INGENIERIA SOCIAL

El principio en el que se sustenta la Ingeniera Social es aquel que afirma que en

cualquier sistema los usuarios y el personal son el eslabn dbil de la cadena. En
la prctica, un Ingeniero Social utiliza comnmente el telfono o internet para
engaar a gente simulando, por ejemplo, ser un empleado de un banco o de una
empresa, un compaero de trabajo, un tcnico o un cliente y as obtener
informacin de una persona o empresa

Es el acto de engaar a la gente para que haga algo que no desea o para que
proporcione informacin confidencial. (Kevin Mitnick).

En otras palabras, es el arte de persuadir con engao para que casi sin darse
cuenta, los afectados compartan datos vitales con un desconocido. De acuerdo a
Christopher Hadnagy en su libro Ingeniera Social el Arte del Hacking Personal

Se define a la Ingeniera Social como El acto de manipular a una persona para
que lleve a cabo una accin que-puede ser o no-lo ms conveniente para cumplir
con cierto objetivo. Este puede ser la obtencin de informacin, conseguir algn
tipo de acceso o logar que se realice una determinada accin.

Por ejemplo, los mdicos, los psiclogos y los terapeutas a menudo utilizan
elementos que se consideran de Ingeniera Social para manipular a sus
pacientes para que realicen acciones que son buenas para ellos, mientras que un
estafador utiliza elementos de la Ingeniera Social para convencer a su vctima
para que realice acciones que le perjudican. Aunque el resultado es muy diferente,
el proceso puede ser muy parecido.

Otras definiciones de ingeniera Social:
La Ingeniera Social es mentir a la gente para obtener informacin.
La Ingeniera Social es ser un buen actor.
La Ingeniera Social es saber cmo conseguir cosas gratis.
La Ingeniera Social es utilizada en la vida diaria, por ejemplo, en la manera en
que los nios consiguen que los padres atiendan a sus peticiones. Es utilizada por
los profesores en el modo de interactuar con sus estudiantes y por los doctores,
abogados o psiclogos para obtener informacin de sus pacientes o clientes.

En definitiva, es utilizada en cualquier interaccin humana, desde los nios hasta
los polticos.

La Ingeniera Social no es una accin resuelta, sino una recopilacin de las
habilidades que, cuando se unen, componen la accin, el ingenio y la ciencia a la
cual se le llama Ingeniera Social. De la misma manera, una buena comida no es
slo un ingrediente, sino que se crea con la mezcla cuidadosa de varios
ingredientes. Podra decirse que un buen Ingeniero Social es como un chef.

La Ingeniera Social y su lugar en la sociedad
La Ingeniera Social puede utilizarse en muchas facetas de la vida, pero no todos
estos usos son maliciosos o negativos. Muchas veces la Ingeniera Social puede
utilizarse para motivar a una persona para realizar una accin que es buena para
ella: Cmo?

Piense en esto: Juan necesita perder peso. Sabe que su salud es mala y que tiene
que hacer algo al respecto. Todos los amigos de Juan tienen sobrepeso tambin.
Incluso hacen chistes sobre las alegras de tener sobrepeso y dicen cosas como
me encanta no tener que preocuparme por mi figura. Por una parte, esto es un
aspecto de la Ingeniera Social. Es una prueba social o consenso, donde lo que se
considera aceptable est determinado por quienes estn alrededor. Sin embargo,
si uno de los amigos de Juan pierde peso y en vez de criticar a los dems decide
intentar ayudarlos, existe la posibilidad de que cambie la estructura mental de
Juan sobre su peso y empiece a pensar que adelgazar es posible y bueno para l.

Esto es, en esencia, Ingeniera Social. A continuacin, otros ejemplos:

1.- El Timo 419: Llamado tambin la Estafa Nigeriana, se lleva a cabo
principalmente por correo electrnico no solicitado. Adquiere su nombre del
nmero de artculo del cdigo penal de Nigeria que viola, ya que buena parte de
estas estafas provienen de ese pas.

Si recibe algo de correo basura, con mucha seguridad ya debe haber recibido un
e-mail en ingls donde la explica que cierto funcionario que tiene acceso a unos
fondos acumulados pero que tiene problemas para efectuar l mismo la operacin,
porque se trata de fondos secretos y como tiene que sacarlo de Nigeria lo ms
rpido posible, entonces ofrece una compensacin fuera de lo comn.

