En este artículo voy a hacer una introducción a la Ingeniería Social como técnica de Hacking, y por qué todos podemos ser víctimas sin darnos cuenta. Tanto para personal técnico como no técnico, la prevención de los ataques de ingeniería social son una cuestión de educación en la cultura de la información.
¿Qué es la ingeniería social?
Podría definirse como el arte de manipular a las personas para que entreguen voluntariamente información confidencial. Esta información puede variar, nombres de usuario y password de redes sociales, correos electrónicos, home-banking, accesos a sistemas y computadoras.
Los criminales utilizan técnicas de ingeniería social porque es usualmente más fácil de explotar debido a la predisposición natural de todos de confiar en los demás. Por ejemplo, es mucho más fácil «pedirle» a alguien que te entregue su contraseña, que intentar «crackearla» utilizando algún software, salvo que la clave sea extremadamente simple.
Pregúntale a cualquier profesional de la seguridad, y te dirá que el eslabón más débil de la cadena de la seguridad es el ser humano. No importa cuántos candados cierren puertas y ventanas, ni cuántos firewalls estén protegiendo los servicios, ni cuántos antivirus limpien la memoria de los sistemas, ni cuánto personal armado protegerá tu datacenter, ni tu empresa… si confías siempre que quien toca a la puerta es el repartidor de pizza, y le abres sin previamente verificarlo, quedarás totalmente expuesto a los riesgos que ello representa.
Ataques de ingeniería social comunes
Ahora, qué es, concretamente, un ataque de ingeniería social? Algunos ejemplos:
Un e-mail de un amigo
Si de un amigo tuyo te llega un correo electrónico, pensarías inmediatamente que alguien está suplantando su identidad? Nunca estamos a la defensiva cuando leemos un correo electrónico.
Si un ingeniero social logra «hackear» una cuenta de email de una persona, ya sea por fuerza bruta, o «pidiéndoselo» mediante ingeniería social, tendrá acceso a su lista de contactos, y podrá hacerse pasar por el cada vez que envía un mail.
Los mensajes que un ingeniero social envíe a los contactos de su víctima podrían tener contenido en el que tú confíes, y te genere curiosidad.
Un enlace en el que hagas clic solo porque te lo mandó un amigo y confías en él, y porque te resulta curioso. Ese enlace podría contener malware y podría infectar tu equipo, recolectar información, listas de contactos.
Un contenido adjunto para descargar, fotos, música, películas, documentos, aplicaciones, etc. Estos contenidos generalmente contienen software malicioso embebido que descargarás y ejecutarás solo porque viene de tu amigo, y confías en él. El atacante podrá ahora entrar en tu máquina, leer tus correos, acceder a tus redes sociales y listas de contactos, y tener un campo de acción mucho mayor para nuevos ataques.
Por otro lado, podrías recibir en tu casilla de e-mail un correo de alguien que cuente su historia y requiera tu ayuda. El ingeniero social también apela al lado bueno que todos tenemos, y a la intención de ayudar a los demás.
Además, estos correos instan a cada paso a realizar las acciones rápido, advierten que no podrás hacerlo luego o que hay algo en juego. Esto es porque el ingeniero social sabe que si te da un tiempo para que lo pienses, te darás cuenta del timo. La ayuda debe ser URGENTE, tu amigo podría estar complicado en un país remoto, podría estar en un hospital sin recursos, y necesita que le envíes dinero, que por supuesto, irá al criminal que te pasará los datos.
También podría solicitar una donación a una fundación de caridad, o para alguna causa determinada, con las instrucciones de cómo hacer para que el dinero le llegue al criminal.
Algunos ejemplos de emails
Algunos ejemplos de qué es lo que podrías recibir por email:
Un mensaje que explique su problema, y requiere que tu «verifiques» la veracidad dando clic en un enlace, o proveas información personal en un formulario. El link podría «parecer» oficial de alguna organización, y hacer uso de sus logos e imágenes (de hecho, el atacante podría replicar exactamente un sitio y montar una copia en otra ubicación, y enviarte a ella).
Al parecer totalmente legítimo, confiarás en el contenido, y en el enlace, y por supuesto, dejarás tus datos.
