Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en la internet, para poder ver la información que ellos quieren.
Se hace para obtener acceso a sistemas o información útil.
Los objetivos de la ingeniería social son fraude, intrusión de una red, espionaje industrial, robo de identidad, etc.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario –en una encuesta realizada por la empresa Boixnet, el 90 % de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato–
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en correos electrónicos, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros correos electrónicos maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.
Técnicas más comunes de engaño de la Ingeniería Social
Existen diversos métodos que se utilizan para obtener información confidencial o reservada, entre los cuales podemos hablar de:
- Obtención de Información: búsqueda de información que puede ser utilizada para penetrar en un sistema. Los atacantes crean un vínculo de confianza para animar al usuario a compartir información. La obtención de información puede utilizarse para atacar la seguridad lógica y perimetral de la Organización.
- Piggybacking: es un método muy antiguo para realizar infiltraciones, esta técnica consiste en seguir a una persona sobre una zona de acceso restringido. También se opta por pretender suplantar a una persona para obtener el acceso legítimo de otra persona.
- Phishing: es una de las técnicas más conocidas para realizar un ataque de ingeniería social. Es el engaño de un correo electrónico que ínsita a visitar una web mediante enlaces que suplantan algún sitio oficial. Es normal recibir correos falsos de entidades bancarias y gubernamentales; obteniendo así datos personales que pueden terminar en un fraude.
- Las cartas nigerianas: se conocen así a los mensajes falsos que nos llegan invitándonos o a conseguir una gran cantidad de dinero a cambio de un pequeño desembolso inicial. Un caso frecuente es el de la herencia multimillonaria que ha tenido la gentileza de compartir con nosotros. Otra modalidad es el premio de lotería con el que hemos sido agraciados sin ni siquiera haber jugado.
- Ataques por teléfono: realizar llamadas haciéndose pasar por otra persona, como un técnico de soporte o un empleado de la misma organización.
- Explotar la sexualidad: un ingeniero social puede ganar la confianza al mostrarse atractivo para un individuo en la sociedad, e incluso salir con la persona y el desarrollo de una relación íntima. A veces, un coqueteo hará el truco, y el objetivo será proporcionar la información sin problemas de seguridad perimetral.
0 comentarios:
Publicar un comentario