Está en la página 1de 18

Ingeniera Social

Definicin: En el campo de la Seguridad Informtica, Ingeniera Social es la prctica de obtener informacin confidencial, a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener informacin, acceso o privilegios, en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido, a riesgos o abusos. En la prctica (cont.): El principio que sustenta la Ingeniera Social, es el que en cualquier sistema "los usuarios son el eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono o Internet para engaar a la gente, fingiendo ser, por ejemplo, un empleado de algn banco o alguna otra empresa, un compaero de trabajo, un tcnico o un cliente.
Curso: Seguridad de Sistemas 10/11/2012 1

Ingeniera Social

En la prctica (cont.): Va Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos de acceso a pginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando as a revelar informacin sensible o a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco-, en lugar de tener que encontrar agujeros de seguridad en los sistemas informticos.

Curso: Seguridad de Sistemas

10/11/2012

Ingeniera Social

Formatos: Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario, llevndolo a pensar que un administrador del sistema esta solicitando una contrasea para varios propsitos legtimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseas o informacin de tarjeta de crdito, con el motivo de "crear una cuenta", "reactivar una configuracin", u otra operacin benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que "fishing", pesca). Los usuarios de estos sistemas deberan ser advertidos temprana y frecuentemente, para que no divulguen contraseas u otra informacin sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informticos raramente (o nunca), necesitan saber la contrasea de los usuarios para llevar a cabo sus tareas. .
Curso: Seguridad de Sistemas 10/11/2012 3

Ingeniera Social

Formatos (cont): Sin embargo incluso este tipo de ataque podra no ser necesario, en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estacin Waterloo de Londres, revel sus contraseas a cambio de un bolgrafo barato.

Otro ejemplo contemporneo de un ataque de ingeniera social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "ntimas" de alguna persona famosa o algn programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida), pero que ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima para enviar cantidades masivas de spam). Ahora, despus de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecucin automtica de archivos adjuntos, los usuarios deben activar esos archivos de forma explcita para que ocurra una accin maliciosa.
Curso: Seguridad de Sistemas 10/11/2012 4

Ingeniera Social

Mecanismos de defensa: La principal defensa contra la Ingeniera Social es educar, capacitar y entrenar a los usuarios, en el uso de polticas de seguridad y asegurarse de que estas sean seguidas. Uno de los ingenieros sociales ms famosos de los ltimos tiempos, es Kevin Mitnick. Segn su opinin, la Ingeniera Social se basa en estos cuatro principios:
Todos queremos ayudar, El primer movimiento es siempre de confianza hacia el otro, No nos gusta decir No, A todos nos gusta que nos alaben (discutible).

Curso: Seguridad de Sistemas

10/11/2012

Ingeniera Social

Mecanismos de defensa (cont): Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque. La ingeniera social tambin se aplica al acto de manipulacin cara a cara, para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la vctima, a travs de la introduccin de contraseas habituales, lgicas tipificadas o conociendo su pasado y presente; respondiendo a la pregunta: Qu contrasea introducira yo si fuese la vctima?

Curso: Seguridad de Sistemas

10/11/2012

Metodologas de Encriptacin

Criptologa: La Criptologa (del griego krypto: ' oculto ' y logos: ' discurso ') es, tradicionalmente, la disciplina cientfica que se dedica al estudio de la escritura secreta, es decir, estudia los mensajes que, procesados de cierta manera, se convierten en difciles o imposibles de leer por entidades no autorizadas. Objetivos: Con la aparicin de las Tecnologas de la Informacin y la Comunicacin (TICs) y el uso masivo de las comunicaciones digitales, se han producido un nmero creciente de problemas de seguridad. El objetivo de la criptologa se ha generalizado, para estudiar las tcnicas que se encargan de proporcionar seguridad a la informacin.

Curso: Seguridad de Sistemas

10/11/2012

Metodologas de Encriptacin

Criptologa (cont.): Disciplinas que comprende:


Criptografa : Se ocupa del estudio de los algoritmos, protocolos

y sistemas, que se utilizan para proteger la informacin y dotar de seguridad a las comunicaciones y a las entidades que se comunican.
Criptoanlisis : Se ocupa de conseguir capturar el significado de

mensajes construidos mediante Criptografa sin tener autorizacin para ello. Podramos decir que el criptoanlisis tiene un objetivo opuesto al de la criptografa. Su objetivo es buscar el punto dbil de las tcnicas criptogrficas, para explotarla y as reducir o eliminar la seguridad que tericamente aportaba esa tcnica criptogrfica. A cualquier intento de criptoanlisis se le llama ataque. Un ataque tiene xito y se dice que el sistema se ha roto, cuando el atacante consigue romper la seguridad que la tcnica criptogrfica aporta al sistema.
Curso: Seguridad de Sistemas 10/11/2012

Metodologas de Encriptacin

Criptologa (cont.): Disciplinas que comprende (cont.):