Los defraudadores profesionales ofrecen transferir millones de dlares a su cuenta
bancaria a cambio de un pequeo cargo. Si usted responde al ofrecimiento inicial,
es posible que reciba documentos que parecen ser oficiales. Entonces,
generalmente se le pide que provea los nmeros de sus cuentas bancarias y una
serie de informacin de carcter privado para hacer efectivo el traspaso.

Por increble que parezca, en el ao 2001 alrededor de 2.600 ciudadanos fueron
vctimas de esta estafa, con una prdida de ms de $300.000 dlares.

2.- Robo de empleados:
El tema de robo de empleados puede llenar volmenes enteros. Ms del 60% de
los empleados entrevistados admitieron haber tomado informacin de algn tipo
de sus empleadores. Muchas veces esta informacin se vende a la competencia.
Otras veces, lo que roban los empleados es tiempo o recursos; en algunos casos,
un empleado descontento puede causar mucho dao.

Caso:
Cierta empresa consideraba que todo el mundo all era parte de la familia y que
no era necesario aplicar polticas de despido de empleados. Desgraciadamente
lleg el da de despedir a uno de los directivos de ms alto rango de esta
empresa. El despido fue amigable y el directivo fue comprensivo. Una cosa que la
empresa hizo correctamente fue llevar el despido a la ltima hora de la jornada
para evitar el bochorno o cualquier tipo de distraccin. Hubo un apretn de manos
y entonces el ex directivo hizo la fatdica pregunta: Puedo tomarme una hora
para limpiar mi mesa y sacar algunas fotos personales del computador?
Al tener buenas sensaciones despus de la reunin todos estuvieron rpidamente
de acuerdo y se fueron entre alegres sonrisas. Entonces el ex directivo se fue a su
despacho, empaquet sus objetos personales, sac las fotos y otros datos de su
computador, se conect a la red y limpi el equivalente a 11 servidores en
informacin: registros de contabilidad, nminas, facturas, rdenes, historiales,
grficos y mucho ms, todo borrado en cuestin de minutos. El ex directivo
abandon el edificio sin dejar pruebas de que l fue quien llev a cabo este
ataque.

Un empleado descontento al que se deja actuar libremente puede ser ms
devastador que un equipo de hackers decididos y experimentados. La prdida
estimada slo en empresas de Estados Unidos por robos de empleados es del
orden de 15.000 millones de dlares.

3.- Phishing:
Un ataque muy simple pero efectivo es engaar al usuario llevndolo a pensar que
un administrador del sistema le est pidiendo una contrasea para propsitos
legtimos. Quienes navegan en internet frecuentemente reciben mensajes que
solicitan contraseas o informacin de su tarjeta de crdito con el motivo de crear
una cuenta, reactivar una configuracin u otra operacin aparentemente
inofensiva. A este tipo de ataques se lo llama phishing. Los usuarios de estos
sistemas deberan ser advertidos temprana y frecuentemente para que no
divulguen contraseas u otra informacin sensible a personas que dicen ser
administradores.

4.- Spoofing:
Tcnicas de suplantacin de identidad en la red generalmente con usos
maliciosos. Por ejemplo, a fuerza de haber sufrido virus gracias a correos
engaosos, bloqueos de casillas a causa del spam y otras delicias, muchos
usuarios slo chequean el correo electrnico proveniente de remitentes conocidos
y seguros. Esta (ltima) opcin tambin se ve amenazada gracias al spoofing,
tcnica que puede engaar a cualquier usuario enviando e-mails de todo tipo
(propaganda, agitacin poltica, etc.) bajo la mscara de una direccin segura de
un remitente conocido.

En este caso, alguien se apropia del nombre y la contrasea de una direccin de
correo y la utiliza para enviar correo masivo preferentemente a las personas que
no dudaran en abrir una mensaje proveniente de esa direccin (dato fcilmente
extrable de la lista de correo).

TIPOS DE INGENIEROS SOCIALES
Hackers: Llamados piratas informticos. Realizan actos ilcitos.

Probador de penetracin: Usan juicio para garantizar la seguridad de un
cliente.

Los ladrones de identidad: Usan informacin sin el conocimiento del
propietario.

Empleados descontentos. Ataques a la propia empresa.

Vendedores: Tienen habilidades de la ingeniera social para vender.

Gobiernos: Tienen habilidades de la ingeniera social para asegurarse de que
sus temas estn en control.

Los mdicos, psiclogos y abogados: Usan la ingeniera social para
manipular a sus clientes en la direccin que ellos quieren tomar.

TIPOS DE INGENIERIA SOCIAL

Basados en el engao Humano. Los atacantes manipulan y explotan los
sentimientos y emociones de las personas.

