Issuu on Google+

¿Robo de información o Ingeniería? Enterémonos de cuál es la diferencia

1


EDITORIAL

Para nuestro comienzo de este proyecto hemos querido internarnos en el tan nombrado, pero a la vez desconocido campo de la Ingeniería Social. AUTORES ING SERMIR SALAZAR ING CARLOS BOLIVAR ING WINSTON AZARA

Aquí plantearemos cómo con la llegada de la tecnología se ha hecho aun más fácil el extraer información a los usuarios o empresas de una manera en que prácticamente la información de claves de acceso y demás datos los suministra el usuario sin percatarse de que lo están timando. Pero igualmente la Ingeniería Social ayuda, dándole un buen uso, a resolver casos policiales o dar soluciones para evitar ser víctimas de hackers que puedan extraer información confidencial de alguna empresa. Esperemos que nuestro aporte por medio de diversos artículos ayude a entender los peligros que se pueden correr al suministrar cualquier tipo de información en los medios informáticos.

LAS IMÁGENES HAN SIDO TOMADAS DE LA RED

Por demás estamos seguros de contar con su apoyo de ahora en adelante y esperemos seguir brindando en esta revista artículos de interés. Lectores nos exponemos a sus comentarios y críticas… Equipo mucho éxito! EL EDITOR.

2


EDITORIAL Página 2

CONTENIDO

INGENIERIA SOCIAL Página 5

INGENIERIA SOCIAL: LA MANIPULACIÓN INTELIGENTE DE LA TENDENCIA NATURAL DE LA GENTE A CONFIAR Página 8

MEDIOS ELECTRONICOS INSEGUROS? Página 10

UN VIEJO TRUCO DE LA INGENIRIA SOCIL Página 13

3


INGENIERÍA SOCIAL… Una frase impactante… Quizás al escucharla por primera vez pienses que es una técnica nueva que te permitirá 4 tener un mejor estilo de vida. Pero en realidad es una práctica que se lleva a cabo para cometer Delitos Informáticos… ¿Qué es? Quienes la practican?, son preguntas que pueden llegar a tu mente,


INGENIERIA SOCIAL Carlos Bolívar Uno de los mas comunes y sencillos métodos

de una implementación y mantenimiento de un

de

sistema.

obtener

información

confidencial

es

mediante de la llamada ingeniería social.

El único medio para entender cómo defenderse contra esta clase de ataques es

Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales para obtener

conocer los conceptos básicos que pueden ser utilizados contra usted o su compañía y que abren brechas para conseguir sus datos. Con este conocimiento es posible adoptar una actitud más saludable que lo alerte sin convertirse en un ser paranoico.

información, acceso o privilegios en sistemas de información que les permitan realizar algún

Un ingeniero social usará comúnmente

acto que perjudique o exponga la persona u

el teléfono o Internet para engañar a la gente

organismo comprometido a riesgo o abusos.

pretendiendo, por ejemplo, ser el empleado de alguna empresa, un compañero de trabajo, un

Básicamente se denomina ingeniería social a todo artilugio, tretas y técnicas más elaboradas a través del engaño de las personas en revelar contraseñas u otra información, más que la obtención de dicha información a través de las debilidades propias

técnico o un cliente. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones. Otro ejemplo es el uso de archivos adjuntos en e-mails ofreciendo por ejemplo, fotos "intimas" de alguna persona famosa o algún programa 5


"gratis" que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros e-mails maliciosos llevaron a los proveedores de software a deshabilitar

la

ejecución

automática

de

archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios

ataque. La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

EXTENSION MARACAY

adjunto recibido, concretando de esta forma el

POLITECNICO SANTIAGO MARIÑO

abren casi ciegamente cualquier archivo

6


7


El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo ordenador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica

Sermir Salazar M. Es una disciplina que consiste, ni

o

delincuentes

computacionales,

más ni menos en sacar información

para obtener información, acceso o

a otra persona sin que ésta se dé

privilegios

en

cuenta de que te está revelando

información

que

"información sensible".

realizar algún acto que perjudique o

Con este curioso término se engloba

una

serie

de

tretas,

artimañas y engaños elaborados

sistemas les

de

permitan

exponga la persona u organismo comprometido a riesgo o abusos. El factor humano es el eslabón

cuyo fin es confundir al usuario o,

más

peor

que

informática. Y no hay un sólo

la

ordenador en el mundo que no

todavía,

comprometa

lograr seriamente

seguridad de sus sistemas. Aprovecha variados

sentimientos

como

curiosidad,

débil

de

la

seguridad

dependa de un ser humano, es una tan

vulnerabilidad

la

independiente

avaricia, el sexo, la compasión o el

universal de

la

e

plataforma

tecnológica.

miedo, de esta forma se consigue el

En la práctica, un ingeniero

objetivo, una acción por parte del

social usará comúnmente el teléfono

usuario.

o Internet para engañar a la gente,

Esta técnica la puede cualquier tipo

de

personas,

y

dar

fingiendo

ser,

por

ejemplo,

un

usos

empleado de algún banco o alguna

beneficiosos o perjudiciales. Entre

otra empresa, un técnico o un

estas personas podemos conseguir

cliente. Vía Internet o la web se usa,

investigadores privados, criminales,

adicionalmente,

el

envío

de 8


solicitudes

de

renovación

de

interesante

título

al

destinatario

permisos de acceso a páginas web

como "es divertido, pruébalo", "mira

o

a Anita desnuda", etc.

memos

falsos

que

solicitan

respuestas e incluso las famosas

- La voz agradable de un hombre

"cadenas", llevando así a revelar

o mujer, que pertenece al soporte

información sensible, o a violar las

técnico de nuestra empresa o de

políticas de seguridad típicas. Con

nuestro proveedor de tecnología,

este método, los ingenieros sociales

que nos requiere telefónicamente de

aprovechan la tendencia natural de

información

la gente a reaccionar de manera

inconveniente detectado en nuestra

predecible en ciertas situaciones,

red.

por

ejemplo,

proporcionando

para

resolver

un

- El llamado de un usuario que

detalles financieros a un aparente

necesita

funcionario de un banco, en lugar de

nuevamente su clave porque la ha

tener que encontrar agujeros de

cambiado durante el transcurso del

seguridad

día y no la recuerda.

en

los

sistemas

que

se

le

asignen

informáticos. La ingeniería social se dirige a los

individuos

conocimientos,

con dado

menos que

La principal defensa contra la ingeniería

social

es

educar

y

los

entrenar a los usuarios en el uso de

argumentos y otros factores de

políticas de seguridad y asegurarse

influencia tienen que ser construidos

de que estas sean seguidas. Otras

generando una situación creíble que

medidas a considerar son: Analizar

el individuo ejecute.

con antivirus todos los correos que

Algunos ejemplos que se pueden citar:

las características técnicas de la

- La ejecución de un virus troyano

reciban; No informar por teléfono de

por

parte

del

usuario,

red, ni nombre de personal a cargo, etc.; Control de acceso físico al sitio

adjunto a un correo electrónico

donde

enviado por una casilla que le es

ordenadores; Políticas de seguridad

familiar

a nivel de Sistema Operativo.

o

simplemente

con

un

se

encuentra

los

9


En los últimos años, avance

de

las

con el

tecnologías

información y comunicación,

de han

MEDIOS ELECTRONICOS INSEGUROS?