Un mensaje en el que te notifique que eres un «ganador» de algo. El e-mail podría decirte que ganaste la lotería, o que eres la persona número un millón que dio clic en el enlace. Ahora, para poder cobrar el premio o lo que ganes, deberás proveer información acerca de un banco o algún mecanismo como tarjetas de crédito y demás. Si te dicen que ganaste 100 millones de dolares y solo tienes que proveer los datos de tu «home banking» para que puedan depositarte, y te apuran para que lo hagas YA, seguramente enviarás lo que te solicitan ante la posibilidad de perder el premio.
Por supuesto, no ganarás ni un centavo, todo lo contrario.
Un mensaje que solicite tu ayuda. Mensajes que harán uso de tu bondad y generosidad para proveer ayuda a desastres climáticos, campañas políticas, o cualquier evento que lo requiera en su momento.
Escenarios señuelo
Este esquema de ingeniería social se basa en el hecho de que si una persona quiere algo, muchas también lo querrán. Salió el último capítulo de Person of Interest y quieres descargarlo YA, aún cuando todavía no lo han terminado de subir? Abres tu cliente de P2P y lo descargas, y te encuentras que está lejos de ser lo que pensabas.
Lo mismo ocurre con redes sociales, sitios maliciosos en los buscadores, etc.
Las personas que «comen el señuelo» pueden ser infectadas por software malicioso que genere cualquier exploit y se terminen dañando ellas mismas y a sus contactos. El atacante tiene acceso a mucha información privada de la computadora de la víctima, de modo que puedes perder dinero sin recibir lo que compraste en Internet, o vas a pagar con un cheque y te das cuenta que tu cuenta de respaldo está vacía.
Respuestas a preguntas que nunca hiciste
Los criminales también pueden pretender estar respondiendo a tu pedido de auxilio que nunca hiciste, y además van a ofrecerte más ayuda. Estas compañías de «ayuda» generalmente son empresas de software que utilizan millones de usuarios, o bancos, por ejemplo. Si tu no utilizas su producto o servicio ignorarás el mail, pero si lo utilizas, responderás, porque muy probablemente necesites asistencia y ayuda de la organización.
El representante, que viene a ser el criminal en este caso, necesitará verificar tu autenticidad, por lo que te pedirá que loguees en «su sistema» o, te pedirá ingresar a tu computadora para solucionar «tu problema», o te dirá qué comandos tienes que ejecutar para «solucionarte» el inconveniente… eso solo le dará la posibilidad al atacante de entrar en tu computadora cuando quiera.
Creando desconfianza
Iniciar conflictos, suele llevarse a cabo por personas que conoce y que están enojados contigo, pero también es perpetrado por gente que solamente intenta sembrar caos.
El atacante quiere generar en primer lugar la desconfianza sobre contactos tuyos en tu mente, para luego intervenir como héroe, y ganar tu confianza. También es común en extorsionadores que quieren manipular la información y luego amenazar con divulgarla
Esta forma de ingeniería social comienza ganando acceso a una cuenta de correo, o red social, o mensajería instantánea, chat, etc. El atacante podría entonces alterar comunicaciones privadas, incluyendo imágenes y audio, y luego reenviarlas a otros usuarios para crear sinsabores, disputas y situaciones incómodas. Incluso podría parecer que los datos fueron enviados «accidentalmente», o que quien lo recibe perciba que le están dejando saber lo que «realmente» está pasando.
Alternativamente, el material podría ser utilizado para extorsionar y pedir dinero o cualquier otra cosa de valor.
Estafa nigeriana, o timo 419
Esta es una estafa muy común hoy en día, más que nada en redes sociales, o por correo electrónico. El nombre «timo 419» proviene del artículo del código penal de Nigeria que lo viola, ya que gran parte de estas estafas provienen de ese país.
La estafa consiste en persuadir a la víctima de que va a adquirir algo mu valioso, una gran fortuna, o va a ser el centro de una gran movida humanitaria, y se basa en que la víctima pague una suma de dinero para poder adquirir el tremendo beneficio. La suma solicitada es elevada, pero insignificante respecto de lo que vas a recibir luego. Si te dijeran que has ganado, por ser una buena persona, 100 millones de dolares, y tienes que depositar en XX cuenta bancaria 1000 dolares de tramites para que te puedan enviar tu suma de dinero, ni lo pensarías, 1000 no es nada comparado.
