Lunes 17 de Febrero de 2020
8 min de lectura

Ingenieria social informatica

En el mundo “hacking” no hay programa o métodología estándar para conseguir hacer una intrusión a cualquier tipo de sistema, existen un conjunto de técnicas, métodos y/o herramientas que bien utilizadas pueden dar con mayor o menor posibilidades el éxito en este tipo de busquedas. El uso de esta técnica está al alcance de cualquiera ya que no se necesitan conocimientos previos para poder llevarla a cabo. Ahora bien, si la está utilizando un usuario experto o con mucha practica podrá obtener información relevante para poder alcanzar sus objetivos con una mayor efectivadad.

La definición de ingeniería social es el arte de sacar información a alguien sin que la persona que está siendo “atacada” se de cuenta. Este sería el resumen corto, y en un sentido mas ámplio se utiliza también para inducir al usuario a realizar acciones que o bien le pondrán en una posición de baja seguridad o bien nos ayudará a crear una situación en la que nosotros como atacantes estamos en posicón ventajosa para lograr el objetivo que estamos persiguiendo. Esto no es algo que se aplique exclusivamente en el ámbito informático, es una técnica basada en el engaño y la confianza por parte de la víctima.

Si eres padre de un menor de edad que está empezando a coquetar en internet deberías poder ser capaz de ver con quien se está relaccionando, ya que por desgracia para todos sabemos que puede convertirse en el objetivo de algún adulto con malas intenciones. Al igual que a todos nos han dicho alguna vez “no hables con desconocidos” en la red ocurre lo mismo. Solo que en la red es mas dificil detectar para el crío saber si realmente está hablando con otro chaval o con alguien que se está haciendo pasar por un niño.

Esta gente suele ganarse la confianza de tus hijos haciéndoloes creer que son también menores y poco a poco se los van llevando a su terreno hasta que tu hijo hará exactamente lo que el adulto pretendía desde el principio.

Si eres un empresario ten presente desde ya la siguiente frase en mente “una cadena es tan fuerte como eslabón mas débil”. Esto es, de nada te servirá que tu red sea la más segura de la zona si tus empleados no está bien educados. Si no tienes un protocolo de actuación bien definido un atacante ducho en ingeniería social podría sacar información suficiente de tu empresa sin ser descubierto en tan solo unas horas.

El siguiente es un ejemplo de ingeniería social real que se ha dado y se dará en multitud de ocasiones.

Un atacante digamos que quiere acceder a las entrañas de la empresa “Inseguridad informática SL” descubre que tiene una web www.inseguridadinformaticasl.com y en ella ve que aparece el típico logo de la empresa que le ha creado la web. Ve además que que la web tiene un formlario de contacto y que no está muy protegido contra el spam. Con este escenario su objetivo será colarse en la empresa para instalar un software de control remoto (un troyano) en un ordenador de dentro de la empresa. ¿Cómo podría actuar? En primer lugar podría utilizar el formulario de contacto para ver si hay alguien al otro lado que responde a los correos que llegan. Lo que está buscando es dar con la persona que hay detrás de la web en la empresa. Una vez verifica que hay alguien ya sabe que mediante ese formulario interactúa con un empleado y esto ya aunque no lo creas es la primera vía de entrada a la empresa. Si es hábil podrá averiguar el nombre de la persona que responde a ese formulario de contacto e incluso si tiene una extensión telefónica dentro de la empresa. Ya lo ha hecho, tras unos días haciendo esta indagación ya sabe que Manolo Garrido con la extensión 001 es quien gestiona el formulario de contacto de la web. Siguiente paso, poner nervioso a Manolo. Mediante algún programa de SPAM podría hacer que le llegaran cientos de peticiones falsas mediante este formulario de contacto. Manolo no sabe bien qué está ocurriendo y se está poniendo nervioso, evidentemente no sospecha nada de que esto es parte de una estrategía de ataque mayor. En mitad de este caos el atacante podría hacer una llamada a la empresa diciendo que es alguien de la empresa que le ha hecho la página web y que le han dicho que hable con Manolo porque han detectado una incidencia (se la está jugando, porque podría ser que Manolo ya estuviera en contacto con la empresa de la web por el caos en el que está inmerso pero lo único que puede pasar es que su ataque falle y tenga que buscar otra estrategía). Lo normal sería que Manolo aún esté un poco sin saber bien que hacer, le pasan una llamada, y le dicen “te paso a Juan (nuestro atacante) es de la empresa que ha hecho la web”. Ya tenemos a nuestro atacante hablando directamente con Manolo. Ahora Juan le podrá decir a Manolo que ha detectado que la web está funcionando mal y que se está generando un montón de correos porque en el ordenador de Manolo está ocurriendo el problema de turno que se le ocurra a Juan, su objetivo concertar una cita con Manolo dentro de la empresa. Juan llega a la empresa, pregunta por Manolo y le llevan a su despacho, Manolo le dice que está que no puede trabajar debido a todo lo que le está entrando y Juan le pide que le deje ver su ordenador para ver qué está ocurriendo ya que ha detectado en la web que su PC se están haciendo peticiones extrañas, mete su pendrive con su “antivirus” y acaba de hacer que el ordenador de Manolo sea controlable de forma remota desde cualquier lugar del mundo, a la par que hace esto detiene su programa que estaba haciendo SPAM, Manolo ve que realmente el problema se ha solucionado y le da las gracias a Juan. Juan vuelve a casa y ya puede conectarse al PC de Manolo, acaba de hacer una intrusión sin que Manolo sospeche lo mas mínimo. Esto es solo un ejemplo de intrusión real mediante ingenería social aplicada a empresas.

