Mdulo 6.

Seguridad en proyectos de gobierno electrnico

La ingeniera social
La ingeniera social es la obtencin de datos confidenciales mediante el uso de
la psicologa y la ingenuidad de las personas, para hacer que ellos mismos
revelen informacin til a terceras personas.
Quin la hace?
Estas actividades son efectuadas por personas clasificadas en los siguientes
grupos:

Hackers
Reporteros
Investigadores privados
Inteligencia de negocio
Secuestradores
Otros

Objetivos
El objetivo de la ingeniera social es recabar informacin sobre una empresa o
sujeto, para analizarla, definir lo que est haciendo y disear la estrategia de
ataque.
En seguida mostraremos un artculo que apareci en el peridico El Norte
(Interfase, 24/02/2003) sobre la secuencia de informacin, es decir texto e
imgenes que ilustraron esta publicacin.
Cudate de los hackers
Por Jos Antonio Chvez/El Norte
Monterrey, Mxico.- Una investigacin del Grupo REFORMA deja claro lo fcil
que es obtener datos tan confidenciales como claves de acceso por parte de
empleados de empresas importantes a travs de una sola llamada telefnica.
Las empresas fueron seleccionadas al azar, y en cada caso se hizo solamente
una llamada, durante la cual se trat de engaar al usuario para revelar su clave.
En todos los casos, se hizo creer al usuario que la llamada provena del
departamento de sistemas de la empresa y que haba un problema en la red
interna. Despus de varios minutos de presuntas pruebas, se pidi la clave a
cada usuario; ocho de los 13 accedieron a proporcionarla.
Principales armas:
Telfono
E-mail
Chat (messenger, ICQ, etc)
DR. Universidad Virtual del Tecnolgico de Monterrey

Mdulo 6. Seguridad en proyectos de gobierno electrnico

Telfono

- Juan Prez? Hola, soy Pedro Lpez, de sistemas; tuvimos un problema con tu
cuenta, parece que se corrompi el archivo de passwords. Te pudiste conectar
bien hoy? Aj, perfecto. A ver, tu nombre de usuario es 'jperez, verdad? Y tu
password es perez01? No? Ah, se es el problema, me puedes decir qu
password usas?
El telfono es el mtodo ms antiguo de ingeniera social y, sin embargo, sigue
siendo uno de los ms usados, por su efectividad.
El truco consiste en llamar a la persona y engaarla para que revele informacin.
Una de las tcnicas ms antiguas es la lnea: "Hola, llamo de soporte tcnico y
tuvimos un problema con los servidores; me puedes dar tu nombre de usuario y
tu password?". Burdo, s, pero a veces funciona.
Un atacante ms inteligente ser ms sutil. Probablemente har ms preguntas,
procurar sonar amistoso, y solamente al final pedir el password.
Sin embargo, hay otros sistemas. Por ejemplo, el intruso puede hacerse pasar
por un colega y decir que su computadora est fallando, y que necesita cierta
informacin de prisa, y pedir como favor que el usuario la consulte en su
terminal. Esta informacin puede ser confidencial, como datos o nmeros
personales de clientes. Para que este mtodo sea ms efectivo, el intruso puede
fingir ansiedad, o bien insinuar que la informacin la pidi de urgencia alguno de
los jefes (incluso puede mencionarlos por nombre). La respuesta instintiva de
alguien que no est en guardia ser la de hacerles el favor.

eMail

De: soporte@correo.com
Para: jperez@correo.com
Estimado seor Prez:
Lamentamos informarle que su cuenta de correo presenta un problema, que
podra ocasionar que pierda todos sus mensajes e incluso que su computadora
podra estar infectada con un virus. Para realizar una revisin, requerimos que
nos responda a este mensaje, enviando su nombre de usuario y su password.
La revisin es gratuita, y en menos de 24 horas podremos arreglar el problema.
Agradecemos la atencin prestada a la presente.
Con la ayuda "email spoofing", para falsificar los datos que aparecen en la parte
superior de un mensaje electrnico. Si un usuario estndar lee una peticin que
parece provenir de una direccin correcta, hay posibilidades de que no lo piense
dos veces para responder. El problema es que falsificar la procedencia de un
DR. Universidad Virtual del Tecnolgico de Monterrey

Mdulo 6. Seguridad en proyectos de gobierno electrnico

correo electrnico es sumamente sencillo para un "cracker", por lo que siempre

es mala idea responder a este tipo de mensaje. Por ello, las empresas de
Internet no suelen hacer peticiones de este tipo por correo, sino que buscan un
contacto telefnico. Y una pieza de informacin clave: tu proveedor de Internet
nunca te pedir tu password; dado que ellos lo tienen en archivo, no tendra
lgica alguna.
Lo mismo pasa con la funcin de soporte tcnico, que nunca debera de pedirte
el password.

