Seguridad, un servicio que genera valor para su empresa Guillermo Santos Calderón

Se puede gastar una fortuna adquiriendo tecnología y servicios...y su infraestructura de IT puede seguir siendo vulnerable a manipulaciones tradicionales. -Kevin Mitnick

No hay ningún parche o actualización para la ingenuidad o estupidez del ser humano.

Es el arte y la ciencia de hacer que las personas cumplan con sus deseos 4 Una forma de hackear basada en la influencia, decepción y/o manipulación sicológica para convencer a una persona a cumplir con una solicitud ¿Que es Ingeniería Social?

¿Porque los Hackers usan Ingeniería Social? Los computadores, redes y aplicaciones se han endurecido -hardened- Los computadores, redes y aplicaciones se han endurecido -hardened- El ser humano se ha convertido en el eslabón más débil en la cadena de seguridad informática El ser humano se ha convertido en el eslabón más débil en la cadena de seguridad informática Más fácil que hackear un sistema Más fácil que hackear un sistema No los detienen los sistemas para detección de intrusión No los detienen los sistemas para detección de intrusión Muy poco riesgo para el hacker Muy poco riesgo para el hacker 5

Funciona en todas las plataformas de S/O Funciona en todas las plataformas de S/O Sin bitácoras que puedan ser auditadas Sin bitácoras que puedan ser auditadas Efectividad de casi el 100% Efectividad de casi el 100% Poca gente tiene conciencia de este tipo de ataques Poca gente tiene conciencia de este tipo de ataques 6 ¿Porque los Hackers usan Ingeniería Social?

Los Ingenieros Sociales se apoyan en la confianza, ganas de ayudar, educación, conocimiento de procesos y de información confidencial, suplantación de autoridades y tecnología Los Ingenieros Sociales se apoyan en la confianza, ganas de ayudar, educación, conocimiento de procesos y de información confidencial, suplantación de autoridades y tecnología Frecuentemente realizan ataques pequeños para obtener información que les permita hackear una red o un sistema Frecuentemente realizan ataques pequeños para obtener información que les permita hackear una red o un sistema Se apoya en seis características del ser humano que lo hacen vulnerable a ataques de Ingeniería Social Se apoya en seis características del ser humano que lo hacen vulnerable a ataques de Ingeniería Social ¿Cómo funciona la Ingeniería Social?

Seis tendencias del Ser Humano que lo Hacen Vulnerable La Autoridad La Autoridad Hacer algo porque alguien con autoridad lo solicita La Empatía La Empatía Realizar algo solicitado por alguien con quien se tiene muy buena empatía La Reciprocidad La Reciprocidad Realizar algo por obtener un producto o un beneficio a cambio 8

El Compromiso El Compromiso Hacer algo después de que se pactó un compromiso para realizarlo La Validación social La Validación social Hacer algo que está de moda, que es muy popular y bien recibido por la sociedad La Escasez La Escasez Realizar algo para obtener un producto o beneficio que está escaso o disponible por poco tiempo 9 Seis tendencias del Ser Humano que lo Hacen Vulnerable

El Firewall Humano La ilusión de la invulnerabilidad (eso nunca me va a pasar a mi) La ilusión de la invulnerabilidad (eso nunca me va a pasar a mi) La tendencia frecuente de confiar en terceros (el beneficio de la duda) La tendencia frecuente de confiar en terceros (el beneficio de la duda) La pereza de aplicar los protocolos de seguridad La pereza de aplicar los protocolos de seguridad La subestimación del valor de la información La subestimación del valor de la información La naturaleza de ayudar a los demás La naturaleza de ayudar a los demás No entender cuales son las consecuencias de algunas acciones No entender cuales son las consecuencias de algunas acciones 10

Recolección de Inteligencia Algunas técnicas importantes: Algunas técnicas importantes: Uso de Internet Información libre Barrido de basuras 11 Pequeñas piezas de información cuando se juntan se pueden convertir en información muy valiosa

Reconocimiento de Empresas Sitio Web de la empresa Sitio Web de la empresa Nombres de empleados/Organigrama y estructura Nombres de empleados/Organigrama y estructura Boletines de la empresa Boletines de la empresa Directorio telefónico de la empresa Directorio telefónico de la empresa Lenguaje interno, terminología y nombres de los servidores Lenguaje interno, terminología y nombres de los servidores 12

Reconocimiento de Empresas Vacantes, candidatos a empleos/nuevos empleados Vacantes, candidatos a empleos/nuevos empleados Empleados/terceros que utilizan recursos de la empresa en forma remota Empleados/terceros que utilizan recursos de la empresa en forma remota 13

Reconocimiento del Personal Teléfonos y correos electrónico Teléfonos y correos electrónico Título y cargo en la empresa Título y cargo en la empresa Responsabilidades/deberes (a que tiene acceso) Responsabilidades/deberes (a que tiene acceso) Aficiones o intereses especiales Aficiones o intereses especiales Educación y colegios Educación y colegios 14

