MOVILIDAD | Artículos | 01 OCT 2011

Técnicas de ingeniería social

Cómo los criminales se pueden introducir en tus sistemas
Da igual cuántos cerrojos pongas en tu puerta, es decir, en tu plan de seguridad, porque los delincuentes que utilizan las técnicas de ingeniería social para acercarse a sus víctimas conseguirán acabar con ellos. Y es que, ellos se plantean… ¿por qué molestarse en echar abajo la puerta cuando simplemente puedes preguntar a la persona que está dentro que te la abra?

Y es precisamente esa la pregunta que intenta responder Lenny Zeltser, responsable del equipo de consultoría de Savvis, miembro también del SANS Institute en las siguientes líneas. “Suele plantearse un debate sobre qué es más peligroso. ¿La amenaza interna o externa?”, se pregunta Zeltser. “Una vez que aceptamos el éxito de los métodos de la ingeniería social, no hay que hacer distinciones. Si tienes un atacante externo y utiliza una técnica de ingeniería social, se convierte en alguien interno, consigue penetrar”.
Zeltser, que suele dar conferencias sobre seguridad, describe los cuatro modos en que los ingenieros sociales comprometen la seguridad de las personas, derribando sus defensas y consiguiendo un acceso sencillo a información sensible.

1- Canales de comunicación alternativos.
Los artistas de las estafas hacen uso de canales de comunicación alternativos porque pillan así a la gente con la guardia bajada. “Los atacantes encuentran que sus víctimas son más susceptibles de caer en sus redes e influir en ellas cuando el atacante las compromete utilizando un medio diferente al que la víctima suele emplear”.
Para ilustrar esta afirmación, pone como ejemplo una estafa que utilizaba publicidad que se dejaba en los parabrisas de los coches. La citada publicidad alertaba a los conductores de que sus coches estaban “violando las regulaciones de aparcamiento” y les pedía que se dieran de alta en una página web en la que obtendrían más información.
“Si te hubiera llegado el mismo mensaje a tu correo electrónico, probablemente lo habrías ignorado. Pero cuando la gente recibía estas notas en el mundo real, fuera de los canales normales, en los que suelen estar alerta, se dirigía a horribleparking.com y veían diferentes fotos de coches mal aparcados en su ciudad. Por supuesto, querían comprobar si estaba su propio vehículo en esas imágenes aparcado incorrectamente, para ello, tenían que descargarse un reproductor multimedia. Si lo hacían, se infectaban con una herramienta antivirus falsa”.
Pero no es el único tipo de engaño que se produce. Zeltser también destaca las operaciones de vishing, en las que las víctimas reciben mensajes de voz en los que se les solicita que contacten con su banco porque en su cuenta se han producido actividades fraudulentas. Se trata de una variación de este tipo de ataques. La gente se asusta y llama al número que se les indica y en ese momento escuchan una serie de comandos de voz que les piden que introduzcan una serie de datos sensibles. En otros casos, es una persona la que les sirve de interlocutor. Lo que refuerza la idea de que se trata de algo real y no un engaño.
“La gente suele confiar más en las comunicaciones telefónicas que en las de correo electrónico y caen más fácilmente en este tipo de trampas”, explica Zeltser.
Las memorias USB son otro ejemplo de medio alternativo para atacar a los usuarios. Zeltser destaca este tipo de ataques con un ejemplo en el que se utilizaban llaves USB que expandían el gusano Conficker y señala que las víctimas no suelen sospechar de las llaves USB y las conectan directamente a sus máquinas sin pensárselo dos veces. Antes era habitual que los usuarios de ordenadores escanearan los disquetes buscando problemas, sin embargo, ese protocolo no existe con las memorias USB. “Los disquetes desaparecieron y nos hemos olvidado de las medidas básicas de seguridad”.

2- Mensajes personales relevantes
La gente no quiere simplemente tener correo electrónico, quieren tener lo que Zeltser llama “me-mail”, es decir, un mensaje que es más interesante personalmente para el destinatario, que obtendrá, por tanto, más atención del mismo. Y los delincuentes lo saben. Es el caso de una variante de un gusano que se ha expandido a través de mensajes que afirmaban contener noticias importantes que acababan de ocurrir en sus ciudades.
“Obtienen así la atención de la víctima. ¿Cómo lo hacen? Utilizando una base de datos de geolocalización para determinar de dónde vienen las víctimas y, de ese modo, poder personalizar el link”. Por supuesto, si el receptor del mensaje falso deseaba “leer más” sobre la noticia local, tenía que descargarse un reproductor de video y finalmente, se vería afectado por malware.
Otra variante de este tipo de estafas consiste en mensajes de suplantación de identidad para que parezca que vienen de una fuente fiable. Un ataque común en los últimos tiempos utiliza a la compañía de mensajería UPS como chivo expiatorio. El mensaje de “UPS” afirma que se ha producido un intento fallido de entrega de un paquete y pide a la víctima que imprima una factura que debe llevar a un centro UPS y poder recoger así el paquete.
“Si el usuario lo imprime, probablemente se trate de un ejecutable malicioso o de un archivo PDF corrupto y es como consiguen una nueva víctima. ¿Cómo le decimos a nuestros usuarios que no abran los adjuntos que vienen en mensajes de gente que no conocen? Hoy en día, ya no es un consejo muy útil, la verdad. Porque los mensajes que les llegan son de personas que muy probablemente conocen. Así que no es nada práctico. Necesitamos desarrollar un nuevo mensaje que transmitir a nuestros usuarios”, confiesa Zeltser.