surgido nuevos vectores de ataques y de nuevas modalidades delictivas que

Winston Azara

han transformado a Internet y las tecnologías informáticas en aspectos sumamente hostiles para cualquier tipo de organización, y persona, que tenga equipos conectados a la World Wide Web. A diferencia de lo que sucedía años atrás, donde las personas con habilidades en el campo informático, se dedicaban a la investigación con el ánimo de incorporar mayor conocimiento; en la actualidad algunos actores han desvirtuado completamente esto, dando origen a nuevos personajes que utilizan los medios informáticos y el conocimiento sobre su funcionamiento como herramientas para delinquir y obtener algún beneficio económico. Diariamente se descubren nuevos puntos débiles y, por lo general, son pocos los responsables de IT que comprenden en su justa medida la importancia que tiene la seguridad y cómo pueden abordar el grave problema que existe detrás de vulnerabilidades que permiten a un atacante, violar la seguridad de un entorno y cometer delitos en función de los datos robados. Que es un ataque informático? “Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización.” (Mieres 2009) Lo que hace necesario que se piense actualmente en mejorar y educar en la parte de seguridad, tanto para empresas como individuos. Sin embargo, más allá de cualquiera de los esquemas de seguridad que una organización pudiera plantear, existen estrategias de ataque que se basan en el engaño y que están netamente orientadas a explotar las debilidades del factor humano: he aquí la llamada Ingeniería Social. ¿Qué es la Ingeniería Social? En el campo de la seguridad informática, “Ingeniería Social” (IS) es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero 10


social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social. Si bien esta técnica es utilizada en cualquier ámbito, en lo que a informática se refiere, consiste en la obtención de información sensible y/o confidencial de un usuario cercano a una sistema u organización explotando ciertas características que son propias del ser humano. (Arteaga, A. 2008) Es por esto que las personas en general, plantean uno de los problemas más importantes de seguridad para cualquier organización porque a diferencia de los componentes tecnológicos, son el único elemento, dentro de un entorno seguro, con la capacidad de decidir “romper” las reglas establecidas en las políticas de seguridad de la información. Como contramedida, la única manera de hacer frente a los métodos de Ingeniería Social es la educación. Absolutamente todas las personas que forman parte de la organización, desde la secretaria, los administradores de la red y la cúpula mayor, deben estar capacitados en cuanto a las debilidades y los métodos de engaño más empleados por los atacantes para que logren identificarlos. ¿Cómo yo como usuario puedo contribuir o ayudar a que un Ingeniero Social me haga daño? La ingeniería social se concentra en el eslabón más débil de cualquier cadena de políticas de seguridad. Se dice a menudo que la única computadora segura es aquella que nunca será encendida. El hecho es que se ha visto como el password (contraseña) de inicio de sesión en la red se puede encontrar debajo del teclado, escrito en el PAD del mouse, en la mesa y en ocasiones hasta en las libretas de notas con el acceso de todo el personal que labora en su oficina o en los laboratorios. ¿Qué es el Spam? Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Kmail, Webmail, etc. Algunos ejemplos que se pueden citar: La ejecución de un virus troyano por parte del usuario, adjunto a un correo electrónico enviado por una dirección que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", "mira a Shakira desnuda", etc. También lo podemos ver con este típico asunto en que promueve mensajes publicitarios y cosas del estilo "hágase millonario mientras duerme". ¿Qué son los Phishing? 11


Phishing o pesca de información es el uso de mensajes y páginas Web falsas para engañarte y hacerte enviar información confidencial o personal. En general, recibes un correo que parece proceder de una organización acreditada, como un banco. El correo incluye lo que parece ser un enlace a la Web de la organización. Sin embargo, si haces clic en el enlace, te llevará a una copia falsa de la Web. Cualquier dato que introduzcas, como números de cuenta, números PIN o contraseñas, pueden ser robados y usados por las personas que crearon la página falsa. ¿Cómo podemos contribuir a la educación a nuestros usuarios para que no sean víctimas de los Ingenieros Sociales?  Educar a nuestros usuarios es lo más importante, es el objetivo de este trabajo, hemos visto que existen innumerable vías y formas para recibir los molestos Spam, Phishing y Hoax a continuación les proponemos una serie de medidas para evitar seguirle el juego a estos Ingenieros Sociales que tanto molestan en nuestras redes.  Un buen primer paso es crear conciencia de la Seguridad Informática todo el personal que forme parte del sistema educacional (aunque no tengan acceso a las computadoras) sepa sobre los aspectos que rigen la seguridad de las redes.  No ingrese su dirección electrónica en un sitio Web sin antes verificar la política de privacidad del mismo.  No haga clic en el enlace “cancelar suscripción” de un correo electrónico, a menos que usted confíe en el remitente. Estas acciones le permiten al remitente verificar su existencia.  No reenvíe nunca las cartas en cadena, las peticiones, ni las alertas de virus. Éstas pueden ser trucos de los Ingenieros Sociales que envían correos no deseados para recopilar direcciones.  No responda a los mensajes de spam sospechosos, particularmente los que parecen ser enviados por bancos. Al responder, usted estará confirmando la existencia de su dirección de correo electrónico, lo que puede hacer que reciba aún más mensajes de spam.  Nunca permita que los programas de computadora recuerden sus contraseñas ni números de tarjeta de crédito. Además, cambie sus contraseñas con frecuencia y no las comparta con otras personas. Bibliografía: ingeniería-social-corrompiendo-la-mente-humana Lic. Alian Manuel Arteaga García.2008 Ataques informáticos Debilidades de seguridad comúnmente explotadas Autor: Jorge Mieres

