23 jun. 2014

Ingeniería social: el ataque silencioso

La ingeniería social se logra a través de la manipulación psicológica y de las habilidades sociales con el fin de obtener algún tipo de información sensible o datos útiles sin que la víctima sea consciente de su utilización maliciosa. Se puede realizar de manera directa o indirecta, con el uso de la tecnología o mediante el trato personal. La idea es poder saltarse los sistemas de seguridad a través de la información que otorga directamente el protegido o los administradores de la protección.

Teniendo en cuenta que somos muy vulnerables y nos movemos a través de una serie de impulsos irracionales, el que ejecute esta técnica usará comúnmente el teléfono, el internet, el disfraz u otros métodos para engañar fingiendo ser alguien más. En muchos de los casos que he conocido, la persona suplanta a un trabajador de la empresa o a alguien de servicio técnico, dice Emanuel Abraham, hacker ético de Security Solution & Education.
La persona que practica Ingeniería Social, trata de engañar a la víctima, buscando entrar en confianza o haciéndose pasar por alguien más para obtener lo que necesita.
La ingeniería social no es una técnica cuadriculada. Depende de la malicia del atacante, así como de la que tenga la víctima. Se pueden utilizar infinidad de argucias y mañas para lograr la información que se necesita: desde sobornos a amigos y familiares para que faciliten el acceso a ella, hasta preguntas sueltas en ambientes de esparcimiento, correos electrónicos aparentemente inofensivos que hacen preguntas sencillas y cuyas respuestas interesan a quien solicita la información.

Así, la ingeniería social termina convirtiéndose en el arte del aprovechamiento de las circunstancias intencionales y azarosas, pues apela a las características psicológicas humanas como la curiosidad, el miedo o la confianza, las cuales ocasionan que las personas no reaccionen siempre de la misma manera. Por lo tanto, la efectividad del proceso reside en la manera en que se logra apropiar e interpretar la información recibida, que en muchas ocasiones parece trivial.

La ingeniería social tiene cuatro formas de actuar: la primera consiste en las técnicas pasivas, basadas en la observación y en el análisis de la víctima. Como cada caso es diferente, el éxito está supeditado al contexto en el que la persona se mueve, a través de la observación de este se logra construir un perfil psicológico tentativo que permita un óptimo abordaje. La segunda técnica utilizada es la no presencial, en la cual se recurre a los medios de comunicación como el teléfono o los correos electrónicos para intentar obtener información útil, según sea el caso.

Gracias a los avances tecnológicos y a la apropiación de la tecnología en nuestra vida cotidiana, esta técnica resulta ser la más común y, al mismo tiempo, la más efectiva. En tercer lugar, están las técnicas presenciales no agresivas que incluyen el seguimiento a las personas, la vigilancia de los domicilios y la búsqueda en la basura con el fin de juntar la mayor cantidad de información. Finalmente, están los métodos agresivos que recurren a la suplantación de identidad, la despersonalización y las presiones psicológicas. Según los expertos en seguridad, la combinación de este último grupo de técnicas, junto a la explotación de las tres técnicas mencionadas en el párrafo anterior, puede ser altamente efectiva en el trabajo cara a cara entre víctima y victimario.

Fases de un ataque de ingeniería social

Al realizar un trabajo de ingeniería social artesanal, la primera fase implica un acercamiento para generar confianza con la víctima. Esto se logra por medio de correos, haciéndose pasar por representantes técnicos de algún servicio o incluso mediante una presentación formal en una charla coloquial. En esta última modalidad, es necesario que el victimario se muestre simpático, sin dar a la víctima ningún motivo que la ponga en situación de alerta ante el extraño. En esta etapa, el esfuerzo es fundamental para captar cualquier información valiosa.

Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés o necesidad en la otra persona. Con base en su curiosidad o deseo, el afectado estará predispuesto, consciente o inconscientemente, a brindar información. La idea es observar la reacción del objetivo y actuar en consecuencia. A partir de ahí, se usará la prueba y el error, según sea el caso.

Si bien, los más vulnerables son aquellos que trabajan atendiendo al público, se puede decir que también entran aquellos que son confiados, aquellos que no siguen buenas políticas de seguridad, aquellos que rompen reglas o simplemente las desconocen. Los niños, las empleadas del servicio y las amas de casa son extremadamente vulnerables a la ingeniería social. De igual manera, en el ámbito empresarial, los hombres son fácilmente seducidos por mujeres muy atractivas y viceversa.

Un ejemplo cotidiano, es el caso en el que se hace seguimiento a una familia objetivo para determinar sus costumbres diarias. Así, se investigan aspectos como: los nombres de los integrantes, los horarios y las actividades que realizan. Una vez se tiene suficiente información, el victimario llama a quien permanece en casa y le describe alguna situación en la que alguno de los familiares corre peligro. Posteriormente, le pide que entregue objetos de valor con el fin de poder ayudar. La persona, ingenua, puede llegar a caer en ese ataque de ingeniería social y ser víctima de robos y otros delitos.

Por sus características y porque su principal herramienta es la adaptación a diferentes escenarios y personalidades, la ingeniería social es una de las técnicas más complejas de evitar y puede llegar a ser indetectable o cuestionable, dado que maneja aspectos de psicología que no podrían ser puestos en evidencia. Sin embargo, se puede prevenir concientizando y capacitando a todas las personas que nos rodean. Dentro de la empresa es necesario que desde el CEO hasta el portero sean conscientes de que existe esta práctica y, por esa razón, deben ser muy cuidadosos con la información que suministran. Nosotros recomendamos que se creen y apliquen políticas de seguridad, como ser más inteligente con las contraseñas —y cuidar la forma que se establece para recuperarlas al perderlas—, no anotar contraseñas, accesos ni información sensible en papeles que sean propensos a ser desechados intencional o accidentalmente. Ser cuidadoso en quién se confía y estar alerta a las intenciones que tienen quienes intentan ayudar. No abrir correos de desconocidos y tener cuidado con las ofertas o premios no solicitados, entre otras.

Con el fin de evitar estos ataques, también es importante que las personas sepan qué información es clasificada como sensible, confidencial o pública. Esto permite tener un mayor control de los límites que existen en el momento de compartir datos con otras personas, lo cual evita filtraciones. “Nosotros recomendamos como medida adicional hacer talleres de ingeniería social en donde se realicen controles respecto al tema. Contratar con una empresa consultora de seguridad de la información que haga ingeniería social entre los empleados y determine quiénes han sido víctimas de estas prácticas para mejorar y reforzar su capacitación”, aconseja la ingeniera Jacqueline Tangarife.

Fuente: Enter

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!