INGENIERIA SOCIAL

El nico sistema seguro es aquel que est apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardias bien pagados y muy bien armados. An as, yo no apostara mi vida por l. (Gene Spafford )

Qu es ingeniera social?

Es la prctica de obtener informacin confidencial por medio la manipulacin de usuarios legtimos, es un tipo no-tcnico de intrusin que involucra la interaccin humana engaando a otras personas para que rompan los procesos normales de seguridad. (McDermott, 2005)

Ataques de Ingeniera Social

Telefnico. Dumpster Diving (Trashing). Phishing. Drive-by Infection. eMail. Curiosidad (Hardware). Suplantacin ID. Shoulder Surfing. Office Snooping. IS Inversa.

 Telefnico Un atacante llama por telfono y trata de intimidar a alguien en la posicin de autoridad o relevancia, de esa forma obtiene informacin. Los Centros de Ayuda (HelpDesk) son generalmente vulnerables a este tipo de ataque.

 Dumpster Diving (Trashing) Tambin conocido como "Trashing" (Buscar en la Basura), es otro mtodo de Ingeniera Social. Mucha informacin puede ser encontrada en la basura. Ejemplos: Anotaciones, Manuales, Polticas, Memos, CONTRASEAS!

 Phishing Una de las principales vulnerabilidades es que muchos usuarios utilizan la misma contrasea para diferentes servicios. Una tcnica conocida es a travs de formularios o pantallas de login falsas. Donde se le pide al usuario que valide sus datos de acceso sobre un sitio Web manipulado por el atacante.

 Drive-by Infection Cuando uno descarga "soluciones de seguridad" desde sitios Web es posible infectarse con diferentes variedades de Malware o Troyanos. A)- Intencionalmente: Aceptando la descarga desde el sitio Web. B)- Involuntariamente: Explotando una vulnerabilidad en el navegador (0 day).

 eMail Los emails enviados pueden contener informacin interesante para los usuarios y ser bastante llamativos como la imaginacin lo permita. Desde fotos de famosas hasta cmo construir un reactor nuclear. En los archivos adjuntos pueden existir virus, gusanos, backdoors, etc. permitiendo tener acceso total al atacante.

 Curiosidad (Hardware) El atacante deja un dispositivo de almacenamiento como pendrive, CD, memoria flash en un lugar donde pueda ser encontrado, mientras espera a que la vctima introduzca el dispositivo para infectarse con el cdigo malicioso. A travs de la curiosidad humana es posible llevar a cabo este tipo de ataque.

 Suplantacin ID Consiste en caracterizar a una persona, un rol. Generalmente los roles ms empleados son soporte tcnico y gerente, etc. En empresas grandes es difcil conocer a todos los empleados y falsificar las ID resulta Muy Simple!

 Shoulder Surfing Consiste en entablar una conversacin y realizar notas mentales sobre las teclas que presiona el usuario al momento de ingresar sus datos de acceso a un sistema.

 Office Snooping Muchos usuarios no dejan bloqueadas sus terminales cuando se levantan de sus escritorios o peor an cuando se retiran del trabajo, por lo tanto es posible acceder a sus datos sin necesidad de identificarse.

 IS Inversa Es el modo avanzado de la Ingeniera Social, conocido como "Ingeniera Social Inversa". El atacante trata de parecer alguien de autoridad, para que le pregunten a l y as obtener informacin. Requiere mucha preparacin, investigacin y saber relacionarse con las personas.

15 DAS (Rodrigo Corts, 2000)

La historia de un espaol, llamado Castor Vicente Zamacois, que no utiliza dinero y vive de las compras telefnicas. Se moviliza por diferentes pases de Europa.
Lo curioso? Devuelve los productos que adquiere luego de los 15 das. Tiempo en el cual las empresas aceptan que s uno no est satisfecho pueda devolver lo adquirido. Tcnica? Aparentando ser quin no es, realizando apuestas y jugando a esconderse. Adaptacin al medio, autocapacitacin y recopilacin indiscriminada de informacin. Qu llevaba? Un CD con el control de los productos adquiridos, dnde ir, qu empresas quedan pendientes de estafar, etc.

Extrao en el Edificio CASO REAL

Una maana de hace unos meses atrs, un extrao ingres a las instalaciones de un banco ubicado en la zona de microcentro y obtuvo acceso completo a la red corporativa de este.

Extrao en el Edificio Cmo lo hizo? Obtuvo poca informacin de las actividades realizadas, paso a paso, desde diferentes empleados. Qu le sirvi? Aprendi que los empleados de la marca "Soporte X" ingresaban directamente por un sector, sin exigirles credenciales. Lleg a un rea segura, le alcanz con sonrer y un amigable empleado le abri la puerta. Cerca de la impresora, exista una antena de Wifi. Dejando que la red sea accedida desde afuera del edificio. Utiliz herramientas tradicionales de hacking, elev privilegios y gan acceso al dominio, base de datos y no fue detectado.

Simples mtodos para evadir un ataque "No" es lo primero, en algunas situaciones puede ser flexible, disuasivo y eficaz. Los "NO" son ms fuertes cuando estamos seguros de tener razn. S el conocimiento es un arma, la ignorancia es una armadura. No dar mucha informacin o detalles sobre lo que nos preguntan. Las polticas son buenas defensas contra la ingeniera social.

Lo mejor manera de aumentar nuestras defensas es disminuir la posibilidad de evadirlas. Utilizar seguridad fsica, biometra y restringir el acceso fsico.

Desarrollo del Firewall Humano 01 Inventario de Recursos de Informacin. 02 Estableciendo un Sistema de Clasificacin de Informacin. 03 Desarrollo de una Poltica de Seguridad. 04 Programas de Concientizacin de Seguridad. 05 Limitando la fuga de Informacin. 06 Utilizacin de la Tecnologa. 07 Pen-Testing usando Ingeniera Social. 08 Respuesta ante Incidentes.

Conclusiones La IS no puede ser eliminada completamente, es un serio problema y es uno de los ms grandes en las organizaciones. La IS es un tema conocido en el mbito de la seguridad, pero que poco se habla en las organizaciones sobre su prevencin. La educacin y capacitacin, continua y dinmica, es el mtodo ms eficiente para prevenir los ataques de Ingeniera Social. Las organizaciones deben establecer una clara y fuerte poltica, incluyendo estndares, procesos y procedimientos para ayudar a reducir la amenaza.