12


VSantivirus No. 1043 Año 7, viernes 16 de mayo de 2003 Un viejo truco de ingeniería social La noticia del bulo llegó a VSA a través de un lector. En el artículo sobre el tema ["Alerta de SCAM con cuentas de BBVAnet", http://www.vsantivirus.com/scam-bbvanet.htm], pueden verse

capturas

de

dicho

sitio,

aún

activo

en

ese

momento.

Simulan ser el BBVA para robar números de tarjetas, usando un viejo truco de ingeniería social

Por Mercè Molist (*) colaboradores@videosoft.net.uy La semana pasada, un número indeterminado de personas recibía un correo electrónico no solicitado donde se les instaba a rellenar el formulario de una página web, para ser clientes del servicio BBVAnet. Datos personales, número de tarjeta de crédito, fecha de caducidad e incluso el PIN iban a parar a la base de datos de los atacantes, cuya identidad se desconoce. Es la primera vez que este truco de ingeniería social se utiliza contra una entidad bancaria española. El Banco Bilbao Vizcaya Argentaria actuó con celeridad y, a las 24 horas, la web fraudulenta y el sitio donde se recogían los datos estaban fuera de línea. La web mostraba el logo de BBVAnet y parecía oficial, aunque sorprendía la cantidad de datos que pedía. El mensaje no solicitado también levantaba suspicacias: empezaba con un "estimado cliente del BBVA", aunque lo recibieron no clientes, y seguía: "Le comunicamos que próximamente, usted no (sic) se podrá subscribir en Banca Online". Una errata, a juzgar por el contenido, que instaba a suscribirse a BBVAnet, mediante un formulario en http://gruposbbva.nstemp.com. La web estaba registrada en Estados Unidos, en la empresa Freeservers.com, que rápidamente la cerró. Según un experto consultado, "estaba todo hecho de forma profesional y con dedicación, ya que el código de la página que suplanta al BBVA está ofuscado. En vez de escribir el código HTML directo, está cifrado vía JavaScript y la construcción del formulario se hace en el navegador del usuario. Así, pueden saltarse los sistemas de filtrado de contenido y hace que el rastreo sea relativamente complicado". El origen del mensaje es igualmente oscuro: "Se ha enviado desde una conexión ADSL, pero viendo el nivel de complejidad de la página HTML, apostaría que se ha secuestrado 13


