Prometeo: ¿el Dios de la ingeniería social?

Según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería social es
probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a
creer que podía engañar a Zeus, el mayor de los dioses. En la Teogonía y Trabajos y días, el poeta
épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas y sus astutos ardides.
Se le atribuye la creación del hombre, modelado a partir de barro. En lo que se conoce como el
"Engaño de Mecona", Prometeo presentó a Zeus dos ofrendas para dirimir una disputa entre dioses
y mortales.

Una ofrenda era la carne de un buey metida en el interior de su estómago, la otra era el esqueleto
del buey cubierto con brillante grasa. La una era alimento envuelto en cobertura vil mientras la otra
era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligió la última y, como
consecuencia, en lo sucesivo la humanidad debería sacrificar a los dioses sólo huesos y grasa,
conservando la carne para sí. Enojado por el engaño de Prometeo, Zeus castigó a los mortales
quitándoles el fuego. Sin embargo, en un acto más de ingeniería social contra Zeus, Prometeo robó
“el brillo que se ve de lejos del infatigable fuego en una hueca cañaheja” del monte Olimpos y se lo
legó a los hombres. Como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada
día llegaba un águila que le comía el hígado; por la noche éste le volvía a crecer. Como castigo para
los hombres, Zeus creó a la primera mujer, Pandora, quien portaba un ánfora que ella abrió por
curiosidad, liberando incontables plagas.

El ataque de phishing de Jacob y Rebeca

Del Antiguo Testamento proviene la historia de Jacob y su madre Rebeca, quien utilizó una técnica
de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a la víctima que el
atacante es alguien diferente. El padre de Jacob y esposo de Rebeca, Isaac, se quedó ciego en los
últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijo mayor, Esaú: “tráeme
caza y prepárame un buen guisado como a mí me gusta y tráemelo para que yo coma y que mi alma
te bendiga antes que yo muera.” (Génesis 27:2-4.) Como quería que fuera Jacob en lugar de Esaú el
que recibiera las bendiciones de Isaac, Rebeca concibió un plan. Jacob, reacio al principio, dijo: "Esaú
mi hermano es hombre velludo y yo soy lampiño. Quizá mi padre me toque, y entonces seré para él
un engañador y traeré sobre mí una maldición y no una bendición.” (Génesis 27:11- 12.) Para
engañar a Isaac y hacerle creer que estaba con Esaú, Rebeca preparó la comida de Isaac, vistió a
Jacob con las mejoras ropas de Esaú y le puso piel de cabrito en las partes lampiñas de las manos y el
cuello. Jacob le entregó la comida a Isaac, superó la prueba de autenticación y consiguió las
bendiciones que debían ser para Esaú.

Sansón y Dalila: espionaje a sueldo

Sansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. El secreto de su
fuerza estaba en su largo cabello. Estando en Gaza, Sansón se enamoró de Dalila. Los filisteos la
convencieron para que averiguara el secreto de la fuerza de Sansón a cambio de 1.100 monedas de
plata. “Persuádelo, y ve dónde está su gran fuerza, y cómo podríamos dominarlo para atarlo y
castigarlo. Entonces cada uno de nosotros te dará 1.100 monedas de plata.” (Jueces 16:5.) Sansón se
resistió a desvelar su secreto antes de sucumbir a su capacidad de persuasión. Así que ella le dijo:
“¿Cómo puedes decir: 'Te quiero,' cuando tu corazón no está conmigo?” “Me has engañado tres
veces y no me has declarado dónde reside tu gran fuerza.” Finalmente, tras insistir y acosarlo día y
noche, se rindió. De modo que le dijo: ”Nunca ha pasado navaja sobre mi cabeza, pues he sido
Nazareo para Dio desde el vientre de mi madre. Si me cortan el cabello, mi fuerza me dejará y me
debilitaré y seré como cualquier otro hombre.” (Jueces 16:15–17.) En cuanto Sansón se durmió,
Dalila se aprovechó de su vulnerabilidad y le cortó el pelo. Debilitado como quedó, los filisteos
prendieron a Sansón, le sacaron los ojos, lo encadenaron y encarcelaron para siempre.

