Ingeniería Social
Ingenieria Social
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales (mejor conocidos como hackers, aunque el termino correcto es cracker) para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la practica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, pretendiendo, por ejemplo, ser un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía la Internet o la web se usa, adicionalmente, el envío de solicitudes de renovar permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas". llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "intimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros e-mails maliciosos llevaron a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales.
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.
Kevin Mitnick es uno de los hackers y phreakers más famosos de los Estados Unidos. Su nick o apodo fue Condor. Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunos de los ordenadores más seguros de Estados Unidos. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electrónicos.
El caso de Kevin Mitnick (su último encarcelamiento) alcanzó una gran popularidad entre los medios estadounidenses por la lentitud del proceso (hasta la celebración del juicio pasaron más de dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su supuesta peligrosidad).
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía Mitnick Security (anteriormente llamada Defensive Thinking).
La vida de Kevin Mitnick y, en especial, la persecución que condujo a su captura en 1995 han dado lugar a multitud de libros y otro material de ficción. De entre todos, destaca la novela Takedown, que relata su último arresto. Y de la cuál han sacado una película con el mismo título, Takedown, en el año 2000.
"Takedown"
Kevin David Mitnick es uno de los piratas informático más famosos (el mejor de la historia, según muchos) de los Estados Unidos. Su último arresto se produjo en el 1995, tras ser acusado de entrar en algunos de los ordenadores más "seguros" de EE.UU. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electrónicos.
El caso de Kevin Mitnick alcanzó una gran popularidad entre los medios americanos por la lentitud del proceso y las estrictas condiciones de encarcelamiento a las que estaba sometido.
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía.
La vida de Kevin Mitnick y, en especial, la persecución que condujo a su captura en 1995 han dado lugar a multitud de libros y otro material de ficción. De entre todos, destaca la novela “Takedown”, que relata su último arresto y de la cuál han sacado esta película.
Otra novela algo menos conocida es The Fugitive Game, escrita por Jonathan Littman. En ella también se narran los hechos acontecidos los últimos años antes de su arresto, aunque desde una perspectiva más intimista y no tan enfocada al autobombo por parte de los captores como la anterior.
Uno de los miembros del equipo que contribuyó al arresto de Mitnick fue Tsutomu Shimomura, experto en seguridad informática e hijo del profesor Osamu Shimomura, uno de los tres ganadores del Premio Nobel de Química 2008.
Kevin Mitnick se dedica a la consultoría desde la óptica particular de la ingeniería social, considera que más allá de las técnicas de hardware y software que se pueden implementar en las redes, el factor determinante de la seguridad de las mismas es la capacidad de los usuarios de interpretar correctamente las políticas de seguridad y hacerlas cumplir.
El 27 de mayo de 2005 relatò en Buenos Aires (Argentina) en una de sus conferencias, el modo a través del cual pudo acceder fácilmente al código de un teléfono móvil en desarrollo, incluso antes de su anuncio en el mercado, con sólo seis llamadas telefónicas y en escasos minutos.
Conferencia de Kevin Mitnitck desde Corferias - Campus Party Bogotá 2009.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la practica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, pretendiendo, por ejemplo, ser un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía la Internet o la web se usa, adicionalmente, el envío de solicitudes de renovar permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas". llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "intimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros e-mails maliciosos llevaron a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales.
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.
Kevin Mitnick es uno de los hackers y phreakers más famosos de los Estados Unidos. Su nick o apodo fue Condor. Su último arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunos de los ordenadores más seguros de Estados Unidos. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electrónicos.
El caso de Kevin Mitnick (su último encarcelamiento) alcanzó una gran popularidad entre los medios estadounidenses por la lentitud del proceso (hasta la celebración del juicio pasaron más de dos años), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisló del resto de los presos y se le prohibió realizar llamadas telefónicas durante un tiempo por su supuesta peligrosidad).
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía Mitnick Security (anteriormente llamada Defensive Thinking).
La vida de Kevin Mitnick y, en especial, la persecución que condujo a su captura en 1995 han dado lugar a multitud de libros y otro material de ficción. De entre todos, destaca la novela Takedown, que relata su último arresto. Y de la cuál han sacado una película con el mismo título, Takedown, en el año 2000.
"Takedown"
Kevin David Mitnick es uno de los piratas informático más famosos (el mejor de la historia, según muchos) de los Estados Unidos. Su último arresto se produjo en el 1995, tras ser acusado de entrar en algunos de los ordenadores más "seguros" de EE.UU. Ya había sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electrónicos.
El caso de Kevin Mitnick alcanzó una gran popularidad entre los medios americanos por la lentitud del proceso y las estrictas condiciones de encarcelamiento a las que estaba sometido.
Tras su puesta en libertad en 2002, Kevin Mitnick se dedica a la consultoría y el asesoramiento en materia de seguridad, a través de su compañía.
La vida de Kevin Mitnick y, en especial, la persecución que condujo a su captura en 1995 han dado lugar a multitud de libros y otro material de ficción. De entre todos, destaca la novela “Takedown”, que relata su último arresto y de la cuál han sacado esta película.
Otra novela algo menos conocida es The Fugitive Game, escrita por Jonathan Littman. En ella también se narran los hechos acontecidos los últimos años antes de su arresto, aunque desde una perspectiva más intimista y no tan enfocada al autobombo por parte de los captores como la anterior.
Uno de los miembros del equipo que contribuyó al arresto de Mitnick fue Tsutomu Shimomura, experto en seguridad informática e hijo del profesor Osamu Shimomura, uno de los tres ganadores del Premio Nobel de Química 2008.
Foto:Kevin Mitnick
Kevin Mitnick se dedica a la consultoría desde la óptica particular de la ingeniería social, considera que más allá de las técnicas de hardware y software que se pueden implementar en las redes, el factor determinante de la seguridad de las mismas es la capacidad de los usuarios de interpretar correctamente las políticas de seguridad y hacerlas cumplir.
El 27 de mayo de 2005 relatò en Buenos Aires (Argentina) en una de sus conferencias, el modo a través del cual pudo acceder fácilmente al código de un teléfono móvil en desarrollo, incluso antes de su anuncio en el mercado, con sólo seis llamadas telefónicas y en escasos minutos.
Conferencia de Kevin Mitnitck desde Corferias - Campus Party Bogotá 2009.
Comentarios
Publicar un comentario