Ingenieria Social

ciberdelincuente SWLa ingeniería social es una de las metodologías más utilizadas para realizar ciberataques y registra un alto grado de eficacia. La misma busca obtener datos e información confidencial mediante la manipulación psicológica del usuario, el eslabón más débil en la cadena de seguridad.

Estas maniobras suelen darse a menudo a través de informaciones o noticias falsas que buscan captar la atención de los usuarios. Para ello, emplean como señuelo catástrofes naturales, guerras, llamados a solidaridad, personajes famosos (actores, políticos, deportistas, etc.), empresas, marcas, eventos reconocidos, etc.

¿Qué tienen en cuenta los atacantes a la hora de llevar adelante un ataque?

Es simple y complejo a la vez. Las personas y sus conductas. Y de acuerdo a estas características se selecciona un ataque que pueda tener el más alto grado de éxito con aquella persona, intentando asemejar la mirada sobre la vida de su víctima.

Seguidamente se describen siete conductas sociales empleadas para llevar adelante un ciberataque, junto a algunos ejemplos de cada una. (Segu-Info, 2013).

A continuación las mismas:

  • Curiosidad: el atacante “olvida” un pen-drive sobre el lavatorio del baño del piso donde están las oficinas ejecutivas y administrativas de la empresa. Marcado con la leyenda “Actualización de Salarios”. La memoria USB tiene un malware que se auto-instala y llama a casa desde cualquier PC en donde sea conectado.

emoji curioso SW

  • Solidaridad: el atacante se enfoca en el gerente de una compañía. Encuentra que el mismo tiene un familiar batallando contra el cáncer y que participa activamente en una organización benéfica. Se hace pasar por alguien de esa organización, y le pide al gerente su respuesta sobre una campaña de recaudación de fondos y adjunta un PDF infectado.

emoji solidario SW

  • Credulidad: los atacantes identifican a los gerentes adecuados de dos sucursales de un banco. Compran un dominio que se parece mucho al del banco. Falsifican los correos de los ejecutivos del banco y envían correos falsos a los gerentes autorizando transacciones varias.

emoji bueno SW

  • Codicia: nos hacen millonarios con solo unos pocos clic; es fácil, no necesitamos perder mucho tiempo y encima gratis. Cuantas veces ingresamos a un sitio Web y nos aparecen leyendas como la siguiente o similares: ¡Eres el visitante un millón! Te ganaste un premio. Completa el siguiente formulario y nos pondremos en contacto contigo. Y nos solicitan datos sensibles como pueden ser datos personales y/o financieros.

emoji codicioso SW

  • Inconsciencia: los servicios de inteligencia de los ejércitos de EEUU e israelíes crearon el malware Stuxnet (gusano – worm) que saboteó una planta nuclear en Irán. El ataque fue llevado adelante sencillamente mediante un USB, el cual fue entregado a uno de los científicos de la planta. El científico lo conecto en la notebook de su casa, fue a trabajar y allí conectó su notebook a la red interna de la planta. Y de esa forma lograron ingresar en la red de la planta nuclear.

emoji inconsciente SW

  • Timidez: alguien parecido a Brad Pitt se acerca a la recepción interna del departamento de recursos humanos. Se disculpa efusivamente de haber llegado unos minutos tarde y muestra un papel con manchas de café. Mientras le explica a la recepcionista que volcó café en su curriculum y si puede imprimirle una copia nueva para su entrevista, entregándole su USB. La tímida recepcionista no lo confronta con las políticas de la compañía de no permitir dispositivos extraños en la red, y rápidamente le imprime una nueva copia y le devuelve el USB.

emoji timido SW

  • Apatía: ¿Que es lo más útil para la ingeniería social, la ignorancia o la apatía?
    Respuesta: No lo sé y no me importa…  Tres empleados de un departamento reciben el mismo correo de phishing, que les aparece en sus bandejas de entrada más o menos al mismo tiempo. Dos de ellos hacen clic en el enlace e infectan sus PCs siendo necesario que se reinstalen por completo sus equipos. Ninguno de ellos se asoma de su cubículo para advertirles a los demás.

emoji apatia SW

Uno de los ingenieros sociales más famosos Kevin Mitnick, cracker en el pasado y hoy asesor en seguridad, señala que es mucho más fácil engañar a alguien para que facilite la contraseña de acceso a un sistema que esforzarse en intentar entrar en dicho sistema. (Ingeniería social (seguridad informática), s.f.).

Según su opinión, la ingeniería social se basa en estos cuatro principios:

  1.  Todos queremos ayudar.
  2.  El primer movimiento es siempre de confianza hacia el otro.
  3.  No nos gusta decir No.
  4.  A todos nos gusta que nos alaben.

 Algunas recomendaciones

Me gusta - SWTeniendo en cuenta que este tipo de ataque se centra básicamente en las personas y sus conductas, resulta muy difícil de plasmar una “fórmula mágica” para evitarlo. Resulta esencial hacer mayor hincapié en la capacitación y formación de los distintos usuarios y empleados de las organizaciones.

 

Sitios recomendados

Si deseas seguir leyendo del tema puedes hacerlo en: Segu-Info

 

 

 

 

Compartir este contenido en...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter