Vista previa del material en texto
Ingeniería social (seguridad informática) Conceptos: El término ingeniería social hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Esta técnica consiste en obtener información de los usuarios por teléfono, correo electrónico, correo tradicional o contacto directo. Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc. Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El término ingeniería social hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Esta técnica consiste en obtener información de los usuarios por teléfono, correo electrónico, correo tradicional o contacto directo. Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc. Pero, ¿qué es exactamente? En su sentido más amplio, la Ingeniería Social se basa en la manipulación psicológica, es decir, intenta lograr que las demás personas hagan las cosas que uno quiere que hagan. Por ejemplo, podrías manipular a un policía de tránsito para evitar pagar la multa de un vehículo mal estacionado, o adular a tu empleador para obtener un aumento salarial. En el contexto del crimen cibernético, es ampliamente descrita como un método no técnico utilizado por los cibercriminales para obtener información, realizar fraudes u obtener acceso ilegítimo a los equipos de las víctimas. La Ingeniería Social se basa en la interacción humana y está impulsada por personas que usan el engaño con el fin de violar los procedimientos de seguridad que normalmente deberían haber seguido. TIPOS DE ENGAÑOS: Hunting: Son aquellos ataques que buscan obtener información específica del objetivo con la menor exposición directa posible. Con el menor contacto. En la práctica hablamos de ataques de ingeniería social enfocados a obtener X dato (normalmente credenciales de acceso a un servicio o cuenta, activación o desactivación de alguna configuración que puede complicar el objetivo final o como apoyo a un ataque mayor, dirigido y persistente), de forma que el atacante se pone en contacto de alguna manera con la víctima, y la insta a realizar una acción cuyo desenlace es el pretendido inicialmente. Y el mejor ejemplo son las campañas de phishing por email, en el que únicamente se suele tener contacto directo con el cibercriminal una sola vez (el email que te envía haciéndose pasar por una entidad o conocido, habitualmente para que insertes tus datos en una supuesta web legítima). Farming: Pues justo lo contrario. En el hunting lo que se busca es una exposición mínima. Obtener algo y desaparecer. Con el farming el objetivo es mantener el engaño el mayor tiempo posible, para exprimir al máximo el conocimiento, recursos o posición de la víctima. Para ello, se suele recurrir a granjas de identidades, que por lo general han sido robadas con anterioridad. En julio de 2001, varios servidores ISP de Irlanda fueron atacados mediante pharming, y no se resolvió hasta pasados más de 5 días. Muchas empresas irlandesas se vieron afectadas. El joven alicantino menor de edad que respondía al nick DragonKing fue detenido año y medio más tarde Phishing: Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en correos electrónicos, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros correos electrónicos maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima? La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. Vishing: consiste en realizar llamadas telefónicas encubiertas bajo encuestas con las que también se podría sacar información personal de forma que la víctima no sospeche. Por este motivo debemos tener cuidado y no proporcionar información personal aunque se trate de nuestra compañía de móvil, electricidad o agua (entre otras), ya que podría ser un hacker que haya elegido casualmente la nuestra. Baiting: En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.). Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalará y permitirá que el hacker obtenga todos los datos personales del usuario. 4 Principios Basicos. La ingeniería social se basa en cuatro principios básicos que aprovechan la confianza de los usuarios para realizar acciones que no desean. Son los siguientes: · Todos queremos ayudar. El ejemplo más sencillo serían los correos de cadena, en los que se animaba a donar dinero para salvar a un niño enfermo o similares, que ahora también se propaga por las redes sociales más que por correo electrónico. · El primer movimiento es siempre de confianza hacia el otro, aunque es cierto que la gente suele desconfiar más en Internet. Para ello, se cambian los remitentes para que resulten de confianza para los usuarios, como un paquete para recoger en correos, una notificación para ver el estado de la declaración de hacienda, etc. · No nos gusta decir No, de manera que, en lugar de no ejecutar la aplicación que nos va a mostrar cómo está nuestra devolución de la renta, por ejemplo, acabamos por hacerlo, poniendo en riesgo la seguridad de los sistemas informáticos de nuestra empresa u hogar. · A todos nos gusta que nos alaben, que nos regalen los oídos y adulen, lo que al final logra crear simpatía entre el atacante y el usuario, que acabará por hacer lo que no debe o revelar información que debería ser confidencial. ¿Cuáles son los 6 principios básicos de la ingeniería social? Como toda