una máquina con poca seguridad, para lanzar los mensajes. Me costaría mucho creer que se haya molestado tanto en ofuscar el código HTML y después utilizar para el envío una máquina fácilmente identificable y rastreable, que no disponía de ninguna medida de seguridad, ni las más básicas, permitiendo conexiones anónimas y remotas vía Internet a las unidades de disco compartidas", afirma el experto. El banco desconoce cuántos datos se obtuvieron ni si se han realizado operaciones con ellos. Aunque esta técnica de ingeniería social es conocida en los manuales, es la primera vez que se conoce su aplicación masiva suplantando a una entidad financiera española. Algo parecido sucedía a principios de mayo en Gran Bretaña, según publicaba "eW eek": "Se están enviando mensajes fraudulentos a los clientes de First Union, donde se les pide que visiten una web e introduzcan sus nombres de usuario y contraseñas. Sólo mirar la web ya trae problemas, porque instala automáticamente un troyano en la máquina del visitante. No está claro cómo el atacante ha tenido acceso a las direcciones de correo de los clientes del banco". La Ingeniería Social es el arte de hacer que otros hagan o digan lo que uno quiere, abusando de su confianza, inocencia o ganas de caer bien. El diccionario "Jargon File" habla de "técnicas que se aprovechan de las debilidades de las personas, con el objetivo de conseguir sus contraseñas u otra información. Un truco clásico es telefonear a la víctima diciendo que eres un técnico con un problema urgente". La Ingeniería Social usa desde hace tiempo las herramientas de la red, igual que el teléfono o el contacto directo. Uno de los trucos más comunes en el chat ha sido engañar a alguien para obtener sus datos de acceso a Internet y usarlos gratuitamente. La misma intención tienen el mensaje o la llamada de un presunto técnico del proveedor, que pide los datos de conexión para una comprobación rutinaria o porque se han perdido. "El método más fácil para conocer la contraseña de alguien es preguntándoselo", dicen los expertos. Recientemente, se hacía la prueba, patrocinada por InfoSecurity Europe 2003, en una estación central de Londres: nueve de cada diez oficinistas aceptaron revelar sus contraseñas a cambio de un bolígrafo. En su "Curso de Ingeniería Social", LeStEr ThE TeAcHeR explica cómo recopilar datos financieros: "Un caso que requiere una especial atención es la simulación de mails que provienen de servicios de banca por Internet. Como todo, son sencillamente suplantables. Basta con crear un mail en HTML utilizando las imágenes y los formatos de alguna de estas entidades, pero enviándolo desde cualquier otra cuenta. Conozco casos en los que un usuario recibe un mail que parece provenir de un banco conocido y que luego lo redirige a un formulario falso, en el que se le hace escribir su contraseña de acceso y ésta es guardada en una tabla, o enviada por mail a una dirección donde luego se utiliza de forma 14


fraudulenta. A continuación, dicho usuario es enviado a la página real del banco, tras haber recibido una pantalla de error". Kevin Mitnick da cuenta también de este tipo de engaño en su libro "The art of deception", con un ejemplo real y muy parecido al fraude del BBVA: "Un día del verano de 2001, Edgar recibió un mensaje de PayPal, una compañía que permite hacer pagos rápidos por Internet y que Edgar usaba para hacer compras en eBay: "Apreciado cliente; Paypal quiere darle 5 dólares de crédito. Sólo tiene que ir a la página http://www.paypal-secure.com/cgi-bin y actualizar su información". Pero éste no fue el primer engaño bajo el nombre de PayPal. En enero del 2000, la compañía publicaba un aviso después que un correo masivo invitase a sus clientes a conectarse a www.paypai.com y dejar sus datos: "Hay muchos artistas del fraude que os enviarán correo pretendiendo ser vendedores o sitios con los que habéis tenido negocios en el pasado. No sólo Pay Pal, también EBay, AOL y otras compañías. Usualmente os darán una dirección web duplicada, con la dirección ligeramente diferente de la auténtica, y os pedirán que reveléis los datos de vuestras tarjetas de crédito, nombres de usuario o contraseñas". En marzo del 2002, le tocaba el turno a Visa, con un mensaje que cruzó el mundo: "Alerta de fraude. Visa USA Fraud Control ha sabido de la existencia de un engaño para obtener datos personales de nuestros clientes. Lamentamos comunicarle que hemos cancelado su tarjeta de crédito, de acuerdo con el artículo 205 del capítulo 210 del departamento de fraude internacional. Sospechamos que su tarjeta está implicada en actividades criminales. En los próximos dos días uno de nuestros investigadores contactará con usted por teléfono para verificar sus datos". Aunque, como dice Mitnick, "¿por qué dedicarse a robar los números de tarjetas uno por uno, cuando puedes entrar en la mayoría de compañías de comercio electrónico y coger todas sus bases de datos?".

15


revistafinal01