Reconocimiento del Personal Páginas web personales/blogs/Biografías/Hojas de vida/publicaciones Páginas web personales/blogs/Biografías/Hojas de vida/publicaciones Cédula y otras identificaciones personales Cédula y otras identificaciones personales Programación de licencias/vacaciones/viajes Programación de licencias/vacaciones/viajes 15

Algunas Técnicas Pretexto Pretexto Se inventa un escenario y se usa el teléfono para obtener acceso a información El pretexto es el escenario que sea crea con poca información para obtener más Cédula, nombre de los padres, ciudad de nacimiento 16

Phishing Por o por teléfono Por o por teléfono Aparenta ser de un negocio legal (banco, etc.) que el atacado esté usando Aparenta ser de un negocio legal (banco, etc.) que el atacado esté usando Siempre dan sensación de urgencia Siempre dan sensación de urgencia Amenazan la seguridad personal o de sus recursos Amenazan la seguridad personal o de sus recursos Solicitan reconfirmar datos personales Solicitan reconfirmar datos personales

Otro Phishing Correos o llamadas de alto nivel Correos o llamadas de alto nivel Simulan ser de alguien conocido Simulan ser de alguien conocido Jefe de un departamento Un compañero de trabajo El centro de ayuda o soporte Esta es otra forma de hacer phishing Esta es otra forma de hacer phishing

Phishing IVR/Teléfono Usted es convencido de llamar a un teléfono Usted es convencido de llamar a un teléfono El IVR aparece ser legítimo El IVR solicita ingreso de datos personales El IVR solicita ingreso de datos personales PIN, clave, cédula Puede terminar hablando con un agente, parte de la trampa Puede terminar hablando con un agente, parte de la trampa

Trojanos Utiliza la curiosidad o las ganas de las personas para hacer que baje (download) un malware Utiliza la curiosidad o las ganas de las personas para hacer que baje (download) un malware Simula ser algo gratis Simula ser algo gratis Anexo a un mail Screen Saver, antivirus, fotos, enlaces Abrirlo baja un troyano Abrirlo baja un troyano Expone lo que se teclea, agendas de direcciones, datos financieros

Shoulder surfing Se usa en aviones, aeropuertos, cafeterías, areas con Wi-Fi público y otros sitios públicos Se usa en aviones, aeropuertos, cafeterías, areas con Wi-Fi público y otros sitios públicos Se observa la entrada de usuarios y claves y hasta se pueden grabar Se observa la entrada de usuarios y claves y hasta se pueden grabar Se descubren tarjetas de crédito y otra información confidencial Se descubren tarjetas de crédito y otra información confidencial

Sumergirse en Basura Es sumergirse en la basura de alguien Es sumergirse en la basura de alguien ¿ Que se busca? Información confidencial, bancos, tarjetas de crédito, estrategias, nombres de proyectos, correspondencia Nombres de empleados, correos electrónicos, directorios telefónicos, manuales, servidores y aplicaciones, agendas, papel empresarial, memorandos, apuntes, usuarios y palabras claves Discos duros eliminados

Manzanas Bajitas Se basa en medios físicos Se basa en medios físicos CD, DVD, floppy, USB Flash Drive Rotuladas para llamar la atención Rotuladas para llamar la atención Aumento salarios Reducción Personal Estrategias confidenciales Una vez se instala en el PC, el autorun baja un troyano, virus o keylogger Una vez se instala en el PC, el autorun baja un troyano, virus o keylogger

Quid pro quo La trampa del algo por algo La trampa del algo por algo Dos ejemplos Dos ejemplos: Suplantación de soporte o help desk Regalos a cambio de información Encuestas demuestran que la gente cambia información privada por datos confidenciales Encuestas demuestran que la gente cambia información privada por datos confidenciales

Encuesta Siete de diez (70%) trabajadores dieron la palabra clave de su computador de la oficina a cambio de un chocolate. Siete de diez (70%) trabajadores dieron la palabra clave de su computador de la oficina a cambio de un chocolate. Esto sucedió en la Estación Waterloo en Londres. Esto sucedió en la Estación Waterloo en Londres. El año anterior el resultado había sido del 90% El año anterior el resultado había sido del 90% Tomado del Libro El Arte de la Decepción de Kevin Mitnick (2005) 25

Como reconocer ataques de Ingeniería Social Sentirse incómodo es un síntoma al que hay que ponerle atención Sentirse incómodo es un síntoma al que hay que ponerle atención Negación para dar información de contactos o personal Negación para dar información de contactos o personal Solicitudes extrañas o inusuales Solicitudes extrañas o inusuales Demasiadas muestras de hacerse pasar como una persona confiable o para ganar amistad o confianza Demasiadas muestras de hacerse pasar como una persona confiable o para ganar amistad o confianza 26

