedns. Pero se observa que con un buen 
estudio del usuario y de un plan de ataque 
se pueden conseguir mucha información 
comprometida.
Imagen 129 SET - Credenciales capturadas