Si bien que cada vez que abrimos una cuenta de correo electrónico con el proveedor que sea nos obliga a crear una contraseña también nos suele dar un método alternativo en caso de que olvidemos la contraseña. Este método alternativo suele ser escoger una pregunta a la cual solo nosotros conozcamos la respuesta y nos sea fácil recordar. Esto tiene un problema y que muchas personas eligen preguntas del tipo: “Mi profesor favorito”, “Mi equipo de futbol favorito”, “Mi actor favoríto” “Nombre de mi abuela materna”… Evidentemente si pierdes tu clave, le das a recuperar contraseña olvidada y el sistema te hace cualquiera de esas preguntas las vas a poder responder sin muchos problemas. Pero precisamente este es el problema…

Si un atacante descubre que tienes una pregunta de ese estilo podrá entablar una conversación contigo y sacarte el tema de forma disimulada para que tu mismo le des la respuesta. En cuanto tu le des la respuesta estará en posición de hacerse pasar por tí respondiendo correctamente a la pregunta que el sistema de recuperación de claves le está formulado. Este método no suele ser muy efectivo, pero si que es cierto que si el atacante conoce a la víctima y la pregunta es sencilla podrá hacer un par de pruebas que le llevarán menos de 5 minutos antes de descartar el método.

El objetivo en este tipo de escenarios es inducir a la víctima a descargar malware en su equipo. En función de los conocimientos informaticos de la posible víctima al atacante le será más fácil o difícil engañar a su objetivo. Un ejemplo muy común es colgar una web falsa con algún tipo de software malicioso, y después ya sea por correo electrónico, chat o cualquier medio generarle un interés a la víctima para que visite la web, si además se conoce el navegador que suele utilizar se podría prepara un exploit que con solo visitar la web se le instalara el malware. De ahí que si el atacante es capaz de hacer una página con esas características y suma la ingenería social podrá lograr su objetivo.

Como habrás podido comprobar la ingeniería social es casi siempre una técnica de apoyo a otras técnicas, y es haciendo la suma de todas como ciertos atacantes logran sus objetivos. En ciertas ocasiones buscar una vulnerabilidad en un software, red o servidor puede ser una tarea tediosa, llevarte horas y horas y nadie te garantiza tener éxito en la intrusión. Sin embargo la vulnerabilidad puede estar en la persona, es decir si la persona es vulnerable a estos ataques será el esabón más débil de la cadena y será ese eslabón el que habrá comprometido la seguridad de todo el sistema. Las redes sociales, sobre todo si tienes un perfil público pueden ser una mina de información para alguien que busca la pieza que le falta para poder poner en marcha su estrategía de ataque. Ten en cuenta esta posibilidad en tu día a día y plantéate siempre la información que estás dando y a quién.

PatoJAD

Arquitecto de Software

Autor

Sobre mi no hay mucho para decir, me dedico a desarrollar en una empresa de telecomunicaciones, utilizo GNU/Linux desde el 2.012 y hace años que es mi Sistema Operativo main. Soy una persona que busca crecer profesionalmente sin dejar de divertirse y hacer lo que me gusta. Siempre digo que cuando un proyecto sale es importante agradecer, por lo cual les recomiendo a todos leer la seccion Agradecimientos en la cual me tomé un tiempito para poder agradecer a todos y cada uno de los que hicieron posible todo esto.