© 2017 Centro de Estudios de Seguridad. Todos los Derechos Reservados

Av. El Derby 055 Centro Empresarial Cronos Torre 1 Piso 7

Tel: 511-716-2734

  • White Facebook Icon
  • White LinkedIn Icon
  • White YouTube Icon
Please reload

Entradas recientes

Ingeniería Social. La vulnerabilidad del ser humano.

 

 

Desde tiempos inmemoriales, los humanos tratan de ejercer influencia sobre otros. Algunos por razones nobles. Proteger a la familia, la tribu, la patria, o la religión. Otros por razones nefastas, inmorales, o criminales de las cuales tenemos que protegernos. Un sabio de antaño explico que el ser humano es motivado por dos emociones fundamentales: el miedo y la codicia.  Desde la prehistoria, los escenarios cambian constantemente, pero los protagonistas no han cambiado mucho el ser humano es consistente.  Por eso es que podemos ver una obra teatral del tiempo de los Griegos, Romanos e Egipcios, y entender sin ningún problema las emociones, relaciones, y dramas de nuestros ancestros. Así es que la llamada “ingeniería social” ya existía desde tiempos prehistóricos. De no ser así, como podemos explicar la leyenda del caballo de Troya o historias de batallas bíblicas como Masada, la fortaleza en el desierto construida por Herodes, se convirtió en uno de los símbolos más patéticos para el pueblo judío. Estos son ejemplos de ingeniería social anqué la gente   en esos tiempos no lo sabían en su esencia son muy buenos modelos de ingeniería social. 

Con la entrada en escena del internet y los avances tecnológicos y más aún en los nuevos conceptos del internet de las cosas. Al ingeniero social se la han allanado las cosas, ya la lucha dejo de ser cuerpo a cuerpo. Esto es las famosas llamadas telefónicas y las cartas convencionales para lograr sus objetivos. Las organizaciones modernas ya más digitales en la actualidad y preocupados por la seguridad de la información, invierten en elementos de seguridad como Firewall, antivirus, políticas de seguridad en su mayoría restrictivas, también se ha cometido desde mi punto de vista un elemento muy importante por no decir el más importante el ser humano. 

Mucho se ha dicho sobre la ingeniería social, pero que es y cómo funciona, en el recorrido por este documento esbozaremos estos conceptos. 

La práctica de la ingeniería social tiene como base explotar las debilidades del ser humano, lo que indica que se busca que las personas realicen actividades de forma voluntaria, que seguramente de otro modo no realizarían y que otorguen un beneficio al ingeniero social. 

Si se revisa la historia muchos son los hechos donde la ingeniería social ha logrado cosas que seguramente nosotros no consideraríamos se pudiera lograr para dar un ejemplo conocido en el mundo por su magnitud realizado por Víctor Lustig, este señor fue capaz de vender la torre Eiffel dos veces, con solo un mes de diferencia. 

Esto lo que indica es que el ingeniero social es un estudioso de los temas de la psique humana, el lenguaje no verbal y verbal. Logrando de esta manera la explotación de vulnerabilidades de los seres humanos como convicciones sociales, reconocimiento, deseo de ayudar, sentirse adulado y determinadas circunstancias en momentos muy específicos, son un caldo de cultivo para la ingeniería social y su manipulación para conseguir su ataque.  En el recorrido por la historia del arte de la ingeniería social, no podríamos dejar de hablar de los hermanos Badir estos tres hermanos con una condición especial de invidencia logran poner en jaque las fuerzas militares israelíes, logrando descifrar los códigos de comunicación del Centro De comunicaciones israelí, con ello logran crear una tarjeta SIM falsa y montar su propio operador telefónico, todo esto a cargo del ministerio de defensa israelí. 

Para que los ataques de ingeniería social logres su cometido deberán tener unos requisitos habituales ellos son: un ingeniero social entrenado, planes y herramientas concebidas cuidadosamente para perpetrar el ataque, la existencia de los seres humanos que pueden ser explotados para el beneficio del ingeniero social y un objetivo claro y preciso que lograr. 

Es importante entonces decir que la ingeniería social podría presentarse de dos maneras una es interactuando con máquinas y software y la otra basada en el ser humano puramente. 

