¿Qué es la Ingeniería Social?
No es más que la práctica de
obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales
como investigadores privados, criminales, o delincuentes computacionales, para obtener
información, acceso o privilegios en sistemas
de información que les permitan realizar
algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Esta técnica consiste en obtener información de los usuarios por teléfono, correo electrónico, correo tradicional o contacto directo.
Esta implica valerse de cualquier medio para obtener información acerca de una o varias personas, para obtener beneficio o causar daño. No se asocia sólo a las acciones ejecutadas en línea, y se aprovecha de la credulidad de las personas. Los resultados más relevantes se refieren a las distintas formas de aplicar Ingeniería Social que existen y las principales medidas para contrarrestar sus ataques. La conclusión a la que se puede alcanzar, es que la principal defensa contra la Ingeniería Social es educar y entrenar a los usuarios en aplicar políticas de seguridad y asegurarse de que sean seguidas.
Por lo general ,los métodos de
la ingeniería social están organizados de la siguiente manera:
·
Una fase de acercamiento para ganarse la confianza del usuario, haciéndose
pasar por un integrante de la administración, de la compañía o del círculo o un
cliente, proveedor, o de cualquier circulo social, etc.
·
Una fase de alerta, para desestabilizar al usuario y observar la velocidad de
su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una
situación de emergencia;
·
Una distracción, es decir, una frase o una situación que tranquiliza al usuario
y evita que se concentre en el alerta. Ésta podría ser un agradecimiento que indique
que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea
mediante correo electrónico o de una página Web, la redirección a la página Web
de la compañía.
La ingeniería social puede llevarse a cabo a través
de una serie de medios:
- · Por teléfono,
- Por correo electrónico,
- Por correo tradicional,
- Por mensajería instantánea,
- etc.
¿Que tiene que ver
la Ingeniería Social con la Seguridad Informática?
La seguridad
informática tiene por objetivo, el asegurar que los datos que almacenen
nuestros ordenadores se mantengan libres de cualquier problema, y que el
servicio que nuestros sistema se realice con la mayor efectividad y sin caídas.
En este sentido la seguridad informática abarca cosas tan dispares como:
- Los aparatos de aire
acondicionado que mantienen los sistemas en las temperaturas adecuadas
para trabajar sin caídas.
- La calificación del equipo de administradores
que deberá conocer su sistema lo suficiente como para mantenerlo funcionando
correctamente.
- La definición de entornos en los que las
copias de seguridad han de guardarse para ser seguros y como hacer esas
copias.
- El control del acceso físico a los sistemas.
- La elección de un hardware y de un software
que no de problemas.
- La correcta formación de los usuarios
del sistema.
- El desarrollo de planes de contingencia.
Debemos
tener en cuenta que una gran parte de las instrucciones en sistemas
se realizan utilizando datos que se obtienen de sus usuarios mediante
diferentes métodos y con la intervención de personas especialmente entrenadas,
los ingenieros sociales.
Técnicas de Ingeniería Social:
Técnicas Pasivas:
- Observación
- Técnicas no presenciales
- Recuperar la contraseña
- Ingeniería Social y Mail
- IRC u otros chats
- Teléfono
- Carta y fax
Técnicas presenciales no
agresivas:
- Buscando en La basura
- Mirando por encima del hombro
- Seguimiento de personas y vehículos
- Vigilancia de Edificios
- Inducción
- Entrada en Hospitales
- Acreditaciones
- Ingeniería social en situaciones de crisis
- Ingeniería social en aviones y trenes de alta
velocidad
- Agendas y teléfonos móviles
- Desinformación
Métodos agresivos
- Suplantación de personalidad
- Chantaje o extorsión
- Despersonalización
- Presión psicológica
Como
identificar un Ingeniero Social
• Identificar un Ingeniero Social es muy complicado.
No solo porque sabe como evitar ser descubierto, pero más porque
sospechar de alguien de ser un Ingeniero Social es algo muy
delicado porque la persona puede sentirse insultada.
Esto es uno de los mayores problemas en medidas
contra la Ingeniería Social.
• Los Ingenieros Sociales saben esto, para ellos es
muy importante dar a los demás el sentido que estará bastante fuera de lugar
preguntarles por derechos de seguridad, aunque se trata de una cosa
bastante delicada donde esto se debe hacer.
