Ingeniería Social, el sistema de hacking mas antiguo

Ingeniería Social, el sistema de hacking mas antiguo

La ingeniería social, tambien llamada la ciencia y el arte de la piratería humana, ha resurgido con fuerza en los últimos años debido el crecimiento exponencial de las redes sociales, correo electrónico y otras formas de comunicación electrónica.
En la seguridad de la información, este término se utiliza, sobre todo, para hacer referencia a un conjunto de técnicas utilizadas por los delincuentes que obtienen información sensible o para convencer a los objetivos para llevar a cabo acciones que puedan comprometer sus sistemas.




Con tantos productos de seguridad disponibles en la actualidad, es el usuario final quien tiene el poder. Ya se trate de un conjunto de credenciales de inicio de sesión (nombre de usuario y contraseña), un número de tarjeta de crédito o cuenta bancaria, la mayoría de las veces el eslabón más débil de la cadena no es tecnológico, sino humana y cuando la manipulación psicológica se lleva a cabo es muy importante saber qué tipos de trucos se utilizan y la forma de prevenirlos.

La ingeniería social no es nueva, practicamente es la mas antigua forma de hacking. Ha estado con nosotros desde el principio de los tiempos, con los ingenieros populares como Kevin Mitnick o Frank Abagnale, ahora reconvertidos en consultores de seguridad, podemos ver cómo es posible la transformación de "delincuente" a gurú whitehat. Frank Abagnale, por ejemplo, fue uno de los más famosos artistas de la estafa, la creación de múltiples identidades, falsificación de cheques y de engañar a las personas para que revelen información que necesitaba para llevar a cabo sus estafas. Si  ha visto la película "Atrápame si puedes" obtendrá una imagen de lo que un ingeniero social es capaz de hacer cuando se tiene un objetivo claro.
Pero hay que tener , un ingeniero social no sólo puede depender de estafas técnicos o informáticos para obtener su información. ¡Tienes que ser cautelosos acerca de las actividades cotidianas que pueden parecer sospechoso. Por ejemplo, su contraseña se manifieste en una llamada telefónica. Parece prudente decirle su contraseña a nadie. Sin embargo, la perspectiva cambia cuando recibe una llamada telefónica de "soporte técnico" de su empresa la madrugada del domingo por la mañana solicitando a visitar la oficina para realizar algunos cambios técnicos menores en su ordenador. Se le dirá la contraseña para el "administrador de la red", por otra parte, que va a decir "gracias"! O quizás usted es demasiado prudente para eso, pero muchos de sus colegas no lo son.

"Una empresa puede gastar cientos de miles de dólares en los firewalls, encriptación y otras tecnologías de seguridad, pero si un atacante puede llamar a una persona de confianza dentro de la empresa y esa persona cumple, y si el atacante entra, entonces todo lo que el dinero gastado en tecnología ha sido esencialmente desperdiciada "-. Kevin Mitnick
La mayoría de los delincuentes cibernéticos no pasar mucho tiempo tratando complejos hacks tecnológicos cuando saben que es mucho más fácil de utilizar la ingeniería social para sus propósitos. Por otra parte, hay sitios web incluso que existe que contiene información valiosa para aprender sobre este tipo de técnicas y por qué tienen tanto éxito cuando se utiliza para engañar a la gente. Uno de ellos esSocialEngineer.org , que proporciona un marco para aprender la teoría detrás de por qué cada tipo de ataque funciona y muchos ejemplos del mundo real que soportan las definiciones y los conceptos mencionados anteriormente.

Utilizamos el lenguaje oral diaria de influir en los demás sin siquiera ser conscientes de este tipo de acciones. El lenguaje tiene algunos inconvenientes cuando se ve desde el punto de vista de un ingeniero social, ya que está ligada a nuestra experiencia subjetiva. PNL oprogramación neurolingüística , aunque inventada con fines terapéuticos se considera una forma evolucionada de la hipnosis se utiliza por muchos ingenieros sociales como una herramienta para influir y manipular a sus víctimas con el fin de conseguir que hagan las acciones necesarias para entregar un ataque exitoso. Esto puede incluir renunciar a su contraseña, la revelación de información confidencial, la desactivación de una medida de seguridad o de casi cualquier cosa que te puedas imaginar en el medio como un trampolín para desarrollar aún más una intrusión.

Aunque la relación entre la psicología y la piratería parece estar muy estirada, la cruda realidad es que los ataques en línea se basan en los mismos principios que sus contrapartes en línea. El deseo de cada persona de la reciprocidad (si hago un favor usted muy probable hacer uno para mí), la prueba social (que cree en el juicio de la mayoría), la autoridad (es decir, confiar en un agente de policía, un médico, un técnico tipo de apoyo, etc) y muchos más, son formas universales para construir una relación con alguien y asistir a nuestras necesidades humanas básicas. Un ingeniero social sabe qué botones presionar para obtener la respuesta deseada de nosotros por la creación de un marco (framing) que permite a una historia inventada para ser creíble. Sin pasar nuestro proceso de pensamiento racional no es difícil para los individuos altamente calificados y sólo toma una fracción de un segundo para darles la ventaja que necesitan para obtener lo que quieren.

