Ingeniería Social (Parte 2)

El otro día, en el artítulo «El Eslabón más Débil: Ingeniería Social» os hablaba de la importancia de la Ingeniería Social en los ciberataques actuales y que el motivo de que fuera una técnica tan utilizada era que cada vez los sistemas son más complejos y difíciles de romper y por tanto, hay que buscar el eslabón más débil. Hoy vamos a explicar en más profundidad en qué consiste esta técnica.

Clasificación

Hay muchos métodos de ingeniería social, pero se pueden agrupan en:

  • Técnicas pasivas.
    • Observación.
  • Técnicas no presenciales.
    • Correo electrónico.
    • Teléfono.
    • Correo ordinario.
    • Fax.
  • Técnicas presenciales no agresivas.
    • Hablar con conocidos y otras personas.
    • Vigilancia.
    • Seguimiento.
    • Utilización de acreditaciones falsas para obtener información.
    • Técnicas de desinformación.
  • Técnicas presennciales agresivas.
    • Suplantación de indentidad.
    • Chantaje o extorsión.
    • Despersonalización (Drogas, alcohol…)
    • Presión psicológica.

De todos estos, la técnica más utilizada es la no presencial. Esta suele ser bastante efectivo y es más complicado que la identidad del atacante se vea comprometida. Es por esto que habitualmente nos pueden llegar mails que suelen tener uno de estos «formatos»:

  • Suplantación identidad de alguna gran entidad o empresa (Apple, Google…), servicio del estado (correos, hacienda, la policía…), banco o página web… de la cual se desee obtener información. La página fraudulenta podrá recopilar las credenciales de las víctimas así.
  • Incitar a abrir documentos o archivos infectados, ya sea por engaño haciéndolos pasar por documentos importantes, por información comprometida de la persona, publicidad engañosa…

Se podría decir que «En todas las empresas siempre hay un Jose y una Andrea que hacen clic a todo. Les llega un correo con vacaciones gratis al Caribe, clic; quieren hacerse fotos con alguien famoso, clic; les invitan a una gala para darles un premio, clic…»

Las personas son un mundo y los atacantes también, es por ello que la ingeniería social depende de cada atacante y de cada situación. En ciertas ocasiones con enviar un mensaje al administrador de segurida de la empresa solicitando la IP de un servidor FTP, la obtienes. Otras veces necesitas enviar un spam masivo a todos los empleados de la empresa confiando en que alguno haga click en un enlace. Y otras necesitarás solamente sentarte en el metro al lado de la víctima para ver la contraseña de su móvil cuando la introduzca. Como he dicho… la ingeniería social es un arte.

Al ser tan diversas las situaciones o métodos utilizados, no hay una solución perfecta. Y aunque se puede reducir al máximo el peligro, las personas siempre son susceptibles al engaño.

Es por ello que lo mejor que se puede hacer es tomar medidas para reducir estas técnicas y minimizar su impacto:

  • La mejor prevención contra las técnicas de ingeniería social es la concienciación sobre la seguridad.
  • Nunca compartas tus contraseñas, ya que nadie debería pedírtelas, y evita divulgar información de la empresa a personas externas.
  • Utiliza un servidor de correo interno para filtrar el spam y mantén separados los correos personales de los laborales.
  • Además, asegura que la descentralización en la empresa esté bien organizada, con segmentos claramente definidos para la transmisión de información hasta los ejecutivos.

La educación y la organización son esenciales para protegernos de estas amenazas.

Ejemplos

  • Un ejemplo clásico es dejar un USB «olvidado» en el suelo o en una mesa cercana a la persona que queremos atacar. Una persona sin conocimientos de informática probablemente lo conectará a su ordenador para ver su contenido. A partir de ahí, el USB puede contener software autoejecutable que realiza acciones en segundo plano, como el Rubber Ducky USB, que actúa como un teclado externo y ejecuta scripts como si el atacante estuviera frente al ordenador, o archivos infectados que la víctima podría abrir. La curiosidad humana es una poderosa herramienta para los atacantes.
  • Otro ejemplo es crear una copia de la web de un banco y un mail fraudulento alegando alguna actividad  extraña en la cuenta o algún cargo que se ha realizado. De esta forma el usuario entraría en nuestra web y ya tendríamos las contraseñas. En la primera imagen podéis ver una web falsa y en la segunda la original.

  • Al igual que con el banco se pueden copiar otras webs como la de Apple u otras. Hace unos años se suplantó a Correos para conseguir que los usuarios descargaran un documento que cifraba el disco duro (Ransomware).
  • La ingeniería social persona a persona es igual de peligrosa, ya sea por teléfono, chats o en persona. Hoy en día, internet ofrece una gran cantidad de información sobre cualquier individuo si se sabe dónde buscar. Con estos datos, un atacante puede asumir un rol convincente para engañar a alguien. Redes como LinkedIn pueden revelar información sobre el entorno laboral de una persona, mientras que Facebook puede proporcionar detalles sobre sus costumbres, aficiones y familiares.

Sobre este último caso Kevin Mitnick nos da un ejemplo muy claro de como poder conseguir información de una empresa. Lo hace en su libro El arte de la intrusión.

  1. Llamada 1: El atacante llama a la oficina central de una empresa haciéndose pasar por una agencia de prensa y solicita el nombre del director de marketing, el fax de la recepción y los nombres de algunas personas de otros departamentos.
  2. Llamada 2: El atacante llama de nuevo, fingiendo ser un empleado nuevo en la oficina. Utilizando los nombres obtenidos anteriormente, pide hablar con el director de marketing. Alegando problemas informáticos, solicita que se envíen los planes de marketing al fax de la oficina central, usando un nombre inventado. El director, confiando en la familiaridad del atacante con el personal, envía los documentos.
  3. Llamada 3: El atacante llama nuevamente a la oficina central, usando el nombre inventado, y afirma ser de una consultora externa. Explica que hubo un error y el fax con los planes de marketing fue enviado allí por accidente, pidiendo que se lo reenvíen. La recepcionista, reconociendo el nombre y el asunto del fax, lo envía sin problemas.
  4. Finalmente, el atacante recoge el fax con el plan de marketing de la compañía en una copistería cercana.

Espero que este artículo os haya servido de ayuda y conciencie sobre los peligros de la ingeniería social. En el siguiente hablaremos de algunas herramientas que se utilizan para realizar estos ataques.