Ads Top

Técnicas de Hacking (3/3)


Hay un viejo refrán que reza: “Una cadena es tan fuerte como el más débil de sus eslabones” y en Informatica sin lugar a dudas ese es el factor humano y por ello cada vez son más los ataques a la seguridad utilizando la ingeniería social.

Los ataques mediante tecnicas de Ingenieria Social suelen gozar de un alto grado de eficacia. En muchos de los casos, la misma esta dada por el poco tiempo dedicado o la poca importancia que se le da en las empresas y en los departamentos de IT a este problema.

Si piensa que un atacante se tomará las molestias de enfrentarse a toda la seguridad y crackear los passwords para penetrar su sistema tenga cuidado porque muy probablemente lo que hará será simplemente pedirle al usuario que tiene los permisos el password adecuado. Y si piensa que el personal no le dara el password pues piénselo dos veces, porque el ataque más exitoso y fácil es el ataque directo a la persona que posee los passwords del sistema.

Los ataques a los sistemas de seguridad a través de la ingeniería social cada vez son más frecuentes y, lamentablemente más efectivos.

Para finalizar con esta serie vamos a conocer la Ingeniería Social Inversa una técnica que funciona en un porcentaje aproximado al 90%.

La Ingeniería Social Inversa describe una situación en la que la persona o personas objetivo realizan el contacto inicial y ofrecen al pirata informático la información que desean. Aunque esta situación pueda parecer improbable, figuras de autoridad, sobre todo autoridad técnica o social, suelen recibir información personal fundamental, como los IDs y contraseñas de los usuarios porque están por encima de toda sospecha.

La principal forma en la que aplican la Ingenieria Social Inversa los intrusos informaticos es mediante El Pedido Directo.

Lo que hacen es lo mismo que en la Ingeniería social pero en lugar de hacerse pasar por un soporte técnico se hacen pasar por un usuario de alto cargo, ya que generalmente son arrogantes y no conocen ni el procesador de su computadora.

La forma más típica es mediante una llamada a un soporte técnico de una empresa y parecer indignados y extremadamente enojados porque algo en la computadora no funciona, no pueden acceder al sistema y quieren una solución al momento.

No siempre es necesario tener información o incluso conocer a un objetivo para usar la ingeniería social inversa. Inventar problemas mediante cuadros de diálogo puede ser útil en un ataque de ingeniería social inversa no específico. En el cuadro de diálogo se avisa de que hay un problema o de que se debe realizar una actualización para continuar. En el cuadro de diálogo se ofrece una descarga para solucionar el problema. Cuando la descarga finaliza, el problema supuesto desaparece y el usuario sigue trabajando, sin saber que incumplió la directiva de seguridad y descargó un programa de malware.

Defenderse frente a la ingeniería social inversa es probablemente el desafío más difícil. El objetivo del ataque no tiene motivos para sospechar del pirata informático, porque cree que controlan la situación. La principal defensa es la estipulación en la directiva de seguridad de que todos los problemas se deben resolver mediante el servicio de ayuda. Si los miembros del servicio de ayuda son eficientes, educados y no se erigen en jueces, el resto de empleados acudirán a ellos, en lugar de pedir ayuda a un empleado no autorizado o a conocidos.

Espero que esta serie sirva para crear conciencia que la seguridad de un sistema no consiste solamente en aplicar normas o politicas ni contar con el mejor software del mercado. La seguridad de un sistema consiste en capacitar y educar a las personas que lo utilizan ya que el usuario final es el eslabón mas debil de la cadena informatica.

Saludos y hasta la proxima

Con tecnología de Blogger.