30 - Ingeniería Social - 08/04/2006


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Los seres humanos con frecuencia solemos pecar de vanidosos. La vanidad es la que no nos permite ver lo sencillo que puede resultar engañarnos. La vanidad no nos permite ver lo obvio: nosotros sabemos algo que por algún motivo puede ser útil para alguien más.

La vanidad está relacionada con la Seguridad Informática ya que es harto conocido el dicho "que una computadora apagada es un computadora segura", y si la computadora está apagada adivine quien es el objetivo: nosotros.

No hay un sólo sistema en el mundo que no dependa de un ser humano, lo cual es una vulnerabilidad independiente de la plataforma tecnológica.

En palabras de Kevin Mitnick, uno de los crackers más famosos del mundo por conocidas estafas utilizando Ingeniería Social como principal arma y actual dueño de una consultora de seguridad que lleva su nombre: "Usted puede tener la mejor tecnología, Firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más. Tienen todo en sus manos".

Dejando el parafraseo de lado es hora de entrar de lleno en el tema de hoy: la Ingeniería Social. Dícese de una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema. Es el arte de conseguir lo que nos interese de un tercero por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación entre seres humanos. Las acciones realizadas suelen aprovecharse de engaños, tretas y artimañas para lograr que un usuario autorizado revele información que, de alguna forma, compromete al sistema.

Las personas padecemos las mismas debilidades dentro y fuera de la red, y las técnicas conocidas sólo deben ser adaptadas al nuevo medio deseado.

Las cualidades que pueden ser utilizadas son propias de la persona, como sus relaciones personales, inocencia, credibilidad, curiosidad, ambición, conocimiento, etc. Parece poco creíble que preguntando a una persona por la información en la que estamos interesados, obtengamos lo que nosotros deseamos; sin embargo esta habilidad es desarrollada y utilizada por personas corrientes, hackers, ladrones, timadores y estafadores para lograr que otra persona ejecute una acción que generalmente repercute en un beneficio para el atacante.

Este arte puede ser utilizado en todos los niveles, desde un vendedor averiguando necesidades de sus compradores para ofrecerle un servicio más personalizado (quizás éticamente correcto), llamar a alguien a su casa para averiguar si se encuentra y hasta engañar a un usuario para que revele su contraseña de acceso a un sistema (algo éticamente cuestionable).

En el mundo de la seguridad informática, este arte es utilizado, entre otros, para dos fines específicos:

  • el usuario es tentado a realizar una acción, necesaria para dañar el sistema: este es el caso en donde el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto o abrir la página web recomendada. Un caso de "éxito" es el virus Sober que mediante un sencillo mensaje logró ser el gusano de mayor propagación del año 2005.
  • el usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos. Este es el caso del Phishing, en donde el usuario entrega información al delincuente creyendo que lo hace a una entidad de confianza.

La Ingeniería Social es ampliamente utilizada por creadores de Malware y estafadores debido al alto nivel de eficacia logrado engañando al usuario.

Y aquí notamos otra característica importante: la excelente relación costo-beneficio obtenida de su aplicación, ya que a un costo ínfimo (una llamada telefónica o un correo electrónico) corresponde un beneficio incalculable (acceso a la información o a un sistema).

Si bien podríamos entrar en particularidades de cada caso es fundamental comprender que no hay tecnología capaz de protegernos contra la Ingeniería Social, como tampoco hay usuarios ni expertos que estén a salvo de esta forma de ataque. La Ingeniería Social no pasa de moda, se perfecciona y sólo tiene nuestra imaginación como límite.

Así mismo existe una única y efectiva forma de estar protegido contra ella: LA EDUCACIÓN. En este caso no estamos hablando de una educación estrictamente técnica sino más bien una capacitación social que alerte a la persona cuando está por ser blanco de este tipo de ataque. Si el atacante tiene la experiencia suficiente, puede engañar fácilmente a un usuario en beneficio propio, pero si este usuario conoce estas tretas no podrá ser engañado. Además la educación de los usuarios suele ser una importante técnica de disuasión.

Paradójica y lamentablemente nuestra vanidad no nos permite ver que el ser humano es el elemento permanente, y más débil en todo sistema. El ser humano es el objetivo y el medio para acceder a ese sistema, por eso es sumamente importante la capacitación y entender que todos somos un eslabón en la cadena de la seguridad.

Buenos Aires, 08 de mayo de 2006

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto