Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Es una técnica relacionada estrechamente con el malware y el scam, que pueden usar
ciertas personas, tales como investigadores privados, criminales, o delincuentes
computacionales, para obtener información, acceso o privilegios en sistemas de
información que les permitan realizar algún acto que perjudique o exponga la persona u
organismo comprometido a riesgo o abusos.
Definición
También como el arte de conseguir de un tercero aquellos datos de interés para el atacante
por medio de habilidades sociales. Estas prácticas están relacionadas con la comunicación
entre seres humanos.
Describe un método de ataque, donde alguien hace uso de la persuasión, muchas veces
abusando de la ingenuidad o confianza de un usuario, para obtener información que pueda
ser utilizada para tener acceso autorizado a la información de las computadoras.
http://www.gitsinformatica.com/ingenieria%20social.html
Usuarios expertos y profesionales de la
seguridad en las tecnologías y la
informática estan acostumbrados a
escuchar infinidad de ataques hacia las
infraestructuras de red, aplicaciones web,
etc. tales como buffer overflow, remote file
inclusion, cross site scripting, SQL
injection, crackeo de passwords, robo de
sesiones, shellcodes, sniffing, entre
muchos más que constituyen la Ingeniería
Social.
Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave
de acceso de la caja fuerte del Banco de España.
Sin embargo, el origen del término tiene que ver con las actividades de obtención de
información de tipo técnico utilizadas por hackers.
Los ingenieros sociales toman ventaja del comportamiento humano con el objetivo de
infectar con malware las PCs de sus víctimas y obtener información personal y/o dinero.
Sus ataques se están volviendo cada vez más frecuentes y complejos según afirman
expertos en seguridad.
http://www.gitsinformatica.com/ingenieria%20social.html
Actualmente, los autores de malware inventan constantemente nuevas formas intelectuales
para manipular a las personas y comprometer sus máquinas.
El objetivo del Ingeniero Social es ganarse la confianza de la otra persona con el único fin
de engañarla y/o manipularla mediante técnicas de persuasión. Su secreto no es preguntar,
realmente, sino la forma de hacer la pregunta, en definitiva podría definirse como yo te digo
lo que tú quieres oír y tú me cuentas lo que yo quiero saber.
- Miedo: La táctica de los ladrones cibernéticos para infundir miedo y persuadir a una
persona a actuar de cierta manera es mediante el envío de correos electrónicos de phishing,
supuestamente de un banco de la víctima.
- Empatía: Para tomar ventaja de los sentimientos de empatía de una persona hacia los
demás, los hackers han sabido hacerse pasar por amigos de las víctimas o enfermos en
redes sociales y solicitar el dinero con urgencia.
En otro claro ejemplo, las recientes estafas de ingeniería social también se vieron a raíz del
terremoto y tsunami en Japón, con los estafadores intentando aprovecharse de la tragedia.
Otro caso, en 2.013, con los atentados en la Maratón de Boston.
Aunque las tácticas anteriores son comunes, es importante tener en cuenta que hay
muchos otros métodos utilizados por los estafadores, podemos esperar variaciones casi
ilimitadas sobre los ataques.
http://www.gitsinformatica.com/ingenieria%20social.html
Ejemplos de ataques de Ingeniería Social
Estos son simples ejemplos donde se ha utilizado el e-mail y una llamada telefónica.
La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para
tener acceso a la cuenta bancaria, esperando que usted teclee su contraseña. En verdad,
esta aplicación está preparada para robar tu contraseña de acceso a la cuenta bancaria y
enviarla al atacante.
- Ejemplo 2: Recibir un mensaje de e-mail, diciendo que tu computadora está infectada por
un virus.
El mensaje sugiere que instales una herramienta disponible en un sitio web de Internet para
eliminar el virus de tu computadora. La función real de esta herramienta no es eliminar un
virus, sino permitir que alguien tenga acceso a tu computadora y a todos los datos
almacenados.
- Ejemplo 3: Un desconocido llama a tu casa y dice ser del soporte técnico de tu proveedor
de internet.
En esta comunicación te dice que tu conexión con internet está presentando algún problema
y, entonces, te pide tu contraseña para corregirlo.
- Ejemplo 4: Mediante una llamada telefónica alguien se hace pasar por nuestra compañía
telefónica, nos pregunta si estamos contentos con el servicio recibido, nos dice que
confirmemos nuestro domicilio para verificar que están hablando realmente con el titular de
la línea.
Llegan a decirnos que para comprobar que son quien realmente dicen no tenemos más que
darles el número de nuestro D.N.I y ellos nos contestarán con la letra del mismo (esta letra
se obtiene simplemente con una fórmula que asocia y relaciona el número del DNI O NIF
con la letra a través de la suma de los diferentes dígitos que contiene) o sea algo que todos
podríamos hacer con esa fórmula.
http://www.gitsinformatica.com/ingenieria%20social.html
Con este tipo de artimañas pueden llegar, y de hecho lo hacen, a conseguir toda nuestra
información, incluso nuestra información bancaria.
Estos casos muestran ataques típicos de ingeniería social, pues los discursos presentados
en los ejemplos buscan inducir el usuario a realizar alguna tarea y el éxito del ataque
depende única y exclusivamente de la decisión del usuario en suministrar información o
ejecutar programas.