El primer caballo de Troya

La historia del caballo de Troya, famosa gracias a la obra épica del poeta griego Homero, la
Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaños de ingeniería social más
inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no pudieron
derribar las murallas que circundaban la ciudad. El astuto guerrero griego Ulises concibió una
estratagema para inducir a los troyanos a creer que los griegos habían abandonado el asedio de la
ciudad. Los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera
junto con un soldado griego llamado Sinón.

Tras ser capturado por los troyanos, Sinón les dijo que los griegos habían dejado el enorme caballo
de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que
lo habían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad,
ya que ello les traería mala suerte a los griegos.
El relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la
ciudad, a pesar de los avisos de Casandra, que fue maldita con la habilidad de predecir el futuro sin
que nadie la creyera jamás, y de Laocoonte, un sacerdote troyano. La falta de juicio de los troyanos
fue su perdición. Esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del
caballo mataron a los guardias y abrieron las puertas al resto del ejército. Gracias a la ingeniosa
táctica de ingeniería social ideada por
Ulises, los griegos derrotaron a los troyanos.

El caballo de Troya actual

Cuando Ulises trazó su plan para infiltrarse en Troya, poco imaginaba él que estaba sentando un
precedente para los siglos venideros. El tipo de malware más frecuente que se encuentra en la
actualidad, el término "caballo de Troya" electrónico lo acuñó Daniel
Edwards de la Agencia de Seguridad Nacional de Estados Unidos en los años setenta.
Edwards le puso ese nombre por la técnica de ingeniería social utilizada por los griegos.

Antes de Internet, los usuarios de PC que querían compartir archivos de software lo hacían mediante
dispositivos físicos o conectándose a los sistemas de tablón de anuncios (BBS). Los piratas
informáticos con fines malintencionados se dieron cuenta enseguida de que podían inducir a los
usuarios a ejecutar un código malintencionado sencillamente disfrazándolo como un juego o una
utilidad. Debido a la simplicidad y efectividad de los troyanos, los creadores de malware todavía
emplean esta técnica de ingeniería social siglos después. En la actualidad, el número de usuarios de
PC que se dejan infectar con troyanos es alarmante. Les atrae la tentación de la música, los vídeos, el
software gratuitos y los simpáticos mensajes electrónicos de anónimos “seres queridos”.

Un timo actualizado

El fraude del pago por adelantado, más conocido como timo nigeriano (timo 419), ha circulado
durante décadas y sigue siendo uno de los tipos de spam más prolíficos. El número “419” hace
referencia a la sección del Código Penal de Nigeria que prohíbe esta práctica. Esta táctica de
ingeniería social de “enriquecimiento rápido” llegó en forma de carta y empezó a distribuirse por
correo postal en los setenta. El timo evolucionó hacia faxes no solicitados en los ochenta y, en la
actualidad, se envía casi exclusivamente a través del correo electrónico. Sus orígenes se remontan al
siglo dieciséis, cuando se conocía como el timo del prisionero español. El plan es bien sencillo: se
informa a una víctima ingenua sobre un prisionero español enormemente rico que necesita ayuda
para ser liberado. Este por así llamarlo prisionero contaba con que el estafador recaudaría la
cantidad necesaria para el rescate. El estafador abordaba a la víctima contándole la historia y
“permitía” que él o ella le ayudaran con una parte de la recaudación de fondos, bajo la promesa de
enormes ganancias. Hoy conocemos numerosas variantes de la carta, pero el concepto es el mismo.
El timo nigeriano atrae a sus víctimas con la tentadora promesa de un pago multimillonario a cambio
de una “inversión” de sólo unos pocos miles de dólares. Aunque la mayoría de los receptores
comprenden que la oferta es demasiado buena para ser cierta, aproximadamente un 1% de los
destinatarios acaba respondiendo.