Esteganografa : Se ocupa de ocultar mensajes con informacin privada

por un canal inseguro, de forma que el mensaje no sea ni siquiera percibido. Normalmente el mensaje es escondido dentro de datos con formatos de video, imgenes, audio o mensajes de texto. Los usos ms frecuentes de estas tcnicas son: transmitir cierta informacin entre entidades sin que sea detectada por terceros, inclusin de informacin imperceptible en objetos digitales (Ej. imgenes, vdeos, audios) para permitir un mayor control del uso de esos objetos digitales (por ejemplo para implementar huellas digitales o marcas de agua). Estegoanlisis : Se ocupa de detectar mensajes ocultos con tcnicas esteganograficas. Podramos decir que el estegoanlisis tiene un objetivo opuesto al de la estegonagrafa. Su objetivo es buscar el punto dbil de las tcnicas esteganogrficas, para explotarlas y as reducir o eliminar la seguridad que tericamente aportaba esa tcnica esteganogrfica. A cualquier intento de estegoanlisis se le llama ataque. Un ataque tiene xito y se dice que el sistema se ha roto, cuando el atacante detecta que se ha usado esteganografa y por tanto puede obtener el mensaje.

Algunos autores utilizan el trmino estegologa, compendio de esteganografa y estegoanlisis.


Curso: Seguridad de Sistemas

para

relacionar

el
9

10/11/2012

Metodologas de Encriptacin

Esteganografa: La esteganografa (del griego (steganos):cubierto u oculto, y (graphos):escritura), es la parte de la criptologa en la que se estudian y aplican tcnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es decir, se trata de ocultar mensajes dentro de otros y de esta forma establecer un canal encubierto de comunicacin, de modo que el propio acto de la comunicacin pase inadvertido para observadores que tienen acceso a ese canal. Observar que la esteganografa se usa con el fin de realizar una comunicacin entre partes. Para que pueda hablarse de esteganografa debe haber voluntad de comunicacin por parte del emisor y del receptor.

Curso: Seguridad de Sistemas

10/11/2012

10

Metodologas de Encriptacin

Esteganografa (cont.): Motivacin:


La utilidad del uso de la esteganografa es mostrada en el llamado problema del prisionero (Gustavus J. Simmons, 1983). Resumidamente, en el problema del prisionero tenemos dos prisioneros, A y B, que quieren comunicarse de forma confidencial para escapar. El problema es que slo pueden intercambiar mensajes a travs de un guardin, W. El guardin puede leer, modificar o generar el mismo los mensajes. Si el guardin detecta cualquier comunicacin que pueda ser utilizada para escapar (Ej. detecta un cifrado), dejar de transmitir los mensajes. En este escenario los prisioneros necesitan establecer un canal encubierto.

El uso de la esteganografa permite disponer de un canal encubierto, de forma que nos podemos comunicar sin ser detectados. La estrategia que sigue la esteganografa para resolver el problema del prisionero es esconder los datos que no queremos que sean detectados, entre los mensajes permitidos por el guardin.
Curso: Seguridad de Sistemas 10/11/2012 11

Metodologas de Encriptacin

Esteganografa (cont.): Funcionamiento y Terminologa:


La idea que sigue la esteganografa es enviar el mensaje oculto (E) escondido en un mensaje de apariencia inocua (C) que servir de camuflaje. Esto es, se aplica una funcin de esteganografa f(E) . El resultado de aplicar la funcin (O) , se enva por un canal inseguro y puede ser visto sin problemas por el guardin. Finalmente, el otro prisionero recibe el objeto O y, aplicando la funcin inversa f -1 (O) , puede recuperar el mensaje oculto. Veamos una descripcin de la terminologa tpica usada en la estanografa:
Se define como esquema esteganogrfico , como el conjunto

de componentes esteganogrfica.

que

permite

llevar

cabo

la

comunicacin

Curso: Seguridad de Sistemas

10/11/2012

12

Metodologas de Encriptacin

Esteganografa (cont.): Funcionamiento y Terminologa (cont.):


El portador es todo aquel conjunto de datos que es susceptible

de ser alterado, para incorporarle el mensaje que queremos mantener en secreto. Puede ser de muchos tipos o formatos. Ejemplos: imagen (en sus distintos formatos), audio (en sus distintos formatos), texto plano, archivos binarios, un mensaje de protocolo de comunicacin. Se llama mensaje-legtimo para referirse al mensaje transportado por el portador. Se llama mensaje-esteganogrfico al mensaje que queremos mantener en secreto y queremos esconder dentro del portador. Puede ser de distintos tipos o formatos. Ejemplos: imagen (en sus distintos formatos), audio (en sus distintos formatos), texto plano, archivos binarios. Estego-algoritmo es el algoritmo esteganogrfico que indica como realizar el procedimiento de incorporacin del mensaje que queremos mantener en secreto en el portador.
Curso: Seguridad de Sistemas 10/11/2012 13

Metodologas de Encriptacin

Esteganografa (cont.): Funcionamiento y Terminologa (cont.):