3- Seguimiento social
Forma parte de la naturaleza humana querer hacer lo que otros están haciendo, explica Zeltser. Y nuestra tendencia a seguir a la masa nos puede convertir fácilmente en víctimas de la ingeniería social. Los delincuentes saben que confiarás más fácilmente en algo que sea popular o que te haya recomendado alguna de las fuentes en las que confías que en un mensaje que te llega de un desconocido.
Es este tipo de psicología la que ha llevado al éxito de los recientes ataques de “likejacking” en Facebook, por ejemplo. Los usuarios de la red social fueron engañados y conducidos hasta páginas a través de enlaces “Me gusta” que afirmaban contar con información secreta de famosos o fotos comprometidas de los mismos. En su lugar, una vez que llegaban a estas webs, las víctimas se encontraban a sí mismas haciendo clic en una página creada maliciosamente y producida por hackers que habían escondido un botón invisible bajo el ratón. Si hacían clic en la página web, el ratón era “secuestrado” y secretamente provocaba que a los usuarios les “gustara” la página. Esta actividad se publicaba entonces en la página web de la víctima y le daba, por tanto, legitimidad a la página maliciosa, haciendo que otras víctimas cayeran en la trampa.
Los criminales también han explotado este tipo de trucos mediante la carga de software malicioso en páginas de intercambio de archivos, donde los adictos al software se dirigen para encontrar los últimos y más novedosos productos. “El gusano continuaba entonces marcando la descarga para inflar artificialmente el contador, de modo que el archivo subiría posiciones hasta aparecer como la descarga más popular. Si otra gente lo veía y le gustaba, probablemente intentaría descargárselo, pues querrían ver lo que se descargan los otros y descargárselo ellos”.

4- Confíe en mecanismos de seguridad
Según Zeltser, como estamos tan acostumbrados a ciertos mecanismos de seguridad, y a menudo los damos por supuestos, dejan de protegernos.
Este experto volvió a contar entonces la historia de una estafa que tenía como protagonista a un ingeniero social disfrazado de oficial de policía que va a una tienda. Este falso policía le dice al dependiente que han descubierto billetes falsificados en la zona y le ofrece un bolígrafo especial, que según él, puede utilizarse para verificar billetes y comprobar si son falsos o no. Los billetes falsos se volverían rojos al contacto con esta tinta especial.
Más tarde, alguien entra en la tienda y entrega un billete falso. El dependiente sospecha y utiliza el bolígrafo. Pero la tinta se vuelve verde, lo que indica que el billete es verdadero. Pero en realidad es el propio bolígrafo el que es falso y, por tanto, nunca habría detectado un billete falso. Y es en ese momento cuando la confianza del dependiente entra en juego. Así, como confía en el policía, cree que el bolígrafo es bueno y el billete que sospechaba falso, en realidad no lo es.
Lo mismo ocurre entre muchos usuarios de ordenador, cuando actualizan sus equipos, que se han acostumbrado a obtener actualizaciones Flash, por ejemplo, que han sido muy utilizadas en todo tipo de ataques.
“Vas a la página, te sale un mensaje de error que dice que necesitas descargarte la última versión de Flash y la víctima no tiene modo de saber si está descargándose una herramienta legítima. De hecho, en muchos casos no lo es. Pero nuestras víctimas han caído en estos mensajes una y otra vez y están tan acostumbrados a los mecanismos de pseudoseguridad de la actualización de Flash, que los atacantes siguen utilizándolos contra ellos”.
Así que, ¿cómo podemos mantener lejos a los intrusos?
De todo esto, podemos extraer que los intrusos pueden convertirse, muy fácilmente, en infiltrados en nuestros sistemas. Y hasta ahora, la formación de los empleados para que estén atentos y sean conscientes de estas estrategias de ingeniería social, ha fallado.
“Cuando echamos un vistazo a nuestra arquitectura de seguridad, tenemos que empezar a centrarnos menos en las barreras externas. Debemos focalizarnos más en lo que ocurre dentro de la organización. Necesitamos centrarnos más en la segmentación interna de recursos y en la monitorización interna de tráfico que entra y sale de nuestro entorno de trabajo. Además, debemos dar a nuestros usuarios privilegios poco a poco, a medida que los necesiten. No solamente porque confiemos en ellos, sino porque sabemos que pueden ser engañados muy fácilmente y debemos intentar protegerlos”.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información