Esta estafa tiene varias variantes, todas con la misma intensión de hacer que la víctima caiga en el famoso «cuento del tío».
Se anuncia en una página que se regalan mascotas especialmente caras, y para poder adquirirla tienes que depositar dinero en papeleríos.
El capitán militar en Irak, que hizo gran fortuna con el crudo, pero que al ser militar no lo puede depositar en un banco de su país, y necesita a alguien de confianza. Pide tus datos para poder poner alguna propiedad a tu nombre con ese dinero, y te piden dinero de adelantado para realizar ciertos trámites.
Alguien te anuncia que ganaste la lotería, aunque ni siquiera hayas participado. Te piden tus datos para depositarte. Y te piden que deposites dinero para gastos administrativos.
El prisionero español, que data desde principios del siglo XX! El atacante se pondrá en contacto contigo para decirte que es confidente de un personaje adinerado y conocido que está en la cárcel, no puede revelar su identidad porque traerá consecuencias, pero está solicitando una gran suma de dinero para pagar su defensa. Te pedirá que le ayudes con algo ínfimo (elevado de todas maneras), y luego te recompensará generosamente.
La venta del celular en eBay. En este caso, el atacante puja a último momento una suma muy elevada por un teléfono en eBay. Luego le dice al vendedor que es para enviárselo a un hijo que es misionero en Nigeria, y que para pagar necesita conocer la cuenta de paypal del vendedor para pagarle (en vez de usar los enlaces de PayPal proporcionados por eBay). Luego el atacante envía un mensaje al vendedor, con cabeceras falsificadas para que parezca provenir de paypal, y le indica que el pago se llevará a cabo ni bien se despache el producto. Por supuesto, el pago nunca llega.
Conclusiones
Hemos visto algunos de los timos de ingeniería social más conocidos. Existen variantes y variantes, y es muy sencillo caer y entrar como víctima si no tenemos el recaudo necesario.
Este tipo de amenazas siempre están presentes en Internet, y tenemos que aprender a analizar un poco lo que recibimos y leemos antes de que seamos víctimas de una estafa.
¿Cómo podemos protegernos? Esa es una pregunta se responde con educación, todos debemos aprender a manejar la tecnología, y enseñar cómo se administra bien a nuestros empleados en las empresas, colegios, y otras organizaciones. En otro artículo hablaremos al respecto.
Espero que les sirva de utilidad, y empecemos a tener conciencia de que Internet es muy poderoso, muy útil, y también, muy hostil.
En esta oportunidad haremos una breve introducción a la criptografía simétrica y asimétrica, y utilizaremos OpenSSL para cifrar archivos simétricamente. Cuántas veces nos ha sido necesario pasarle esos datos privados a alguien por correo electrónico, Leer más…
Hoy les voy a comentar algunos conceptos sobre aleatoriedad de la información y entropía en un generador random en sistemas Linux, particularmente de la entropía, su concepto y usos. Entropía La entropía, también llamada Entropía Leer más…
En este post veremos cómo podemos multiplexar o reutilizar una conexión de SSH contra un servidor para acelerar la autenticación o login de las siguientes conexiones. Este post complementa el contenido del Curso online de Leer más…
Podría definirse como el arte de manipular a las personas para que entreguen voluntariamente información confidencial. Esta información puede variar, nombres de usuario y password de redes sociales, correos electrónicos, home-banking, accesos a sistemas y computadoras.
na gran fortuna, o va a ser el centro de una gran movida humanitaria, y se basa en que la víctima pague una suma de dinero para poder adquirir el tremendo beneficio. La suma solicitada es elevada, pero insignificante respecto de lo que vas a recibir luego. Si te dijeran que has ganado, por ser una buena persona, 100 millones de dolares, y tienes que depositar en XX cuenta bancaria 1000 dolares de tramites para que te puedan enviar tu suma de dinero, ni lo pensarías, 1000 no es nada comparado.