INGENIERIA SOCIAL La Ingeniería Social es un conjunto de acciones que se realizan con el fin de obtener información a través de la manipulación de usuarios legítimos. Es un conjunto de trucos, engaños o artimañas que permiten confundir a una persona para que entregue información confidencial, ya sea los datos necesarios para acceder a ésta o la forma de comprometer seriamente un sistema de seguridad.
FORMAS DE INGENIERIA SOCIAL Existen 3 grandes formas de ingeniería social: la mas común es la telefónica, donde el intruso tratará de obtener información a través de una llamada, la del email, donde nos pedirán información vía un mensaje de correo electrónico y finalmente la personal (cara a cara), donde el intruso se hace presente de forma física y pide información.
CORREO ELECTRONICO (PHISHING) El Phishing es uno de los métodos de ataque de Ingeniería social más utilizados. La forma más común de Phishing es la que emplea el correo electrónico para cometer fraude. Consiste en el robo de información personal y/o financiera del usuario, a través de la falsificación de un ente de confianza. De esta forma, el usuario cree ingresar los datos en un sitio de confianza cuando, en realidad, estos son enviados directamente al atacante. Tener presente que ningún servicio de Internet, incluyendo a los propios bancos, nos solicitará información financiera, contraseñas o números de tarjeta de crédito para verificar nuestra identidad o validar nuestra cuenta a través de correo electrónico.
EJEMPLOS DE PHISHING
LLAMADA TELEFONICA (VISHING) Vishing, es básicamente el uso de llamadas telefónicas presentándose como alguien con autoridad para obtener información sensible (como claves e información para acceder a una cuenta). En el Vishing, los métodos son similares a los descritos en el Phishing, de hecho su finalidad es exactamente la misma. La diferencia es que este utiliza una llamada telefónica en lugar de un correo electrónico o un sitio web falso. Para llevar a cabo el vishing, los ciberdelincuentes hacen uso de una Voz IP o voz automatizada que se hace creíble porque es muy similar a las utilizadas por las entidades financieras. Se marca de forma aleatoria a algunos números hasta que alguien contesta al otro lado de la línea. Al interlocutor se le informa, por ejemplo, de que su tarjeta de crédito está siendo utilizada fraudulentamente, de que es preciso actualizar la información personal, resolver un problema con una cuenta, o cualquier otro engaño similar.
LLAMADA TELEFONICA (VISHING) Cuando se realiza esta llamada al teléfono que indican, lo que se escucha al otro lado es una grabación idéntica a la de cualquier servicio telefónico de atención al cliente. Lo que solicita esta voz grabada es el número de cuenta, de tarjetas de crédito, su fecha de expiración, claves o nombre de usuarios. Esta información es más que suficiente para completar el engaño. A partir de ese momento, el ciberdelincuente puede llevar a cabo compras y operaciones fraudulentas por vía telefónica o internet.
PERSONAL El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su víctima.
OTRAS FORMAS DE INGENIERIA SOCIAL Dumpster Diving o Trashing (zambullida en la basura). Consiste en buscar información relevante en la basura de una organización, Si ésta no desecha de manera segura sus documentos es vulnerable a este tipo de ataque pues el atacante puede así obtener, por ejemplo, listas de teléfonos, propuestas económicas, gráficas, reportes, unidades de almacenamiento (CD’s, USB’s, etc.) e incluso nombres de usuarios y contraseñas, que podrían ser usadas para ayudar al hacker a suplantar a un empleado y ganar acceso a información confidencial. Esta técnica es una de las más populares para la investigación preliminar, que es parte de la planeación de un ataque de ingeniería social. Ataque vía SMS. Ataque que aprovecha las aplicaciones de los celulares. El intruso envía un mensaje SMS a la víctima haciéndola creer que el mensaje es parte de una promoción o un servicio, luego, si la persona lo responde puede revelar información personal, ser víctima de robo o dar pie a una estafa más elaborada. Baiting: los hackers pueden dejar “olvidados” CD, DVD o dispositivos USB con software malicioso, con la esperanza de que los usuarios de una organización los inserten en sus computadoras. Normalmente se dejarán en el estacionamiento o en cualquier lugar cercano a las oficinas de la empresa que se está atacando y pueden incluso contener etiquetas llamativas para incitar su revisión: “Lista anual de bonos” o “Información confidencial”
ALGUNOS TIPS PARA PREVENIR LA INGENIERIA SOCIAL Evitar brindar información referente a nuestros accesos a sistemas como claves u contraseñas. Ya sean por cualquiera de los medios: teléfono, correo electrónico o conversación interpersonal. Confirmar siempre la identidad de las personas con quien mantiene comunicación. Exigir a cualquier personal extraño que muestre su identificación si así lo cree conveniente. Difundir y concientizar a sus compañeros sobre ingeniería social y su importancia . Reportar a sus superiores si es testigo de algún indicio de ingeniería social. No hacer clic sobre cualquier enlace que nos envíe un desconocido. No descargar archivos desconocidos, menos aún lo hacemos de sitios que no son confiables. Si duda de la veracidad de un correo electrónico, jamás haga clic en un link incluido en el mismo. Nunca tirar información confidencial a la basura, sino, destruirla.
CONSULTAS Y DUDAS César Augusto De La Vega - Coordinador de Seguridad de la Información cdelavega@munlima.gob.pe Brandon Morales Fernández - Especialista en Seguridad de la Información bmorales@munlima.gob.pe