Ingeniería social (seguridad informática)

Gráfico sobre sitios web de noticias falsas elaborado por VOA News.

La ingeniería social es la práctica ilegítima de obtener información confidencial a través de la manipulación de usuarios legítimos. Es un conjunto de técnicas que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información[1][2]​ que les permitan realizar daños a la persona u organismo comprometidos y es utilizado en diversas formas de estafas y suplantacion de identidad.[3]​ El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el «eslabón débil».

Investigaciones recientes realizadas en 2020 han indicado que la ingeniería social será uno de los desafíos más destacados de la próxima década. Tener competencia en ingeniería social será cada vez más importante para las organizaciones y los países, debido también al impacto en la geopolítica. La ingeniería social plantea la cuestión de si nuestras decisiones estarán informadas con precisión si nuestra información primaria está diseñada y está sesgada.[4]

Técnicas y términos

En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.

Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

En 2018, Equifax fue víctima de un notable ataque de ingeniería social que resultó en una violación de datos que expuso información personal, incluyendo números de seguro social, detalles de licencia de conducir y números de teléfono móvil. Esta violación afectó a 145.5 millones de estadounidenses. Como empresa de informes de crédito, la compañía se convirtió en blanco de hackers que hábilmente se hicieron pasar por representantes de instituciones financieras como el Bank of America para acceder ilícitamente a los datos personales de los individuos.[5]

  • La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en la internet, para poder ver la información que ellos quieren.
  • Se hace para obtener acceso a sistemas o información útil.
  • Los objetivos de la ingeniería social son el fraude y/o la intrusión de una red.

Pretextos

El pretexto es la creación de un escenario inventado para llevar a la víctima a revelar información personal o a actuar de una forma que sería poco común en circunstancias normales. Una mentira elaborada implica a menudo una investigación previa de la víctima para conseguir la información necesaria, y así llevar a cabo la suplantación (por ejemplo, la fecha de nacimiento, el número de la Seguridad Social, datos bancarios, etc.) y hacerle creer que es legítimo.

El pretexto también se puede utilizar para suplantar a compañeros de trabajo, a la policía, al banco, a autoridades fiscales o cualquier otra persona que podría haber percibido el derecho a la información en la mente de la víctima. El "pretexter" simplemente debe preparar respuestas a preguntas que se puede plantear la víctima. En algunos casos, todo lo que necesita es una voz que inspire autoridad, un tono serio y la capacidad de improvisar para crear un escenario pretextual.

Redes sociales

Uno de los factores más peligrosos, es la creciente tendencia por parte de los usuarios, principalmente los más jóvenes, a colocar información personal y sensible en forma constante. Desde imágenes de toda su familia, los lugares que frecuentan, gustos personales y relaciones amorosas. Las redes sociales proveen de mucha información a un delincuente para que realice un ataque, como para robar tu identidad o en el menor de los casos ser convincente para tener empatía.

Phishing

Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en correos electrónicos, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros correos electrónicos maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick.

Vishing

El vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas con las que también se podría sacar información personal de forma que la víctima no sospeche.[6]

Por este motivo debemos tener cuidado y no proporcionar información personal aunque se trate de nuestra compañía de móvil, electricidad o agua (entre otras), ya que podría ser un hacker que haya elegido casualmente la nuestra .

Troyana

Investigaciones recientes han revelado que el método del caballo de Troya se ha utilizado como ataque a los sistemas de computación en la nube. Un ataque troyano a sistemas en la nube intenta insertar una aplicación o servicio en el sistema que puede afectar los servicios en la nube al cambiar o detener las funcionalidades. Cuando el sistema en la nube identifica los ataques como legítimos, se realiza el servicio o aplicación que puede dañar e infectar el sistema en la nube.[7]

Baiting

En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.). Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalará y permitirá que el hacker obtenga todos los datos personales del usuario.[8]

Quid pro quo

Quid pro quo significa "algo por algo". El atacante llama a números aleatorios en una empresa, alegando estar llamando de nuevo desde el soporte técnico. Esta persona informará a alguien de un problema legítimo y se ofrecerá a ayudarle, durante el proceso conseguirá los datos de acceso y lanzará un malware.

En una encuesta de seguridad de la información de 2003, el 90% de los trabajadores de una oficina dieron a los atacantes lo que ellos afirmaban ser su contraseña en respuesta a una pregunta de la encuesta a cambio de una pluma. Estudios similares en años posteriores obtuvieron resultados similares utilizando chocolates y otros señuelos baratos, aunque no intentaron validar las contraseñas.

Ingenieros sociales notables

Frank Abagnale Jr.

Frank Abagnale Jr. es un consultor de seguridad estadounidense conocido por su experiencia como ex estafador, falsificador de cheques e impostor cuando tenía entre 15 y 21 años. Se convirtió en uno de los impostores más conocidos,[9]​ afirmando haber asumido no menos de ocho identidades, incluido un piloto de línea aérea, un médico, un agente de la Agencia de Prisiones de los Estados Unidos y un abogado. Abagnale escapó de la custodia policial dos veces (una de un avión de pasajeros en rodaje y otra de una penitenciaría federal de EE. UU.) antes de cumplir 22 años.[10]​ La popular película de Steven Spielberg Atrápame si puedes está basada en su vida.

Kevin Mitnick

Kevin Mitnick era un consultor de seguridad informática estadounidense, autor y pirata informático, conocido por su arresto en 1995 y su posterior condena de cinco años por varios delitos relacionados con la informática y las comunicaciones.[11]

Susan Headley

Susan Headley fue una pirata informático estadounidense activa a finales de los 70 y principios de los 80 ampliamente respetada por su experiencia en ingeniería social, pretexting y subversión psicológica.[12]​ Era conocida por su especialidad en irrumpir en los sistemas informáticos militares, que a menudo implicaba ir a la cama con el personal militar y revisar su ropa en busca de nombres de usuario y contraseñas mientras dormían.[13]​ Se involucró mucho en el phreaking con Kevin Mitnick y Lewis de Payne en Los Ángeles, pero luego los incriminó por borrar los archivos del sistema en US Leasing después de una pelea, lo que llevó a la primera condena de Mitnick. Se retiró para ser jugadora de póquer profesional.[14]

Hermanos Badir

Los hermanos Ramy, Muzher y Shadde Badir, todos ciegos de nacimiento, lograron establecer un extenso plan de fraude telefónico e informático en Israel en la década de 1990 utilizando ingeniería social, suplantación de voz y computadoras con Línea braille.[15][16]

Christopher J. Hadnagy

Christopher J. Hadnagy es un ingeniero social estadounidense y consultor de seguridad en tecnología de la información, autor de cuatro libros sobre ingeniería social y seguridad cibernética[17][18][19][20]​ y fundador de Innocent Lives Foundation, una organización que ayuda a rastrear e identificar la trata de niños utilizando diversas técnicas de seguridad como la ayuda de especialistas en seguridad de la información, el uso de datos de inteligencia de código abierto (OSINT) y la colaboración con las fuerzas policiales.[21][22]

Véase también

Referencias

  1. «Ingeniería Social: Corrompiendo la mente humana | Revista .Seguridad». revista.seguridad.unam.mx. Consultado el 5 de abril de 2019. 
  2. «Ingeniería social: técnicas utilizadas por los ciberdelincuentes». 
  3. «Fraudes basados en la ingeniería social». 
  4. Guitton, Matthieu J. (1 de junio de 2020). «Cybersecurity, social engineering, artificial intelligence, technological addictions: Societal challenges for the coming decade». Computers in Human Behavior 107: 106307. ISSN 0747-5632. doi:10.1016/j.chb.2020.106307. Consultado el 17 de noviembre de 2023. 
  5. Salahdine, Fatima; Kaabouch, Naima (2019-04). «Social Engineering Attacks: A Survey». Future Internet (en inglés) 11 (4): 89. ISSN 1999-5903. doi:10.3390/fi11040089. Consultado el 26 de enero de 2024. 
  6. «Phishing, SMIShing y, Vishing». Archivado desde el original el 30 de marzo de 2022. Consultado el 19 de noviembre de 2020. 
  7. Kanaker, Hasan; Karim, Nader Abdel; Awwad, Samer A. B.; Ismail, Nurul H. A.; Zraqou, Jamal; Ali, Abdulla M. F. Al (20 de diciembre de 2022). «Trojan Horse Infection Detection in Cloud Based Environment Using Machine Learning». International Journal of Interactive Mobile Technologies (iJIM) (en inglés) 16 (24): 81-106. ISSN 1865-7923. doi:10.3991/ijim.v16i24.35763. Consultado el 20 de octubre de 2023. 
  8. «INGENIERÍA SOCIAL: PHISHING Y BAITING». 
  9. Salinger, Lawrence M. (2005). Encyclopedia of White-Collar & Corporate Crime (en inglés). SAGE. ISBN 978-0-7619-3004-4. 
  10. «How Frank Abagnale Would Swindle You». U.S. News. 17 de diciembre de 2019. Archivado desde el original el 28 de abril de 2013. Consultado el 17 de diciembre de 2019. 
  11. «Kevin Mitnick sentenced to nearly four years in prison; computer hacker ordered to pay restitution to victim companies whose systems were compromised». United States Attorney's Office, Central District of California. 9 de agosto de 1999. Archivado desde el original el 13 de junio de 2013. 
  12. «DEF CON III Archives – Susan Thunder Keynote». DEF CON. Consultado el 12 de agosto de 2017. 
  13. «Archived copy». Archivado desde el original el 17 de abril de 2001. Consultado el 6 de enero de 2007. 
  14. Hafner, Katie (August 1995). «Kevin Mitnick, unplugged». Esquire 124 (2): 80(9). 
  15. «Wired 12.02: Three Blind Phreaks». Wired. 14 de junio de 1999. Consultado el 11 de abril de 2012. 
  16. Social Engineering A Young Hacker's Tale.. 15 de febrero de 2013. Archivado desde el original el 2 de septiembre de 2021. Consultado el 13 de enero de 2020. 
  17. «43 Best Social Engineering Books of All Time». BookAuthority. Consultado el 22 de enero de 2020. 
  18. \ (31 de agosto de 2018). «Bens Book of the Month Review of Social Engineering The Science of Human Hacking». RSA Conference. Consultado el 22 de enero de 2020. 
  19. «Book Review: Social Engineering: The Science of Human Hacking». The Ethical Hacker Network. 26 de julio de 2018. Archivado desde el original el 12 de noviembre de 2020. Consultado el 22 de enero de 2020. 
  20. Hadnagy, Christopher; Fincher, Michele (22 de enero de 2020). «Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails». ISACA. Archivado desde el original el 17 de julio de 2017. Consultado el 22 de enero de 2020. 
  21. "WTVR:"Protect Your Kids from Online Threats"
  22. Larson, Selena (14 de agosto de 2017). «Hacker creates organization to unmask child predators». CNN. Consultado el 14 de noviembre de 2019. 

Bibliografía

Enlaces externos