martes, 11 de diciembre de 2012

Ingeniería Social

1  ¿Qué es?

Se denomina ingeniería social a los métodos y técnicas que utilizan el engaño de las personas para revelar contraseñas u otra información, en contraposición con la obtención de dicha información a través de las debilidades propias de la implementación de un sistema.

2  ¿Cómo funciona?

El mayor caso de la historia de ingeniería social fue el que realizó el mítico Kevin Mitnick (Anexo I. Kevin Mitnick). Según el propio Mitnick existen cuatro principios elementales basados en su experiencia:

            1)  Todos queremos ayudar.
            2)  El primero movimiento es siempre de confianza hacia el otro.
            3) No nos gusta decir No.
            4)  A todos nos gusta que nos alaben.
Basándose en dichos principios los primeros casos de ingeniería social eran básicamente llamadas telefónicas haciéndose pasar por otra persona, o disfrazarse de operario para poder acceder a la oficina en busca de información en papeleras o contraseñas apuntadas en post-it sobre la mesa (una mala práctica que lamentablemente aún sigue vigente).
Pero con el tiempo hasta las técnicas más sencillas evolucionan y la ingeniería social ha dado lugar a otras ya muy conocidas y dañinas como son las siguientes:
-          Phising o web spoofing
-          Spam
-          Robo de cookies
-          Ataques a través de redes sociales.
En los siguientes apartados se describen en mayor detalle cada una de ellas:

3  Técnicas de ingeniería social: Phising

 El término phising(pesca en inglés) hace alusión al intento por conseguir que los usuarios “piquen el anzuelo”.
La técnica es muy sencilla y por ese mismo motivo es, a la vez, muy peligrosa ya que es muy sencillo que un usuario sea víctima.
El primer paso de las técnicas de phising consiste en descargarse el index  (la página de inicio) de cualquier web que se quiera falsear, por ejemplo, las webs de los bancos o paginas de servicios de correo electrónico.
Una vez descargado el index, se cambia el código de login para que en vez de entrar en el correo o banco del usuario, se manden al atacante los datos introducidos por dicho usuario, quedando éste ante una pantalla estática o siendo redirigido a la web original para que hagan un nuevo intento y puedan entrar ya con normalidad pensando que ha ocurrido un fallo, sin darse cuenta de que han sido estafados.
Las webs mas atacadas en la actualidad son las de servicios bancarios y de pago online, tal como puede apreciarse en la Figura 11. Los daños económicos que causa ésta técnica son, como puede suponerse, muy elevados.


La mejor forma de evitar este tipo de ataques consiste simplemente en observar la barra del navegador y comprobar que la web visitada es realmente la correcta. La Figura 12 muestra un ejemplo de web sospechosa de phising.


Hoy en día los antivirus y los propios navegadores llevan sistemas que nos avisan de sitios fraudulentos, lo cual es una ayuda para los usuarios menos observadores o con menos experiencia en informática.




4  Técnicas de ingeniería social: Spam

El spam y phising son técnicas muy relacionadas, puesto que es a través del spam como nos suelen llegar los enlaces a sitios fraudulentos de phising.
Se llama spam, correo basura o mensaje basura a los mensaje no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades (de forma incluso masiva) que perjudican de alguna o varias maneras al receptor.
Las cifras de millones de mails fraudulentos que recorren la red diariamente son realmente escandalosas. Nuestros gestores de correo están preparados para que al usuario le llegue la mínima cantidad de spam posible, correos que se pueden encontrar en carpetas de tipo “no deseado”. Actualmente casi nadie es ajeno a este término, ya que en los últimos años se ha hecho muy popular por los daños que hace a la economía.
La Figura 13 proporciona una comparación de la cantidad de correo legítimo y de spam en España en 2008. Bibliografía [19].


Como todas las técnicas el spam está evolucionando a nuevos medios y ahora es muy habitual la recepción de mensajes basura a través de las redes sociales, como por ejemplo Twitter (Figura 14).

5  Técnicas de ingeniería social: Robo de cookies

5.1  ¿Qué es una cookie?

Una cookie (galleta en inglés) es un fragmento de información que se almacena a través de su navegador en el disco duro del visitante de una página web, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas.

Las cookies pueden contener información sensible , como por ejemplo,  el nombre de usuario, contraseña, fecha de la cookie así como otros datos de carácter privado

5.2   ¿Qué es el robo de cookies?

Las cookies viajan por la red en sesiones HTTP normales, es decir, son visibles para todo aquel que utilice un sniffer en la red e intercepte los datos que viajen por ella, siempre que no vayan cifrados mediante SSL , puesto que en ese caso,  el cifrado dificulta el robo de la sesión.

A este mal uso se le llama robo de cookies y la consecuencia de utilizar una cookie de otra persona consiste en poder  suplantar su identidad en el sitio web al que pertenece la cookie, por lo que tendrá acceso a todos sus datos y podrá utilizar el servicio afectado como su fuera el usuario legítimo.

5.3  Firesheep

Es un complemento para navegadores (Firefox 3.6.12 32 bits, Safari) que con un simple click devuelve todas las cookies que viajan por la red relacionadas con las redes sociales.

Este complemento se hizo muy famoso porque en redes universitarias causó verdaderos estragos dejando en evidencia la baja seguridad principalmente de los sistemas de autenticación de las redes sociales, donde los datos se transmiten en texto plano dentro de una cookie.
La Figura 15 muestra un ejemplo de utilización del complemento Firesheep.

Técnicas de ingeniería social: Ataques a través de redes sociales.

Las redes sociales son uno de los campos en los que la ingeniería social obtiene mejores resultados.
A través de las redes sociales se puede obtener un  listado de los hábitos, gustos y costumbres de las víctimas, además de fotografías tanto suyas como de sus amistades o conocidos.
Con una buena configuración de las opciones de seguridad y aceptando sólo a usuarios conocidos se podría minimizar el daño que puede hacer una persona malintencionada evitando que obtuviera datos de ese modo.
Aunque puede parecer poco importante, esta forma de obtener datos está siendo objeto de atención por los cuerpos de seguridad de muchos países, ya que es una forma de obtener información de víctimas y atacantes (por ejemplo, pederastas) que actúan a través de perfiles inventados.

Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Esperando tu comentario...

Suscribirse a: Enviar comentarios (Atom)