Uso de posiciones autoritarias Uso de posiciones autoritarias Generalmente estas carácterísticas no son fáciles de reconocer. Lo clave es entrenar a la gente para seguir protocolos de seguridad en lugar de convertirlos en detectores de mentiras Generalmente estas carácterísticas no son fáciles de reconocer. Lo clave es entrenar a la gente para seguir protocolos de seguridad en lugar de convertirlos en detectores de mentiras 27 Como reconocer ataques de Ingeniería Social

Barreras anti-Ingeniería Social MUY IMPORTANTE el apoyo de la alta directiva de la empresa MUY IMPORTANTE el apoyo de la alta directiva de la empresa Demostrar vulnerabilidades personales (Juegos de roles orientados por expertos y sicólogos). Sugerir métodos para contrarrestar/proteger estas vulnerabilidades Demostrar vulnerabilidades personales (Juegos de roles orientados por expertos y sicólogos). Sugerir métodos para contrarrestar/proteger estas vulnerabilidades Hacer que las personas puedan sentir lo que se siente cuando se es manipulado Hacer que las personas puedan sentir lo que se siente cuando se es manipulado 28

Barreras anti-Ingeniería Social Motivar el uso de los protocolos de seguridad explicándolos y diciendo como protegen a la emporesa Motivar el uso de los protocolos de seguridad explicándolos y diciendo como protegen a la emporesa Desarrollar reglas simples para definir que es información sensible y confidencial Desarrollar reglas simples para definir que es información sensible y confidencial Enseñar que está bien DECIR QUE NO! Enseñar que está bien DECIR QUE NO! 29

Defensas contra la Ingeniería Social Políticas/procedimientos/procesos de seguridad Políticas/procedimientos/procesos de seguridad Clasificación de los datos/manejo de información sensible El Método del Beso – respuesta fácil sin mucho que pensar Educar a los empleados y reforzar la conciencia de la seguridad informática Educar a los empleados y reforzar la conciencia de la seguridad informática 30

Realizar pruebas de ingeniería social Realizar pruebas de ingeniería social Búsquedas periódicas en las basuras de la empresa Entrenamiento frecuente de seguridad informática Entrenamiento frecuente de seguridad informática Incorporar ingeniería social en el plan de respuesta a incidentes Incorporar ingeniería social en el plan de respuesta a incidentes 31 Defensas contra la Ingeniería Social

La Ingeniería Social es la amenaza más sencilla y más efectiva para la seguridad informática Para mitigar esta amenaza se requiere de una vigilancia permanente Las medidas anti-Ingeniería Social más efectivas son las políticas, procedimientos y procesos de seguridad, el entrenamiento para evitarla y las pruebas frecuentes Conclusiones

Ejemplos Ejemplo 1 (tinyurl.com/3gluswy): Ejemplo 1 (tinyurl.com/3gluswy): Hadnagy, Auditor de SE, fue contratado para hackear los servidores de una compañía Encontró dirección de servidores, direcciones IP, correos, teléfonos, servidores de correo, nombres de empleados y sus cargos 33

Ejemplo 1: Ejemplo 1: Supo que el CEO tenía un familiar que tuvo cáncer y sobrevivió El CEO estaba interesado en recolección de recursos para investigaciones para combatir el cáncer Encontró información adicional sobre el CEO como restaurantes favoritos, equipos favoritos, etc, en Facebook 34 Ejemplos

Ejemplo 1: Ejemplo 1: Hadnagy se hizo pasar por un miembro de una entidad recaudadora de fondos para combatir el cáncer y le ofreció al CEO boletas para partidos de su equipo favorito y bonos para sus restaurantes favoritos El CEO le pidió más información que le envío en un archivo PDF 35 Ejemplos

Ejemplo 1: Ejemplo 1: Inclusive el CEO dijo que versión de PDF tenía para que pudiera leer el PDF Al abrir el PDF, se instaló un programa (shell) que le abrió su computador a Hadnagy Hecho esto el sistema pudo haber sido hackeado el sistema 36 Ejemplos

Ejemplo 2 Ejemplo 2 Caso del hacker de un banco Ejemplos

Ejemplo 3 Ejemplo 3 Convencer a un amigo que se le puede arreglar y actualizar su computador Se le arreglan problemas menores en el computador y se le instala un troyano Se tiene acceso total al computador de la persona que confío en el favor que se le iba a hacer Ejemplos

The Art of Deception by Kevin D. Mitnick The Art of Deception by Kevin D. Mitnick The Art of Intrusion by Kevin D. Mitnick The Art of Intrusion by Kevin D. Mitnick Influence by Robert B. Cialdini Influence by Robert B. Cialdini Confidential by John Nolan Confidential by John Nolan The Human Firewall Council The Human Firewall Council Dr. Kelton Rhoads Dr. Kelton Rhoads Recursos de Información