Ads Top

Técnicas de Hacking (2/3)


En la entrada anterior de la serie aprendimos lo efectivo y sencillo que pueden ser las tecnicas de hacking, que la importancia de un buen ataque no esta en las herramientas que se dispongan sino en la preparación mental y el buen uso que le demos a nuestros recursos informaticos.

El dia de hoy nos toca conocer una de las mas famosas y no por ello menos efectiva tecnica de hacking: La Ingeniería Social, puesta muy de moda alla por los 90s gracias a Kevin David Mitnick alias “El Cóndor”.

¿Que es la Ingeniera Social? Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Aprendamos de uno de los ingenieros sociales más famosos Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente.

No existe ningún sistema informático que no dependa de humanos. Esto significa que esta vulnerbilidad es universal, independientemente de la plataforma, etc.

Cualquiera puede ser un ingeniero social (todos los humanos disponemos de las herramientas necesarias), por lo que el problema de la ingeniería social es aún más grave de lo que pueda parecer en un primer momento.


Estas son algunas de las forma habituales que los intrusos usan:


El pedido directo

La forma más directa que puede ensayar un intruso para acceder a un sistema es justamente pedir acceso a el en forma clara y directa, con la justificación de que (si se le otorga acceso) reportara cuales son las debilidades del sistema.


Hacer de Servicio técnico

El servicio técnico proveído por terceros es uno de los puntos débiles de la seguridad informática más aprovechables. En este caso el servicio técnico puede hacerse la fuente de información de cualquier intruso.

Si un intruso logra entrar en una empresa físicamente, puede dejar, sin que nadie se de cuenta, tarjetas impresas diciendo algo como:

SOPORTE TÉCNICO GRATUITO
TEL: 123-4567 [Un numero falso]

Cuando alguien los llama por algún problema les preguntan cual es el problema, y cuando les terminan de decir lo que pasa les suelen decir:

-"Vaya... necesitaría un poco de información sobre el sistema para solucionar eso." O algo así, y ahí es donde les piden información técnica y los passwords, usualmente dan una explicación usando muchos términos difíciles de comprender antes de pedir un password mostrando que saben del tema y que van a "ayudarlos" realmente.

También pueden conseguir el numero de teléfono de una secretaria (persona ideal para la Ingeniería Social) y cuando las llaman les dicen que tienen que realizar una base de datos con todos los usuarios y password de la empresa.

Otra forma muy típica es decirle a un usuario que la empresa que le brinda un servicio ha tenido un problema con sus máquinas y que necesitan las passwords. Aun que no lo crean esto les funciona muy bien.

Existen millones de técnicas muy útiles, con las cuales trabajan los intrusos y no solo se limitan al uso del telefono o al trato cara a cara tambien se usa el Internet.


Fake mail o Correo falso

Uno de los métodos de ingeniería social usados más habitualmente es el correo electrónico. El correo electrónico es una de las aplicaciones más conocidas de Internet, debido a esto, las potenciales víctimas están más familiarizadas con su uso y sus fallos de seguridad, esto también supone que cuando se extienden falsos rumores de virus y similares, su repercusión es mucho mayor.

Para realizar una operación de ingeniera social se suele usar un remitente falso de email en lugar de un anónimo (para parecer más creyente). El envío de correo falso (fake mail) también es algo muy conocido. la fiabilidad de este procedimiento es muy relativa ya que depende mucho de las versiones del dominio de correo, del sistema donde funcione, la existencia de firewalls intermedios, etc.


¿Cómo Defendese de la Ingenieria Social?

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

Conociendo la importancia de la seguridad informática y que existe gente preparada para intentar manipularles para conseguir acceso a los sistemas sería un buen primer paso. Simplemente, previniendo posibles ataques futuros en contra de nuestros propios intereses hará que estemos más despiertos.

En general, este proceso de educación hará que estemos mas preocupados en este problema. Además, cuesta muy poco trabajo educarnos.

Saludos y hasta la proxima

Con tecnología de Blogger.