¿Como puede Protegerse?
La mejor manera de protegerse
contra las técnicas de ingeniería social es utilizando el sentido común y no
divulgando información que podría poner en peligro la seguridad de la compañía.
Sin importar el tipo de información solicitada, se aconseja que:
- Averigüe la identidad de la otra persona al
solicitar información precisa (apellido, nombre, compañía, número
telefónico);
- Si es posible, verifique la información
proporcionada;
- Pregúntese qué importancia
tiene la información requerida.
Las
consecuencias de ser víctima en un ataque de ingeniería social pueden variar
dependiendo de dos factores, por una parte el interés del atacante y por otra
nuestro poder o importancia de la información que disponemos y lo útil que
pueda ser para la persona que nos engañe. Generalmente existen dos objetivos,
por una parte contraseñas o información y por otra hay un interés económico
donde se suele intentar robar datos bancarios para posteriormente poder
substraer dinero de las cuentas.
Los atacantes que utilizan la ingeniería social, previamente deben hacer un estudio de sus posibles víctimas recopilando todo tipo de información posible por relevante que parezca, uno de los objetivos para extraer la información es mostrar un ambiente de confianza con la víctima y por ello la gente suele percibir mejor el afecto de una persona cuando ésta puede hacer ver que piensa de forma parecida o incluso que tiene conocimientos sobre su entorno ya sea de gustos, ideologías o profesional.
Por ello una de las medidas que más se aconsejan es saber restringir lo máximo posible la información personal que se expone en internet, sobre todo especial mención a las redes sociales donde la gente suele publicar datos personales que cualquier persona puede consultar simplemente con una búsqueda en Google.
Los atacantes que utilizan la ingeniería social, previamente deben hacer un estudio de sus posibles víctimas recopilando todo tipo de información posible por relevante que parezca, uno de los objetivos para extraer la información es mostrar un ambiente de confianza con la víctima y por ello la gente suele percibir mejor el afecto de una persona cuando ésta puede hacer ver que piensa de forma parecida o incluso que tiene conocimientos sobre su entorno ya sea de gustos, ideologías o profesional.
Por ello una de las medidas que más se aconsejan es saber restringir lo máximo posible la información personal que se expone en internet, sobre todo especial mención a las redes sociales donde la gente suele publicar datos personales que cualquier persona puede consultar simplemente con una búsqueda en Google.
Recomendaciones:
Algunas de las formas más
conocidas que se utilizan actualmente para detectarlas y no ser una víctima
más. Aquí algunos consejos para usuarios domésticos:
- - Mensajes de
aplicaciones recibidas en redes sociales como facebook siempre recibidas
de un contacto conocido.
- - Mensajes de correos
recibidos donde invitan a visitar una página web o descargar algún
programa. Puede recibirse mediante la dirección de un contacto donde se
debe antes preguntar directamente a esa persona si lo ha enviado
voluntariamente.
- - Mensajes de correo
electrónico de entidades bancarias pidiendo datos (ellas nunca pedirán
datos por correo electrónico).
- - Mensajes recibidos
mediante Messenger que inviten a entrar en páginas web o a descargar
archivos, muchos se ven que no son reales porque están en otro idioma.
- - Descarga de programas
al visitar páginas web, muchos son malware. El típico ejemplo son falsos
códec de video.
- - Los falsos antivirus
utilizan principalmente la ingeniería social para estafar dinero a los
usuarios, en éste caso es recomendable utilizar antivirus conocidos y
descargados o comprados desde sus sitios oficiales.
- - Es importante no
aceptar archivos enviados por personas desconocidas, ya que lo que se
envía, aunque pueda por ejemplo aparentar ser una fotografía existen
métodos para ocultar ejecutables que podrían ser troyanos, virus o
programas para robar o controlar el ordenador.
- - Envío de dinero a
contactos conocidos por internet, por ejemplo para pagar viajes de parejas
virtuales. Éste es un método muy utilizado por mujeres de Europa del éste
y conocido como “Scam”.
Anécdota:
"La única forma
de combatir la Ingeniería Social es con la concientización de los
usuarios"
Caso
practico, vía telefónica:
