Contents
1 Por qu el "caballo de Troya" no es Ingeniera Social?
2 Qu tiene que ver la Ingeniera Social con la seguridad informtica?
3 Tcnicas de Ingeniera Social
4 Cundo nace la Ingeniera Social en Espaa
5 Algunos ingenieros sociales espaoles
6 Notas
7 Enlaces externos
Por qu el "caballo de Troya" no es Ingeniera Social?
Existe una tendencia que trata la ingeniera social como una forma de engao,
equiparable al caballo de Troya o a cualquier forma de timo, como el de la
estampita.
Esto mismo ocurre en el mundo de las empresas de alta tecnologa en las que
se desarrollan proyectos reservados, donde la calificacin tcnica necesaria
para entender la informacin que se quiere obtener es muy alta. Las
operaciones de ingeniera social de este nivel pueden llevar meses de cuidada
planificacin y de evaluacin de muchos parmetros, van ms all de una
actuacin puntual basada en una llamada con ms o menos gracia o picarda.
La seguridad informtica tiene por objetivo el asegurar que los datos que
almacenan nuestros ordenadores se mantengan libres de cualquier problema, y
que el servicio que nuestros sistemas prestan se realice con la mayor
efectividad y sin cadas. En este sentido, la seguridad informtica abarca cosas
tan dispares como:
Tcnicas Pasivas:
Observacin
Tcnicas no presenciales:
Recuperar la contrasea
Ingeniera Social y Mail
IRC u otros chats
Telfono
Carta y fax
Tcnicas presenciales no agresivas:
Buscando en La basura
Mirando por encima del hombro
Seguimiento de personas y vehculos
Vigilancia de Edificios
Induccin
Entrada en Hospitales
Acreditaciones
Ingeniera social en situaciones de crisis
Ingeniera social en aviones y trenes de alta velocidad
Agendas y telfonos mviles
Desinformacin
Mtodos agresivos
Suplantacin de personalidad
Chantaje o extorsin
Despersonalizacin
Presin psicolgica
Cundo nace la Ingeniera Social en Espaa
Lo que uno poda encontrar en una BBS de aquella poca eran ficheros
agrupados por temas y mensajes que corran de unos usuarios a otros,
utilizando la base de lo que despus sera la red Fidonet u otras basadas en la
misma tecnologa.
En estas redes, las llamadas entre los nodos las realizaban usuarios "mecenas"
que corran con el precio de esas llamadas. Los mdems eran muy lentos, 1200
o 2400 bps. los mas rpidos, y las llamadas eran muy caras. Esto tena como
consecuencia que un usuario no pudiera bajarse toda la informacin que quera
ni conectarse a demasiadas BBS, so pena de arruinarse con la factura del
telfono... o arruinar a sus padres.
Ingeniera social
Ingeniera social
El trmino "ingeniera social" hace referencia al arte de manipular personas para eludir los
sistemas de seguridad. Esta tcnica consiste en obtener informacin de los usuarios por
telfono, correo electrnico, correo tradicional o contacto directo.
Los atacantes de la ingeniera social usan la fuerza persuasiva y se aprovechan de la
inocencia del usuario hacindose pasar por un compaero de trabajo, un tcnico o un
administrador, etc.
En general, los mtodos de la ingeniera social estn organizados de la siguiente manera:
Una fase de acercamiento para ganarse la confianza del usuario, hacindose pasar
por un integrante de la administracin, de la compaa o del crculo o un cliente,
proveedor, etc.
Una distraccin, es decir, una frase o una situacin que tranquiliza al usuario y evita
que se concentre en el alerta. sta podra ser un agradecimiento que indique que
todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante
correo electrnico o de una pgina Web, la redireccin a la pgina Web de la
compaa.
Por telfono,
etc.
En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia
acerca de los problemas de seguridad.
Ms informacin
Con el objeto de aprovechar los errores humanos para vulnerar sistemas, existe una
tcnica denominada Ingeniera social, que a su vez cuenta con una serie de
mtodos cada vez ms populares que pueden poner en riesgo tanto nuestra
seguridad y privacidad como la integridad de nuestros datos.
Qu es la Ingeniera social?
Como lo mencion al principio, la Ingeniera social es una tcnica que aprovecha los
errores humanos para comprometer las seguridad de los sistemas, pero tambin podramos
decir que es un arte cuyas herramientas principales son el engao y la confusin.
As como existen piratas informticos que irrumpen en sistemas aprovechando
vulnerabilidades en el software, hay quienes se hacen expertos en engaar y manipular a
otras personas, y as, a travs de estas, conseguir los datos necesarios para acceder no solo a
sistemas, sino tambin a nuestras cuentas personales en redes sociales, correo electrnico,
nmeros de tarjetas de crdito y en general a cualquier informacin personal de carcter
privado.
Aunque el trmino Ingeniera social comenz a escucharse con ms frecuencia en
tiempos recientes, la tcnica existe desde que las personas decidieron que engaar a otros es
una forma aceptable de ganarse la vida.
Un pirata informtico que utiliza la Ingeniera social como tcnica de ataque, no necesita
estar frente a frente con su vctima, de hecho, en la mayora de los casos aprovecha
herramientas que usamos a diario, como por ejemplo, el correo electrnico, la mensajera
instantnea y el telfono.
Si quieren conocer como funciona la Ingeniera social en su mxima expresin, les
recomiendo ver la pelcula Takedown. En esta historia basada en hechos reales se muestra
la forma en que Kevin Mitnick, uno de los Hackers ms famosos de la historia, aplica de
manera sorprendente varios de los mtodos que describir a continuacin.
Phishing
Vishing
Este mtodo aprovecha una de las mayores debilidades -o virtudes- de los seres humanos:
la curiosidad.
En el Baiting, un atacante abandona de forma intencional un dispositivo o medio de
almacenamiento extrable, como por ejemplo, una memoria USB o un CD/DVD. Dicho
dispositivo estar infectado con software malicioso, que podra ser instalado en el
ordenador, incluso sin que nos demos cuenta.
Contra este mtodo, tener un antivirus actualizado podra ser efectivo, sin embargo, es
necesario tener precaucin a la hora de insertar dispositivos de dudosa procedencia en
nuestros ordenadores. Tambin es recomendable desactivar la funcin Autorun y no abrir
archivos si no estamos seguros de su contenido.
Otros mtodos
Adems de los 3 que he mencionado, existen muchos otro mtodos utilizados dentro de la
Ingeniera social, todos ellos, como lo dije al principio, hacen uso del engao y la confusin
para llevarnos a la trampa, por lo que debemos estar alerta en todo momento, y sobre todo,
hacer uso del sentido comn.
Finalmente, y aunque parezca una recomendacin obvia, procura no anotar tus contraseas
en lugares donde puedan ser fcilmente visibles o encontradas por otros, sobre todo si
trabajas en un lugar donde entra y sale gente de manera constante. Dejar las tarjetas de
crdito, estados de cuenta, u otro tipo de informacin financiera a la mano de cualquiera,
tampoco es una buena idea.
Ahora que conoces como funciona la tcnica y sabes como prevenir un fraude, es momento
de compartir la informacin con tus familiares y amigos, de esta manera, ellos tambin
podrn evitar caer en la trampa.