¿Qué es la Ingeniería Social?
Por Lic. Cristian Borghello, CISSP
La Ingeniería Social sigue siendo el método de propagación más utilizado por los creadores de malware a través del correo electrónico, principalmente, para engañar a los usuarios con falsos mensajes.
Los seres humanos con frecuencia solemos pecar de vanidosos. La vanidad es la que no nos permite ver lo sencillo que puede resultar engañarnos. La vanidad no nos permite ver lo obvio: nosotros sabemos algo que por algún motivo puede ser útil para alguien más.
La vanidad está relacionada con la Seguridad Informática ya que es harto conocido el dicho “que una computadora apagada es un computadora segura”, y si la computadora está apagada adivine quien es el objetivo: nosotros. No hay un sólo sistema en el mundo que no dependa de un ser humano, lo cual es una vulnerabilidad independiente de la plataforma tecnológica.
En palabras de Kevin Mitnick, uno de los crackers más famosos del mundo por conocidas estafas utilizando Ingeniería Social como principal arma y actual dueño de una consultora de seguridad que lleva el nombre de Mitnick Security: "Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más. Tienen todo en sus manos".
Dejando el parafraseo de lado es hora de entrar de lleno en el tema de hoy: la Ingeniería Social. Dícese de una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema. Es el arte de conseguir lo que nos interese de un tercero por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos. Las acciones realizadas suelen aprovecharse de engaños, tretas y artimañas para lograr que un usuario autorizado revele información que, de alguna forma, compromete al sistema.
Las personas padecemos las mismas debilidades dentro y fuera de la red, y las técnicas conocidas sólo deben ser adaptadas al nuevo medio deseado. Las cualidades que pueden ser utilizadas son propias de la persona, como sus relaciones personales, inocencia, credibilidad, curiosidad, ambición, conocimiento, etc. Parece poco creíble que preguntando a una persona por la información en la que estamos interesados, obtengamos lo que nosotros deseamos; sin embargo esta habilidad es desarrollada y utilizada por personas corrientes, hackers, ladrones, timadores y estafadores para lograr que otra persona ejecute una acción que generalmente repercute en un beneficio para el "atacante".
Este arte puede ser utilizado en todos los niveles, desde un vendedor averiguando necesidades de sus compradores para ofrecerle un servicio más personalizado (éticamente correcto), llamar a alguien a su casa para averiguar si se encuentra y hasta engañar a un usuario para que revele su contraseña de acceso a un sistema (algo éticamente cuestionable).
El arma infalible: la Ingeniería Social I
El arma infalible: la Ingeniería Social II
El arma infalible: la Ingeniería Social III
El arma infalible: la Ingeniería Social IV
Ver video explicativo
La Ingeniería Social sigue siendo el método de propagación más utilizado por los creadores de malware a través del correo electrónico, principalmente, para engañar a los usuarios con falsos mensajes.
Los seres humanos con frecuencia solemos pecar de vanidosos. La vanidad es la que no nos permite ver lo sencillo que puede resultar engañarnos. La vanidad no nos permite ver lo obvio: nosotros sabemos algo que por algún motivo puede ser útil para alguien más.
La vanidad está relacionada con la Seguridad Informática ya que es harto conocido el dicho “que una computadora apagada es un computadora segura”, y si la computadora está apagada adivine quien es el objetivo: nosotros. No hay un sólo sistema en el mundo que no dependa de un ser humano, lo cual es una vulnerabilidad independiente de la plataforma tecnológica.
En palabras de Kevin Mitnick, uno de los crackers más famosos del mundo por conocidas estafas utilizando Ingeniería Social como principal arma y actual dueño de una consultora de seguridad que lleva el nombre de Mitnick Security: "Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más. Tienen todo en sus manos".
Dejando el parafraseo de lado es hora de entrar de lleno en el tema de hoy: la Ingeniería Social. Dícese de una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema. Es el arte de conseguir lo que nos interese de un tercero por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos. Las acciones realizadas suelen aprovecharse de engaños, tretas y artimañas para lograr que un usuario autorizado revele información que, de alguna forma, compromete al sistema.
Las personas padecemos las mismas debilidades dentro y fuera de la red, y las técnicas conocidas sólo deben ser adaptadas al nuevo medio deseado. Las cualidades que pueden ser utilizadas son propias de la persona, como sus relaciones personales, inocencia, credibilidad, curiosidad, ambición, conocimiento, etc. Parece poco creíble que preguntando a una persona por la información en la que estamos interesados, obtengamos lo que nosotros deseamos; sin embargo esta habilidad es desarrollada y utilizada por personas corrientes, hackers, ladrones, timadores y estafadores para lograr que otra persona ejecute una acción que generalmente repercute en un beneficio para el "atacante".
Este arte puede ser utilizado en todos los niveles, desde un vendedor averiguando necesidades de sus compradores para ofrecerle un servicio más personalizado (éticamente correcto), llamar a alguien a su casa para averiguar si se encuentra y hasta engañar a un usuario para que revele su contraseña de acceso a un sistema (algo éticamente cuestionable).
El arma infalible: la Ingeniería Social I
El arma infalible: la Ingeniería Social II
El arma infalible: la Ingeniería Social III
El arma infalible: la Ingeniería Social IV
Ver video explicativo
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!