Ingeniería Social: El hacking Psicológico
Introducción
Hemos repetido hasta el cansancio que las personas, los llamados usuarios, somos el eslabón más débil en la cadena de seguridad que puede hacer que perdamos nuestros datos privados e información importante. La ingeniería social se basa en este axioma de la seguridad informática para, de una manera artesanal y prácticamente indetectable, ir sacándonos información útil sin que nos demos por sabidos. En video le damos un repaso al concepto de ingeniera social como una herramienta de hacking.
Siempre vemos en las Películas Un espía en traje de gala
(VAMOS A RECRER LA ESCENA) En la noche, aprovechando el turbulento ambiente de una fiesta donde la elite se reúne a compartir lujos y secretos, él ESPIA se escabulle entre la rigurosa seguridad de la gala y habla con los asistentes como uno más de ellos. El porte, el tono de voz, la seguridad sobre lo que dice, la excesiva solidaridad que demuestra a resolver problemas ajenos, las preguntas adecuadas y el momento correcto para hacerlas lo tornan alguien a quien, tal vez graciosamente, hasta se le pueda confiar algún secretillo; Y PUFF misión cumplida, El ESPIA obtiene su información.
Eso lo vemos en todas las películas de espías, donde la llamada ingeniería social se revela contra lo que las personas conscientemente resguardan e inconscientemente pueden llegar a revelar. Una palabra, un dato que para quien lo menciona puede no tener importancia alguna, para un experto en ingeniería social puede ser la llave que abra la caja de Pandora de la seguridad personal y del resguardo de la información sensible. Un rapto auto infligido a nuestra privacidad basado básicamente en nuestra ignorancia e impericia para las relaciones sociales y en la capacidad del “ingeniero social” para aprovecharlas. Pero, ¿qué es y cómo funciona la ingeniera social? (Realizas la pregunta con tonalidad)
En pocas palabras, la ingeniera social es un conjunto de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente para lograr que éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual.
Estas pueden estar llevadas a cabo mediante el trabajo con tecnología y ordenadores o directamente a través del trato personal. El objetivo es evadir o hacer más fácil el acceso a los sistemas de seguridad tradicionales al acceder a la información desde la fuente más confiable pero más vulnerable, el Humano.
Dicho esto, la ingeniería social que vamos a tratamos aquí es la basada en Humanos, que por sus propiedades e independencias tecnológicas de gran escala puede utilizarse –como decía un profesor de Ingeniería social, “tanto para hacerle confesar algunas pistas sobre las preguntas de los exámenes como para obtener la clave de acceso a la red informática de una financiera privada”
La psicología como herramienta principal
Utilizando características Psicológicas humanas como la:
Curiosidad (lo que nos mueve a mirar, a responder y a tocar donde no debemos)
El Miedo (ante el temor, buscamos ayuda de cualquier manera o caemos más fáciles en las trampas porque no podemos razonar con tranquilidad)
La Confianza (nos sentimos seguros ante la menor muestra de autoridad), la ingeniería social es el arte del aprovechamiento de circunstancias intencionales, pero mucho también de las expuestas.
Por eso es que los expertos estarán atentos a cualquier error que cometas sin que te des cuenta. Aquí reside parte de la efectividad de la Ingeniería social, pues lo que dices frente a cualquier persona con la que te encuentres podría no tener relevancia alguna, pero ante un cracker que utiliza este método, el nombre de tu prima o a qué secundaria asististe puede convertirse en la clave de acceso a tu correo, y de ahí al resto de tus servicios financieros, por citar un ejemplo.
Métodos y técnicas de la ingeniería social:
Las técnicas de ingeniería social, a nivel método de acción sobre los usuarios, están dividas en categorías que se caracterizan por el grado de interacción que se tiene con la persona dueña de la información a conseguir.
Técnicas Pasivas:
Las Tecnicas pasivas , que se basan simplemente (lo que no implica que sea fácil) en la Observación de las acciones de esa persona. Lo principal es que cada caso es diferente, y por lo tanto cada desenvolvimiento del experto está supeditado al ambiente, naturaleza y contexto en el que la información a conseguir se mueva. Es decir, que tendrá que adaptarse. Para esto el primer paso es la observación, y esto incluye una formación de un perfil psicológico tentativo de alguien a quien se va a abordar, conocer sus conductas informáticas, obtener datos simples como cumpleaños, nombres de familiares, etc. Cualquier cosa sirve y lo verás cuando comentemos un caso más adelante.
Técnicas no presenciales:
Otras técnicas son las No presenciales, donde a través de medios de comunicación como Carta, IRC, Correo electrónico, teléfono y otros se intenta obtener información útil según el caso. Estos son los más comunes y los que más casos de éxito (para los crackers, claro) muestran porque las personas tienden a sobreconfiar datos luego de ver un texto bien escrito y con algún emblema, sello o firma implantando para darle falsa legitimidad.
Técnicas presenciales no Agresivas:
Las técnicas presenciales no agresivas incluyen seguimiento de personas, vigilancia de domicilios, inmersión en edificios, acceso a agendas y Dumpster Diving (buscar información como post-it, boletas, recibos, resúmenes de cuenta, etc. en la basura del investigado).
Técnicas agresivas:
En los llamados métodos agresivos, el trabajo de los expertos se vuelve más intenso, y es donde surge la suplantación de identidad (hacerse pasar por IT, servicios técnicos, personal de seguridad, etc.), despersonalización y la más efectiva de las presiones psicológicas. Según los expertos en seguridad, la combinación de este último grupo de técnicas junto a la explotación de tres factores psicológicos antes comentados sobre el afectado, pueden ser altamente efectivos en el trabajo cara a cara entre víctima y victimario.
Efectividad de la ingeniería social
Con estos principios sociológicos aplicados juntamente a las técnicas de Ingeniería Social mencionadas sobre un individuo que muestre vulnerabilidad por su ignorancia, despreocupación o impericia, el trabajo de los Ingenieros sociales se vuelve no sólo efectivo, sino también indetectable, ya que generalmente no se dejan trazados útiles para investigaciones.
Y recuerda:
No anotar contraseñas ni accesos ni información sensible en papeles que sean propensos a ser desechados intencional o accidentalmente.
No abras correos de desconocido y no, nunca pero nunca te vas a ganar un coche sólo por meter un código que te den y enviar tu identificación personal por el mismo.
Se inteligente con tus contraseñas.
Esto fue todo y lo que puedo contar de ingeniería social como herramienta de Hacking, pero también como herramienta para la vida cotidiana, ya que para sufrir sus consecuencias no hace falta tener un ordenador en el medio. No seas paranoico, estate más atento e infórmate recordando, otra vez, que el eslabón más vulnerable de cualquier sistema de seguridad somos nosotros mismos.
Comentários