Chat

ATENCIN: Has sido infectado con un virus que permite que los hackers
se metan en tu mquina y lean tus archivos, etc. Te sugiero que bajes este
archivo y limpies tu mquina. El archivo est en...
Con el aumento de usuarios de IRC, chats y mensajeros instantneos
(programas como ICQ, AIM o Yahoo Messenger), era inevitable que los intrusos
aprovecharan las facilidades que ofrecen estos medios de comunicacin.
En estos medios, los crackers mandan mensajes a cientos de usuarios (con la
seguridad de que algunos caern en la trampa), en los que se hacen pasar por
operarios del sistema y advierten al usuario que requiere un programa, o bien, le
ofrecen software gratis.
El problema se extendi tanto que CERT, una de las principales instituciones
dedicadas a la seguridad en Internet, emiti el ao pasado un reporte de
incidentes titulado "Ingeniera social por medio de IRC y mensajera
instantnea".
"Los mensajes tpicamente ofrecen la oportunidad de bajar software de algn
valor para el usuario, como facilidad para bajar msica, proteccin antivirus o
pornografa", explica. "Una vez que el usuario baja y ejecuta el programa, su
sistema es controlado por el atacante para usarlo como agente en otros
ataques".
El software que el usuario recibe puede ser un caballo de Troya, que le permitir
al cracker controlar la computadora de manera remota y copiar o destruir la
informacin. O bien, puede ser un key logger o "grabador de teclas", que guarda
en memoria todo lo que se escribe en el teclado y luego lo enva al intruso;
analizando las teclas oprimidas, el cracker puede deducir fcilmente los
passwords del usuario.

DR. Universidad Virtual del Tecnolgico de Monterrey

Mdulo 6. Seguridad en proyectos de gobierno electrnico

Cambio de password
-"Hola? Sistemas? Soy Juan Prez, de contabilidad. Oye, perd mi password,
no podras cambiarlo? Gracias. S, que el password nuevo sea...".
No solamente los usuarios pueden ser engaados; hay ocasiones en que los
mismos encargados de los sistemas pueden ser convencidos por un intruso para
dar acceso a una cuenta de usuario.
Aunque hay que reconocer que estos casos son ya menos comunes, gracias a
que existe ms conciencia de los problemas de seguridad entre los
administradores de sistemas, se han registrado casos recientes en Estados
Unidos (y probablemente en Mxico, aunque estos rara vez salen a la luz
pblica). Como usuario, si encuentra que tiene problemas accesando a algn
servicio, comunquese de inmediato con el departamento correspondiente, y
pida que investiguen si ha habido accesos a su cuenta desde la ltima vez en
que se us.

Copias del artculo del peridico El Norte

DR. Universidad Virtual del Tecnolgico de Monterrey

Mdulo 6. Seguridad en proyectos de gobierno electrnico

Soluciones:

DR. Universidad Virtual del Tecnolgico de Monterrey

Mdulo 6. Seguridad en proyectos de gobierno electrnico

Algunas de las soluciones a este problema de la ingeniera social son las

siguientes:

Poltica de seguridad en la Informacin: establecer oficialmente la poltica

que normar la proteccin de la informacin.

Programa de concientizacin: elaborar un programa institucional para

incrementar el nivel de conciencia hacia la seguridad de la informacin. La
meta es que el personal que forma la organizacin incorpore las prcticas de
seguridad de la informacin a su da con da.
Muestreo de cumplimiento: efectuar auditorias para medir el nivel de
cumplimiento de la poltica.
Publicacin de resultados: dar a conocer los resultados de las auditoras,
junto con las acciones correctivas. El objetivo es tener un 100 por ciento de
cumplimiento.
Campaa motivacional: para que el cumplimiento de las prcticas se haga lo
ms rpidamente posible.

Referencias bibliogrficas:
1. Chvez, Jos Antonio. (2003). Ingeniera social. Peridico El Norte. Mxico.
Febrero 24, 2003.

DR. Universidad Virtual del Tecnolgico de Monterrey