El éxito de este tipo de técnicas, que como veis no tienen mucho que ver con la informática,
se refuerza con el aprovechamiento de las vulnerabilidades humanas y me refiero a la
curiosidad, a la inocencia, a la ambición, a la confianza, y sobre todo al desconocimiento.
- Un banco nos dice que hemos recibido una cierta cantidad de dinero, y para poder
disponer de ese dinero debemos acceder a una página web con nuestras credenciales
bancarias.
http://www.gitsinformatica.com/ingenieria%20social.html
Técnicas Pasivas:
- Observación
- Técnicas no presenciales:
- Recuperar la contraseña
- Ingeniería Social y Mail
- IRC u otros chats
- Teléfono
- Carta y fax
- Buscando en La basura
- Mirando por encima del hombro
- Seguimiento de personas y vehículos
- Vigilancia de Edificios
- Inducción
- Entrada en Hospitales
- Acreditaciones
- Ingeniería social en situaciones de crisis
- Ingeniería social en aviones y trenes de alta velocidad
- Agendas y teléfonos móviles
- Desinformación
Métodos agresivos
- Suplantación de identidad
- Chantaje o extorsión
- Despersonalización
- Presión psicológica
Consejos de prevención
La labor preventiva, como señalan las Fuerzas y Cuerpos de Seguridad del Estado, resulta
esencial. Entre los consejos, destaca el de que deben usarse contraseñas seguras:
alfanuméricas de al menos ocho dígitos y que contengan mayúsculas y minúsculas.
Con las medidas preventivas se minimiza el riesgo, aunque si el usuario ha sufrido una
http://www.gitsinformatica.com/ingenieria%20social.html
usurpación de estado civil, lo más adecuado es que acuda a profesionales.
Sobre todo porque es posible que el infractor pueda haber actuado o usado
fraudulentamente el nombre y los datos del afectado poniéndolo en situaciones legales
peligrosas; en esos casos es prioritario denunciar los hechos a la Policía o la Guardia Civil
para que se oficialice que la identidad ha sido sustituida y no puedan atribuirle a él los
hechos cometidos por el infractor.
Simplemente tenemos que analizar la situación, no es necesario ser expertos en nada, solo
debemos hacernos algunas preguntas lógicas como si nuestro banco se pondría en
contacto con nosotros de esa manera, o el motivo que nos toque un premio de la lotería si
no hemos jugado.
- ¿Es posible que un servicio usado por millones de usuarios como MSN tenga una
vulnerabilidad que permita acceder al historial de conversaciones?
- ¿Es creíble que una entidad bancaria necesite confirmación para recibir dinero en una
cuenta?
- ¿De verdad cree que una compañía telefónica puede perder sus datos bancarios?
- Nunca revele por teléfono o e-mail datos confidenciales (como claves de acceso, números
de tarjetas de crédito, cuentas bancarias, etc.).
- Nunca haga click en un enlace a una página web que le llegue a través de un e-mail en el
que le piden datos personales.
http://www.gitsinformatica.com/ingenieria%20social.html
- No confíe en las direcciones de los remitentes de e-mail o en los identificadores del número
llamante en el teléfono: pueden falsearse con suma facilidad.
- Cuando accedamos a nuestro sistema de banca online deberemos verificar que estamos
haciéndolo a la página correcta y no en una página simulada o copiada, normalmente
accederemos mediante https (Hypertext Transfer Protocol Secure, que es una combinación
del protocolo HTTP y protocolos criptográficos.
Por último una breve reflexión: la ingeniería social existe desde que el hombre es hombre:
a fin de cuentas simplemente se trata de conseguir que otra persona haga o diga lo que
nosotros deseamos.
Además, mucho antes del nacimiento de la red Internet ya se utilizaban esas técnicas con
propósitos deshonestos y con excelentes resultados, aunque nadie las acuñó con el término
de "Ingeniería Social" : eran conocidas con nombres que seguro que nos suenan como "El
timo de la estampita", "El tocomocho", "El nazareno"...
En caso de suplantación de identidad, para eludir la siempre farragosa vía judicial, es mejor
ponerse en contacto con el administrador de la página web o red social para que elimine de
forma inmediata el perfil falso y devuelva su control al verdadero titular.
Si esa vía judicial resulta oportuna, es adecuado que se levante acta notarial de los
contenidos dañinos antes de reclamar su retirada.
Con todo, la Justicia no va tan rápido como los propios delitos en internet. Por ello, a falta
de muchas sentencias que esclarezcan cómo actuar ante actos de suplantación de
identidad, la Agencia Española de Protección de Datos (APED) acordó ya en diversas
ocasiones multas por actuaciones denunciadas por usuarios a este organismo.
Por ejemplo, por una suplantación en la red Badoo, la APED impuso una multa de 2.000
euros a un suplantador (se encontró tras el rastreo de la dirección IP de su ordenador por
http://www.gitsinformatica.com/ingenieria%20social.html
la Guardia Civil) ante lo que se consideró una infracción del artículo 6 de la Ley Orgánica
de Protección de Datos, tipificada como grave en el artículo 44.3.b de esa norma.
Resumiendo: las mejores herramientas para protegerse de los ataques de ingeniería social
son el sentido común y la Lógica, la Educación y la Información.
http://www.gitsinformatica.com/ingenieria%20social.html