En la actualidad los ataques de ingeniería social utilizaran las dos maneras para potenciar los resultados. 

Ya hemos hecho alusión a las generalidades de la ingeniería social, pero ¿qué es la ingeniería social? y ¿qué no? Para ello tomaremos los conceptos del libro Hacking con ingeniería social “técnicas para hackear humanos de los autores Antonio Ángel ramos, Carlos barbero, David Marugán e Ismael González, quienes manifiestan en su libro “la ingeniería social puede definirse como el conjunto de técnicas de tipo social que puede usar ciertos individuos, grupos u organizaciones de cualquier tipo para manipular o persuadir a objetivos humanos con la intención de que realicen acciones, tomen decisiones o revelen información valiosa para el atacante de forma voluntaria” como podemos ver en esta definición todos los seres humanos estamos expuestos a este tipo de ataque, en la seguridad física moderna, este riesgo es bastante alto toda vez que en la actualidad la seguridad física se complementa y multiplica su accionar gracias a los medios tecnológicos y  que son asociados a direcciones IPpor tanto viajarán por la internet , asociado a estoestá el factor humano (América Latina) que desarrolla su actividad en los centros de control y que muchas veces solo tiene  el entrenamiento básico de como operar y controlar el CCTV, las alarmas, y los controles de accesos, cumpliendo protocolos establecidos para tal fin. pero que desconoce técnicas como estas que convertirían a la seguridad física en eslabón más débil de la seguridad de una organización.  Lo que nos indica que la concienciación de nuestros operarios tendrá que ser mucho mayor a la que ahora reciben.  

Lo que definitivamente no es la ingeniería social es un simple timo a secas, aunque muchas veces parezca que solo es eso. 

Si como hemos podido revisar hasta aquí la ingeniería social estaba basada en el estudio del comportamiento humano entonces la pregunta lógica sería ¿por qué entrar en tantos problemas de desarrollo de software y lenguajes de programación para conseguir un acceso? 

Según el señor Kevin Mitnick los pilares psicológicos y sociales que apoya estas técnicas son 4: 

  1. Las ganas de ayudar 

  2. El primer movimiento es de confianza hacia el otro 

  3. A todos nos gusta que nos alaben 

  4. No nos gusta decir “No” 

Según el doctor Robert Cialdini lo que existe son “motivadores básicos en las personas por medio de las cuales se invita a alguien a actuar” ellos son: 

  1. Reciprocidad

  2. Orientación social 

  3. Compromiso

  4. Aceptación

  5. Autoridad  

  6. Tentación

 

Teniendo en cuanta los conceptos antes mencionados tanto por el doctor Caldini y el señor Mitnick se evidencia la múltiple existencia de técnicas de ataque de ingeniería social. 

De los ataques más comunes podemos mencionar algunos a continuación y que son relacionados en el libro Hacking con Ingeniería Social técnicas para hackear humanos (Antonio ángel Ramos, Carlos barbero, David Marugán, Ismael González Duran). 

Piggybacking y Tailgating 

Esta técnica, está basada en el seguimiento que se puede hacer a un empleado, usuario autorizado hasta zonas donde no estamos autorizados para ingresar, aprovechando las autorizaciones de este. Hablando en términos más coloquiales se trata de colarse a algún sitio, esto en seguridad física como ejemplo es utilizar a una persona que ingresa a la compañía con su tarjeta de proximidad y evitar que la puerta se cierre y lograr mi acceso a eso sitios de transito controlado. 

Dumpster Diving o Trashing

En seguridad se conoce con el término de basurologia, lo que indica es que se va a buscar en sitios donde se aculan desechos que pueden contener información de utilidad para ser usada por el ingeniero social. Que podemos encontrar el post-itcon las claves que utilizamos, memorias USB, datos financieros, organigramas, y membretes de la compañía esto nos da la oportunidad de que cuando hablamos con las personas tengamos datos convincentes sobre la organización. Por ello es importante que los desechos sean destruidos adecuadamente con el fin de evitar este tipo de técnica. 