Basados en el uso de Tecnologa. Consiste en hacerle creer a la persona que
esta interactuando realmente con un programa u ordenador con el fin de que nos
provea informacin valiosa.

PRINCIPIOS
Reciprocidad. Por norma general la gente tiende a devolver un favor.

Compromiso y consistencia. Cuando un atacante compromete a su vctima
a esta no le quedar ms remedio que ceder ante las presiones del atacante.

La prueba social. La tendencia del ser humano a imitar el comportamiento de
los semejantes de forma automtica e irracional.

Autoridad. Explota la vulnerabilidad de los humanos a subordinarse a las
figuras de autoridad.

El Gusto. Las personas con buena presencia, van a tener facilidad de influir a
otros.

La Escasez. La escasez percibida generar la demanda.



PROCEDIMIENTO

Identificar a la Victima. El ingeniero social se convierte en una persona
totalmente distinta a fin de agradarle y obtener la informacin que desea.

Reconocimiento. No es otra cosa que obtener informacin de la vctima.

Crear un escenario. Debe ser creble, participarn la vctima y el ingeniero social.

Realizar el ataque. Supone que se conocen de ante mano toda la informacin
necesaria para llevarlo a cabo sin dejar rastros.

Obtener la informacin. Una vez se obtiene la informacin se procede a salir.

Salir. Implica el borrado de huellas y evidencias de que se estuvo all.

TCNICAS Y HERRAMIENTAS

1. Invasivas o Directas o Fsicas.
Telfono. Persuasin falsa mediante amenazas o reportes de problemas.
El sitio de Trabajo. Acceso fsico no autorizado a documentos sensibles.
La basura. Recolectar informacin sensible que fue desechada.
Fuera de la Oficina. Tragos, charlas del almuerzo

2. Seductivas o Inadvertidas.
Carisma. Adulacin
Reciprocidad. Promesas de ayuda, confianza.
Consistencia. Constancia para crear familiaridad.
Validacin social. Conseguir informacin de un compaero.

Fuentes de Recopilacin de Informacin
Existen muchas fuentes diferentes de recopilacin de informacin. La siguiente
lista no puede abarcar todas las posibilidades existentes, pero perfila las opciones
ms importantes.

1.- Recopilar Informacin de los sitios web
Los sitios web personales o corporativos pueden proporcionar una gran cantidad
de informacin. Lo primero que har normalmente un buen Ingeniero Social es
reunir todos los datos que pueda del sitio web de la persona o de la empresa.
Dedicarle tiempo al sitio web puede llevarle claramente a:

- Lo que hacen.
- Los productos y servicios que ofrecen.
- Las localizaciones fsicas.
- Las ofertas de puestos de trabajo.
- Los nmeros de contacto.
- Las biografas de los ejecutivos o del consejo administrativo.
- El foro de apoyo.
- La nomenclatura de los correos electrnicos.
- Palabras o frases especiales que pueden ayudar a determinar contraseas.

2.- Servidores Pblicos
Los servidores pblicos de una empresa tambin son buenas fuentes de la
informacin que sus sitios web no proporcionan.

Las direcciones IP pueden decir si los servidores estn alojados localmente o con
un proveedor, con los registros de DNS puede determinar nombres y funciones de
servidores y direcciones IP.

3.- Redes Sociales
Muchas empresas han empezado a interesarse por las redes sociales. Es
publicidad barata que llega a un gran nmero de clientes potenciales. Tambin es
una nueva corriente de informacin de una empresa que puede proporcionar
algunos datos tiles.

4.- Sitios de usuarios blogs y otros
Los sitios de usuarios como los blogs, wikis y videos online no solo pueden
proporcionar informacin sobre la empresa objetivo, sino que tambin ofrecen una
conexin ms personal a travs del contenido subido por el usuario. Un empleado
descontento que est hablando en su blog sobre sus problemas en la empresa,
puede ser susceptible de compartir informacin privilegiada que cualquiera puede
ver y leer.

MECANISMOS PARA CONTRARRESTAR
Utilizar el sentido comn y no divulgar informacin que podra poner en peligro la
seguridad de los activos informticos.

CONCLUSIONES
Es importante el promover el desarrollo de una cultura de seguridad en donde no
se debe ignorar la interaccin persona-maquina.

La mejor defensa es la educacin combinada con tecnologa para ayudar a que
los clientes o empleados tengan una actitud hacia la seguridad y cuestionar las
cosas. Se deben tener procedimientos de respuesta a incidentes y equipos que
mitiguen el dao si ocurre un ataque.