Sin embargo, en este artículo nos vamos a centrar principalmente en las diferentes técnicas utilizadas por los ciberdelincuentes para llevar a cabo sus actividades con el fin de obtener información ilegal y sacar provecho de sus víctimas. Como se ha mencionado anteriormente, los principios utilizados para las estafas en línea son las mismas que las que se presentan en la vida real. Pero, debido a que el Internet es un medio masivo de distribución de información, un correo electrónico de phishing, por ejemplo, puede ser enviado a millones de destinatarios en un breve lapso de tiempo en hacer este tipo de ataque un juego de números. Aunque un pequeño número de los objetivos previstos creen esta artimaña se aún así obtener un gran beneficio para el grupo criminal o persona responsable de la misma.

"Lo que hice en mi juventud es cientos de veces más fácil hoy en día. Tecnología engendra crimen "-. Frank William Abagnale
Hoy en día, uno de los métodos más comunes que se utilizan para obtener información confidencial que se conoce como phishing (una contracción de la pesca de la cosecha términos clave). El phishing puede ser caracterizado como un tipo de abuso o fraude informático que aprovecha los principios de ingeniería social con el objetivo de obtener información privada de la víctima. El ciberdelincuente lo general se basa en el correo electrónico, mensajería instantánea o SMS para entregar el mensaje de phishing que va a persuadir a la víctima, ya sea revelar información directa o realizar una acción (entrar en una página web falsa, al hacer clic en un enlace de descarga de malware, etc) lo que permitirá, sin saberlo, el atacante para llevar a cabo su plan malintencionada.

Hemos visto una evolución en el malware que va de la mano con la ingeniería social. En los viejos tiempos, cualquier virus informático sería bastante obvio para el usuario y mostrar cuadros de fantasía de mensajes, iconos, imágenes y prácticamente cualquier cosa que pudiera dar crédito al autor para su creación. En el presente, no es raro encontrar malware que obtiene acceso al sistema de la víctima a través de trucos de ingeniería social y permanece oculto hasta que se necesita para ejecutar la carga maliciosa. El dispositivo emite un gato sin fin y al ratón entre delincuentes y las empresas de seguridad que hacen la educación uno de los mecanismos de defensa fundamentales para todos los usuarios.

Muchos ejemplares de malware interesantes se pueden encontrar que se basan en la ingeniería social para cumplir efectivamente con su ataque a la víctima. Entre las más populares podemos nombrar son falsas actualizaciones de Flash Player, los archivos ejecutables incrustados en documentos de Word , copias de baja calidad de los navegadores legítimos, como Internet Explorer y muchos más.



Un sitio web de distribución de software malicioso que utiliza una actualización de Flash Player falsa para engañar a los usuarios para que instalen el software.

La mayoría de los ejemplos de ataques enumerados están dirigidos a la audiencia latinoamericana, sobre todo porque este tipo de amenazas tecnológicas no son bien conocidos o entendidos en la región. Además, la mayoría de los sistemas informáticos de la región se están ejecutando software obsoleto que da los ciberdelincuentes una gran oportunidad de negocio. No fue sino hasta hace poco que se reforzaron algunas medidas de seguridad de banca en línea, pero todavía hay muchas lagunas que pueden permitir un ataque de ingeniería social exitosa en América del Sur.

Otros ataques son más populares en la región, incluso si no entran de lleno en la categoría de fraude informático. Una estafa conocida como " secuestros virtuales "utiliza tácticas de telemarketing ingeniería social al afirmar que miembro de la familia de la víctima ha sido secuestrada y un rescate debe sido pagada sin demora para garantizar su seguridad y la libertad. Al tomar ventaja de sentido de la urgencia y el miedo de la víctima, las demandas del atacante se cumplan sin saber siquiera si había alguien secuestrado, para empezar. En América Latina, donde este tipo de delitos son delincuentes comunes han estado recibiendo una enorme ganancia usando programas como este que explotan a los rasgos característicos de la conducta humana .

"La policía no puede proteger a los consumidores. La gente tiene que ser más conscientes y educados sobre el robo de identidad. ¡Tienes que ser un poco más sabio, un poco más inteligente y no hay nada malo en ser escéptico. Vivimos en un momento en que si lo hacen fácil para alguien de robar de usted, alguien lo hará "-. Frank William Abagnale
Además, es importante tener en cuenta que cualquier información que escribes públicamente en línea (Facebook, Twitter, Foursquare, etc) podría dar a los delincuentes una pista sobre la forma de conectar los puntos en donde se encuentre y de su identidad real. A (spear-phishing) ataque dirigido no es común, pero si usted proporciona información valiosa sin pensarlo dos veces que podría estar haciendo la vida de los ciber-criminales más fácil. Incluso una lista de deseos de Amazon podría ser la puerta de entrada a una épica truco de ingeniería social .

Como se mencionó anteriormente, una completa suite de seguridad instalado es obligatorio hoy en día si usted está haciendo algún tipo de actividad en línea (y lo más probable es usted). Por otra parte, mantenerse al día con las últimas amenazas y trucos de ingeniería social podría darle la ventaja que necesita para evitar ser víctima de este tipo de ataques (en línea o fuera de línea). Recuerde que todos los gadgets tecnológicos y mecanismos de defensa significan casi nada, si usted no sabe cómo usarlos y son conscientes de lo que los chicos malos están actualmente haciendo.Crimen evoluciona, por lo que debería.