materia, tiene algunos elementos básicos con los que un criminal juega para ganarse el respeto o confianza suficiente y engañar a la víctima. Reciprocidad: Los humanos somos por naturaleza recíprocoscon nuestros actos. Si alguien nos ofrece algo, tendemos a ofrecerle también algo nosotros. Si alguien nos trata mal, estaremos más susceptibles a pagarle con la misma moneda. Un “instinto” social muy arraigado en nuestra naturaleza, y por ende, fácilmente manipulable. La próxima vez que alguien le ofrezca un trabajo de ensueño desde su casa en el que solo tiene que meter dinero de una cuenta a otra y se queda un % por cada transacción, desconfíe. Si es tan sencillo de hacer, ¿por qué no lo hacen ellos? Urgencia: Un clásico entre los clásicos. ¡Aproveche esta oferta! ¡Hasta fin de existencias! ¡Durante los próximos cinco minutos…! Es uno de los mantras habituales de las ventas, en este caso extrapolado al cibercrimen. La mayoría de los ataques de ingeniería social, sobre todo los de hunting, enganchan a las víctimas por medio de la urgencia. Comparte ahora mismo este artículo entre todos tus contactos de Facebook y ganaras 100 de oro para gastar en esta aplicación… ¿seguimos? Consistencia: Somos animales de costumbres. Si hemos dado nuestra palabra (y la acción no nos va a ocasionar un grave trastorno), tendemos más a cumplir que a no hacerlo. El caso de ingeniería social más habitual utilizando este principio es aquel en el que un miembro del equipo técnico de un servicio (o de una empresa) le pide que realice X labores habituales. Aunque una de ellas sea “extraña”, como ya se ha comprometido la acabará haciendo junto al resto. Y el criminal ya tendrá seguramente acceso a los servicios de la compañía en su nombre. Confianza: Nuestras escasas defensas bajan cuando nuestro interlocutor nos cae bien o está alineado con nuestros intereses. Por no hablar de nuevo de la novia rusa, no es raro que altos directivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno, corporaciones, política, militar,…) sean “seducidos” por supuestos perfiles semejantes (no tienen porqué ser del sexo opuesto, aunque tiende a ayudar) que se ganan su confianza lo suficiente como para que tengan un descuido y puedan aprovecharse de él. A continuación es cuando esa chica morena, ejecutiva de cuentas de X institución, se transforma en un maromo del este que le extorsiona con desvelar contenido inapropiado enviado la noche anterior sino cumple al milímetro sus exigencias. Autoridad: Si el becario le pide las credenciales de acceso de un servicio, seguramente lo mire con desconfianza. Pero si quien lo hace es el jefe, la cosa cambia. La usurpación de identidad juega un papel decisivo, bien sea real (robo del perfil digital del jefe) o aparentada (clonado de perfiles o emails muy parecidos). Validación social: Como seres sociales que somos, buscamos la aprobación del colectivo. Por tanto, si en un email alguien nos pide específicamente que hagamos algo raro, es posible que nos lo pensemos. Pero si en esa misma conversación hay varios conocidos más (por ejemplo trabajadores de la misma compañía), y ninguno se niega, entenderemos que no hay ningún problema y acataremos las normas, vengan de quien vengan. ¿Cómo podemos defendernos de la ingeniería social? La pregunta del millón. Y la respuesta es que no hay un método infalible. Cualquiera, absolutamente cualquiera, es susceptible de caer en un ataque de ingeniería social. Si el ataque es lo suficientemente meticuloso, lo suficientemente sofisticado, cualquier persona va a caer. Ahora bien, afortunadamente la mayoría de ataques son toscos, impersonales y masivos, utilizar el sentido común nos puede salvar de caer en un engaño. La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas. Completando las buenas prácticas destinadas a concienciar y formar al personal en materia de seguridad, existen algunas medidas específicas para minimizar este tipo de ataques de ingeniería social: · No abrir correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente. · No contestar en ningún caso a los mensajes sospechosos. · Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en Whatsapp o redes sociales, aunque sean de contactos conocidos. · Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos. · Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo. · Verificar la seguridad de las páginas web donde introducimos datos personales. Deben utilizar certificado de seguridad y utilizar el protocolo HTTPS. · Verificar la seguridad de las redes wifi públicas a las que nos conectamos. En caso de dudas, no compartir información confidencial ni introducir credenciales de usuario o contraseñas que puedan ser robados. · Escribir las URL manualmente, en vez de usar los enlaces de los mensajes sospechosos. image1.jpeg
Más contenidos de este tema
Evolução da Engenharia Civil- Evolução da Tecnologia e Engenharia Industrial
- Impacto da Tecnologia na Sociedade
- HISTORIA_Y_EVOLUCION_DE_LA_INGENIERIA
- Exercícios de Programação
- Gestão de Calificaciones
- Introdução a Bases de Dados
- Seguridad Informática: Ingeniería Social
- ESCUELA_DE_INGENIERIA_Ingenieria_Ejecuci
- 5o_Ingenieria_Informatica
- Fundamentos de Matemática: Lógica Simbólica
- PEP-mayo-2017-Nueva-VersioiIÔén