Eavesdropping 

Esta técnica se trata de escuchar de forma subrepticia las conversaciones de otro para obtener información, este tipo de ataque puede ser aplicado a los medios telemáticos como el correo electrónico (Network Sniffing) o el teléfono (Wiretapping), para este caso específico estamos hablando de la escucha presencial. 

Shoulder Surfing 

Esta técnica es una de las más antiguas, y se realiza a través de la observación directa, esto es tratando de ver información confidencial, como las contraseñas. 

Office Snooping 

Esta técnica aprovecha la usencia de la persona responsable de la oficina par husmear en su PC o documentos, de allí la importancia de generar el bloque de la sesión al momento de retirarnos de nuestros PCs, es importante dar este tipo de capacitación al personal de operadores en las centrales de monitoreo. 

Baiting 

Esta técnica utiliza cebos, que muchas veces contienen virus troyanos, software malicioso etc. Que generalmente son dejados en memorias USB, DVD, CD algunas veces con logos corporativos, otras con títulos sugestivos que inducen a tomarlo o a utilizarlos. 

Bribing 

Eta técnica está basada en el soborno del empleado, ofreciendo dinero u otro tipo de dadivas para lograr obtener la información, en la seguridad física se puede dar con el operario de la central de seguridad, con el vigilante quien maneja información que es de valor y que se puede necesitar para iniciar un taque. 

Ingeniería social inversa 

Esta técnica es una las modalidades de más éxito de la ingeniería social, la técnica utilizada no es una técnica activa para recabar información, sino que utilizará el método pasivo lo que busca es que la víctima inicie el primer movimiento. 

Como hemos podido observar existen muchas técnicas de ingeniería social y el motor de la ingeniería social por lo general es el lucrarse es por ello que se deben pensar más en la capacitación que recibe el hombre de seguridad que cumple funciones de operador de medios tecnológicos, pues es el eslabón más débil de esa cadena, que puede terminar facilitando ataques DDoS  (denegación distribuida de servicios) debido a que puede facilitar el accesos a las cámaras de CCTV, alarmas o controles de accesos. 

Los mecanismos de engaño pueden llegar a ser sutiles hacen difícil determinar el origen del ataque lo que en muchas ocasiones dificulta la investigación. 

 

En lo recorrido de este articulo hemos visto elementos de la ingeniería social y cuales son algunos de sus ataques, pero también es importante conocer un poco de su sistemática, que seguramente como todo proceso posee unas fases, consultando muchos documentos al respecto se ha podio evidenciar como unas cinco fases a saber: 

  1. Fase de investigación 

  2. Empatizar con los objetivos seleccionados 

  3. Explotación

  4. Utilización de la información 

  5. Cierre lógico 

La etapa en la que se consume mayor cantidad de tiempo es la fase de investigación debido a que esta me dará el soporte para el resto de las fases. 

Cada vez más se hace muy importante lograr la concientización de las personas en las organizaciones, pero aún más importante es lograr la capacitación del hombre de seguridad física en estos temas tan importantes, más aún cuando los ataques informáticos utilizados como vector los CCTV han aumentado de manera exponencial. 

Por ello trataremos de dar algunos elementos que ayuden de manera eficiente a la concientización de las personas. 

 

  1. Apoyo de la Alta dirección

  2. Diseño de protocolos de seguridad

  3. Diseño de procedimientos de seguridad

  4. Diseño de políticas de seguridad

  5. Capacitación de usuarios finales 

  6. Definición y clasificación clara de la información que puede ser objeto de ataque de ingeniería social 

  7. Medidas de destrucción de la información 

  8. Vigilancia a los indicadores de clima laboral y recursos humanos 

  9. Implementar medidas de seguridad física 

  10. Plan de respuesta a incidentes de ingeniería social. 

  11. Usar el sentido común

 

Recuerde muchas veces decir no es la mejor opción. 

Conclusión

El futuro en este aspecto no es muy halagador, debido a que cada vez los ataques son más sofisticados y dirigidos a objetivos críticos y específicos. 

El uso de la ingeniería social siempre estará a la orden del día dado que su desarrollo se basa en la sicología del ser humano. 

 

Share on Facebook
Share on Twitter
Please reload

Please reload

Archivo