Según los servicios secretos de EE. UU., los timadores estafaron a sus víctimas una media de 100
millones de dólares anuales.
INGENIERÍA SOCIAL
CASO DE ESTUDIO:
“Me haces un favor?. Por supuesto!”
________________________________________

Introducción
Este documento está escrito con el único fin de que sirva de ejemplo para todos los estudiantes de
mis asignaturas, posiblemente podrá servirle de ejemplo a otras personas. He decidido escribirlo
porque creo que contiene buenos ejemplos de cómo se puede encaminar un ataque de ingeniería
social detectando los puntos vulnerables de una posible víctima.

Esta conversación se desarrolla en un horario nocturno, inicialmente lo percibí como un posible

ataque de Ingeniería Social contra mí, después de un tiempo sigo pensando que pudo ser así. La
conversación está escrita tal como sucedió, sin embargo entre líneas van los comentarios sobre lo
que pienso al respecto.

Nota: La palabra víctima es usada en el documento en modo amable y con el ánimo de ejemplificar,
puede ser cualquier persona como tu o como yo.

Ingeniería Social
La ingeniería social se puede dar de muchas formas, pero dos vectores de ataque principales ocurren
en las siguientes circunstancias:

1. La víctima tiene deseos de colaborar y de sentirse útil, en ese momento esta persona será
vulnerable si es posible intercambiar el servicio por unas palabras que provoquen
sensaciones de satisfacción o por una remuneración que estimule positivamente a la víctima.

2. La víctima está solicitando un favor, tiene una necesidad, en ese momento es vulnerable
porque su foco de atención es la necesidad puntual y cualquier otra cosa estará en segundo
plano, por lo tanto siempre y cuando parezca que esta obteniendo una solución a su
necesidad la víctima “estará dispuesta” a entregar la información.

En este caso de estudio evaluaremos un ataque tipo 2.

La conversación se desarrolla entre un supuesto Ingeniero Social y una supuesta víctima.

Conversación
víctima: Hola
soy una prima de Catalina
Ingeniero: Hola
víctima: te puedo hacer una pregunta
Ingeniero: si, no hay problema

## Hasta este momento todo normal, una típica conversación de MSN.

víctima: lo q pasa es que una vieja me acabo de decir por msn q me va a robar la cuenta q
puedo hacer ella ya le ha hecho esto a varias personas
de la cuenta q me hablo era de una amiga q también se la robó

## Comienzan las sospechas, al parecer es alguien que no sabe mucho del tema, sin embargo puede
## estar enterada de que es posible que alguien pueda robarse una clave.

Ingeniero: entiendo, y en que puedo ayudarte?

## Conservando la calma y prestando mínima importancia al asunto le hace sentir a la otra persona
## que su caso es típico o que simplemente no me importa.

víctima: q puedo hacer, si es posible q me robe la cuenta, como hago para q salirle adelante
esto fue lo q me escribió listo, tengo tu ip te van a pasar cosas raras a tus cositas jajaaj el pc
cambiara un poco jaajaj

## Esta solicitando un favor, así que entramos en el modo de ataque 2.

Ingeniero: y es que ella es hacker?

## Desvío la atención del tema y lo enfoco en la otra persona

víctima: se cree por q ya lo ha hecho varias veces

Ingeniero: entiendo, pero no creo que te haga algo debe ser pura bulla, no te alarmes

## Le doy un OK a lo que dice, ella siente que estoy de acuerdo con su forma de pensar y luego
## trato de ponerme al nivel de su conversación, usando palabras que ella podría usar o expresiones
## que le sean comunes. Quién dijo Rapport?

víctima: ps la verdad si me da un poquito de miedo por q ya le robo la cuenta una amiga

no hay alguna forma de evitar eso?

Ingeniero: si
configurando opciones en el sistema en tu cuenta personalizandola!

## Una respuesta simple, para insinuarle que ella no sabría como solucionar el problema con
## soluciones mas técnicas, en resumen, lo obvio. Si esta verdaderamente interesada en que yo le
## ayude, volverá a preguntar. (atención a la última palabra personalizan...)
víctima: si eso hice desde q se lo hice a mi amiga entonces confiemos
jaja muchas gracias

## Aquí se puede terminar la conversación si respondo algo como “ok”, o “hasta pronto”. Debo
## regresarla al tema, debo terminar la tarea, la respuesta suya es muy extraña.