La accin de ocultar el mensaje dentro del portador se denomina

embeber . Se llama estego-mensaje al resultado de embeber el mensaje esteganogrfico dentro del portador. La accin de la recuperacin, a partir del estego-mensaje, del mensaje oculto esteganogrfico se denomina extraer . Por el rol desempeado dentro del proceso esteganogrfico, el emisor es tambin llamado embebedor y el receptor extractor . Al igual que en todo acto de comunicacin convencional, es comn que los roles de emisor y receptor se intercambien sucesivamente entre las partes que se comunican. 3 Se llama esteganalista o estegoanalista a la persona que intenta determinar la existencia o ausencia de un mensaje esteganogrfico. Observar que basta con determinar la existencia, no tiene que llegar al contenido en s. Es decir, un esteganalista es el que hace estegoanlisis.
Curso: Seguridad de Sistemas 10/11/2012 14

Metodologas de Encriptacin

Esteganografa (cont.): Funcionamiento y Terminologa (cont.):


Los canales de seleccin consisten en canales adicionales al

portador utilizado para embeber, donde se comunica qu posiciones del portador se utilizan para la comunicacin esteganogrfica. Por ejemplo, supongamos que el portador es un libro de texto. Un canal de seleccin podra estar definido por una sucesin de nmeros naturales, que representan la posicin de cada una de las palabras, dentro del libro de texto, que se deben considerar para construir el mensaje esteganogrfico.
Las clases de equivalencia corresponden a pares de elementos

del portador utilizado, que tienen una interpretacin semntica equivalente en la comunicacin legtima, pero el uso de un elemento u otro tiene un significado acordado en la comunicacin esteganogrfica. Por ejemplo, las palabras 'lindo' y 'bonito' son sinnimos en espaol y podran utilizarse indistintamente en un contexto. Un lector no notara la diferencia en la semntica del texto, sin embargo puede ser aprovechado para construir el mensaje esteganogrfico.
Curso: Seguridad de Sistemas 10/11/2012 15

Metodologas de Encriptacin

Esteganografa (cont.): Clasificacin segn el Estego-algoritmo:


El estego-algoritmo es el algoritmo esteganogrfico que indica como realizar el procedimiento de incorporacin del mensaje esteganogrfico, en el portador para obtener el estego-mensaje. Segn el tipo de estego-algoritmo podemos distinguir entre dos tipos de esteganografa: Esteganografa pura y esteganografa de clave secreta. Esteganografa pura : En este tipo de esteganografa el estego-algoritmo establece un mtodo fijo para incorporar el mensaje esteganogrfico en el portador para obtener el estego-mensaje. En esta estrategia se est suponiendo que el guardin del problema del prisionero no conoce nada sobre el estego-algoritmo. Por tanto estamos basando nuestra seguridad en la oscuridad. Este enfoque para conseguir la seguridad raramente funciona y es especialmente desastroso en el caso de la criptografa.
Curso: Seguridad de Sistemas 10/11/2012 16

Metodologas de Encriptacin

Esteganografa (cont.): Clasificacin segn el Estego-algoritmo (cont.):


Esteganografa de clave secreta :
En este tipo de esteganografa el estego-algoritmo est parametrizado por una clave esteganogrfica , a la que se le llama estego-clave que define como aplicar el algoritmo. Por ejemplo, la estego-clave podra indicar el lugar dentro del portador a partir del cual se comienza a realizar la incorporacin del mensaje secreto. Tanto el estego-algoritmo como la estego-clave deben estar previamente acordadas entre el emisor y el receptor.

El proceso de extraccin consiste en aplicar el estego-algoritmo y la estego-clave necesarios al estego-mensaje recibido para obtener el mensaje esteganogrfico. En este escenario el guardin del problema del prisionero puede conocer el estego-algoritmo pero no conoce la estego-clave, que se emplea en el mismo. En esta estrategia estamos basando nuestra seguridad en el principio de Kerckhoffs. Aplicado a la esteganografa, el principio de Kerckhoffs podra incluir como informacin revelable, el acceso a la informacin portadora antes de aplicrsele el estego-algoritmo.
Curso: Seguridad de Sistemas 10/11/2012 17

Proyectos

Propuestas de Prcticas a desarrollar al finalizar este Tema: 1. Propuestas de Proyectos:


Aplicando los principios establecidos en este documento, realice una discusin grupal, donde sean planteados distintos tpicos relacionados con un proceso de Ingeniera Social. La propuesta debe contener:

documentarla adecuadamente, Conclusiones y Recomendaciones. Este proyecto debe ser entregado en hojas de papel simple, el da
de finalizacin del tema. Este escenario puede hacer referencia a cualquier ambiente de trabajo u actividad social, donde aplique el tema.

Justificacin, Alcances y limitaciones, Prctica de las reas de Gestin de Ingeniera Social, importante

Curso: Seguridad de Sistemas

10/11/2012

18