Ingeniero: como asi que se lo hice a mi amiga?

no entendi, ella no te lo estaba haciendo?

## Una pregunta confusa pidiendo detalles hará que lo vuelva a explicar, si la nueva explicación
## contradice la primera, entonces todo es mentira, en caso de que sea verdad, ayudará a entender
## mas a fondo el asunto.

víctima: ella ya se lo hizo a una amiga mia

ya le robo la cuenta es mas desde la cuenta q me hablo es la q le robo a mi amiga
perdon es q me quivoque personalize mi cuenta desde q ella le hizo lo mismo a mi amiga

## Usó la palabra personalizar, ya esta en rapport!

Ingeniero: entiendo, pero entonces si es hacker ella, que miedo

víctima: qqqqqqqqq

## Hago que sienta que me identifico con ella, lo que ella pueda ver, escuchar o sentir sobre el
## asunto.

Ingeniero: la clave que usas es sencilla?, tiene patrones de mexcal?

## Invento un termino y calculo el tiempo que toma en responder, con eso concluyo si va a google a
## buscar lo que significa o si no. En este paso pude haber creado un sitio web con una palabra
## mágica que google pueda indexar, de este modo cuando alguien busque la palabra encontrará mi
## documento publicado haciendo que se corrobore lo que digo. Como el documento aparece por ##
google y nunca le dije que lo buscara, ella pensará que es realidad lo que le estoy diciendo.
## En este caso, la respuesta es casi inmediata dándome a entender que no le presto
## atención a lo que le dije, pero que igual logró el objetivo de asustarla.

víctima: como asi... no me haga asustar

Ingeniero: si esta bajo la norma mexcal no hay problema, ella no puede adivinarla
víctima: si Catalina me dijo q hiciera eso hace tiempo letras combinado con numeros

## Tiene algo de información, tiene un poco de susto y sabe que puedo ayudarla.

Ingeniero: pero cual esta usando en este momento Catalina?

## Pregunta incoherente para que cambie su concentración en el tema.

víctima: como asi?

Ingeniero: solo quería saber si si estas usando las claves suficientemente seguras, es la única forma
que ella puede usar para apoderarse de tu cuenta

## Nos enfocamos de nuevo en el problema.

víctima: ps la verdad no creo q adivine la clave

es muy segura

## Seguro que si.

Ingeniero: ah bueno, entonces no hay lio

## Le hago pensar que no me interesa su clave, tampoco mucho su asunto, de esta forma puede
## confiar mas en lo que diga.

víctima: entonces si tengo una contraseña segura nadie me la va a hackear

Ingeniero: correcto
pero tiene que ser completamente segura
con estándares internacionales

## Siempre estoy de acuerdo con ella, pero reafirmo su paranoia, hablando de temas que quizás
## sean raros para ella

Ingeniero: tengo un programa local que le da una puntuación de 1 a 100

si pasa de 70 es segura
si pasa de 90 es muy segura
y si es menos de 40, cualquiera con técnicas y herramientas la rompe

## Ahora hago la tarea. Si esto se hubiera dicho antes no funcionaría y si se hubiera dicho después,
## seria demasiado tarde.

víctima: me podrias pasar el programa'

Ingeniero: funciona en MacOSX versión 10.8
si estas en windows no funciona
si quieres copias la clave por aqui y yo la pruebo con el programa

## Supongo que esta en Windows, así que le planteo un escenario que ella no tenga fácilmente.
## Hay que quitar el foco de atención y hacerle pensar que solo hay una forma de que pueda ##
obtener sus respuestas, obviamente a través de mi.

víctima: jajaja me da pena por q para mi es segura por q es combinada

pero bueno te la paso y me dices como la cambio o como la organizo
78loky8u7

## Hecho!, aunque aún no termina la tarea, pues hay que lograr que todo parezca natural.

víctima: jajaj cierto q me faltan puntos, mayuscula, etc

jajaja
y por curiosidad a uno como le cogen la ip hablando por msn

## Esta tratando de desviar el tema de la clave, para que no me importe.

Ingeniero: Mira, me dice que es 37%

## Le doy el resultado del supuesto programa.

#./strongpass 78loky8u7
[*] Calculando la fortaleza ...
[*] [a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 0]
Su clave es insegura en un 37%

# En realidad el programa que use lo programe en 5 segundos para hacerlo mas real
# Se requiere conocimientos avanzados de bash para entenderlo.
#
#cat strongpass
#echo "[*] Calculando la fortaleza ..."
#echo "[*] [a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9 0]"
#echo "Su clave es insegura en un 37%"

víctima: :'(
Ingeniero: Según esto porque los números no son diferentes, no hay caracteres raros y tampoco
mayúsculas. No puedes poner los mismos números en la palabra clave

# Hago la buena obra del día

víctima: aaa ok
Ingeniero: esa es la clave tuya o la de Catalina?

# Confirmando ...

víctima: la mia
Ingeniero: ah bueno, pero no tienes cuenta en gmail menos mal

## Trato de ampliar la superficie de ataque.

víctima: no por q
Ingeniero: por eso
si ella no sabe tu msn, entonces no puede

## ?? WTF, algo para confundir y olvidar el tema

Ingeniero: tu como te llamas?

## Muchas preguntas en poco tiempo, a que responde la persona?

víctima: ella = hacker

Tatiana
la hacker si tiene mi cuenta de msn

## ??

Ingeniero: no ella no, tu, ella es Tatiana!

## ?? D.o.S

víctima: yo soy Tatiana

la vieja si tiene mi cuenta de msn
Ingeniero: ahm, pero la tienes agregada? borrala para que no te haga nada, bloqueala, sabes como?
## Colaborador, servicial, amistoso, le planteo algo que ella pueda hacer, así se siente bien.

víctima: si ya
Ingeniero: ah bueno

## Done!

víctima: bueno Ingeniero muchisimas gracias de verdad

## Aquí puede terminar la conversación, pero aún falta la mitad de la información, cual es el
## usuario?

Ingeniero: y a usted no le gustaría aprender esas cosas?

víctima: si claro
para ahcerle lo mismo a ella
Jaja

## El valor agregado del favor, ahora se sentirá mucho mas agradecida.

Ingeniero: Ingeniero tengo msn, si quiere me da el suyo y conversamos por ahi, para que no tengas
que usar la cuenta de Catalina.
víctima: bueno pero ya voy a acambiar la contraseña
Jajajja
taty752@hotmail.com

## Hecho!
## Pero quizás sospecha algo y va a cambiar su clave inmediatamente, como lo evitamos?

Ingeniero: ok te agrego entonces y conversamos luego

víctima: ok

Ingeniero: mira si buscas videos en youtube hay buena info

si no entiendes algo me cuentas, mira por ejemplo estos:
http://www.youtube.com/results?search_query=hacking+msn

## El que abra alguno de los vídeos te da tiempo suficiente para entrar y cambiar la clave, si fuera el
## objetivo final, que creen?, que funcionó o no la clave?

víctima: muchas gracias

Ingeniero: ok, con gusto
víctima: bueno me despido muchas gracias y ahi te deje la cuenta ps para q me agregues y me sigas
enseñando mas cositas
muchas gracias otra vez

## Una despedida cariñosa, todo esta bien entre nosotros.

Ingeniero:Vale, te cuidas
Recuerda cambiar esa clave, con la info que te dije

## Una última recomendación, no soy tan malo.

 UNIVERSIDAD INDUSTRIAL DE SANTANDER
ESCUELA DE INGENIERIA DE SISTEMAS E INFORMATICA
SEGURIDAD INFORMATICA - Ingeniería Social -

Conclusiones
Que pensarían si les digo que Ingeniero es la misma persona de la que inicialmente Tatiana quería
huir?. Upss!

Saquen sus conclusiones.

Más Conclusiones
• Ah!, que va!, eso solo le pasa a esa persona.

• Yo no hubiera caído en eso.

• Nahh!, esta historia no se la cree nadie.

• Eso nunca pasa en la vida real …

• Nunca me pasaría algo así …

THE END