Inicio Off Topic
Encuesta de satisfaccionEncuesta de satisfaccion

Seguridad de la Información - Ingeniería Social

DFADFA Publicaciones: 1,039 Stormtrooper
editado noviembre 2019 en Off Topic

Ingeniería Social – Un tema de cuidado

La seguridad es un rompecabezas con dos lados. Desde el interior tenemos y disponemos de una sensación de comodidad y seguridad. Desde el exterior, ladrones, hackers y vándalos están en la plena búsqueda de espacios y oportunidades para poder de alguna forma quebrar ese muro que todos creemos tener y que consideramos inexpugnable.

La mayoría de nosotros cree que estamos seguros hasta que algo cambia nuestra perspectiva cuando las debilidades aparecen y son muy fáciles de encontrar.

Para comprender completamente cualquier tipo de seguridad, es esencial dar un paso fuera de la cerca. El problema es que la mayoría de nosotros estamos cegados por el potencial problema de nuestra propia confianza o nuestra creencia de que nada puede ser accedido y que tenemos el control de todo.

Con una pléyade de antivirus, anti malware, personal firewall , etc. Creemos poder estar seguros pero eso es solo una parte de la seguridad de la información. Quizás la más importante no tiene tanto que ver con la tecnología puramente dicha, sino con nuestro accionar y sentido común.

La idea es ahondar un poco en un tema sobre el cual muchos de nosotros no prestamos especial atención, La Ingeniería Social.

Que es la Ingeniería Social?

No es una carrera universitaria, a pesar que se requiere de una preparación especial para desarrollar dichas habilidades, sino que son técnicas que permiten a estos expertos a acceder a información clasificada o que ellos necesitan para sus propósitos en forma rápida, discreta y casi imperceptible por el sujeto que es objeto del ataque.

La ingeniería social ha sido mal interpretada, lo que ha llevado a muchas opiniones diferentes sobre de que se trata  y cómo funciona. Esto conlleva a una situación en la que algunos pueden verla como que se trata simplemente una estafa trivial, pero es mucho más que eso y se refiere a las herramientas utilizadas por los delincuentes o ****, que antes eran desarrolladas en forma telefónica, o presencial y que ahora se suman aspectos de informática como ser los emails, encuestas,  redes sociales, blogs , etc.

·         La ingeniería social es utilizada todos los días por la gente común en situaciones cotidianas.

·         La ingeniería social ocurre en el gobierno, en la pequeña, mediana o gran empresa, etc. es decir en todos los ámbitos de la vida diaria. Como en muchos aspectos conocidos, puede ser bien o mal utilizada y desafortunadamente, también está presente cuando los delincuentes, **** se valen del engaño a personas para que brinden información que los haga vulnerables.

Como cualquier herramienta, la ingeniería social no es buena o mala, sino simplemente una herramienta que tiene muchas aristas.

Acá en adelante no adentraremos un poco en algunos de los aspectos a cuidar para que las técnicas de los “especialistas” no surtan efecto en nosotros y poder de alguna forma aleccionar a los que nos rodean.

No es algo que se aprende sino que se perfecciona con el tiempo. Algunos disponen de habilidades natas y otros las van adquiriendo. Un ejemplo clásico es que analicen con qué facilidad un niño manipula a sus padres desde pequeño para conseguir aquello que desea. (Esto es ingeniería social J) . 

A continuación datos concretos que ayudaran a comprender un poco más el tratamiento del tema.

En un estudio realizado por la Computer Society hace unos años atrás se determinó que 77 % de los fraudes ocurrían por “culpa” de  personal interno de las compañías o por violaciones de las normas internas de manejo de información clasificada. (El porcentaje sube escalofriantemente a nivel hogareño)

En los próximos párrafos intentaremos responder las siguientes preguntas

·       ¿Qué fuentes puede usar un ingeniero social?

·       ¿Qué información le puede ser útil?

·       ¿Cómo puede un ingeniero social recopilar, reunir y organizar la información?

·       ¿Cuánta información es suficiente?

Si bien las respuestas a estas preguntas dependen de cada caso en particular, es importante prestar atención a los siguientes puntos.

·       Podemos decir que la Ingeniería Social (mal utilizada) es el arte de engañar a las personas para obtener información clasificada o útil para sus propósitos y poder de alguna forma obtener un usufructo de la misma.

·       La ingeniería Social aprovecha los puntos débiles del ser humano como son la Buena fe y Complacencia , los cuales son favorecidos por aspectos tales

          o   Cortesía mal entendida

          o   Curiosidad

          o   Credulidad

          o   Temor a la autoridad

          o   Familiaridad

El punto de ataque es siempre el mismo “El factor humano”.

Como reconocer a los Ingenieros Sociales.

Esto requiere de un ejercicio mental que muchas veces no realizamos, y que se aprovechan de los momentos especiales que cada uno de nosotros tenemos, en el momento de brindar información.

Un Ingeniero social no necesariamente tiene un patrón profesional determinado, puede ser un agente de un Call Center , un vendedor , un técnico especialista en cualquier tema del cual necesitamos sus servicios , un taxista , un asesor / consultor , etc.  

Es más crítico el tema cuando pensamos que hay gente dedicada a buscar en los botes de basura datos que les permitan identificar algún posible target . (y acá no me  voy a explayar demasiado , pero sería interesante que se detengan a pensar un momento que hacen Uds. En vuestros hogares con aquellos documentos o papeles personales que pueden contener información confidencial para Uds .  como Recibos de Pagos, Facturas, Resúmenes de Cuenta del banco, todo lo que tenga datos personales, teléfonos, direcciones, etc.)

   Como reconocer técnicas utilizadas frecuentemente:  

·       Si al ocurrir un llamado telefónico son transferidos inmediatamente a una Central sin mediar un contacto previo de un representante.

·       La llamada es externa o no se muestra el número o se muestra un número genérico inexistente

·       La persona que llama rechaza dar un Numero de contacto o datos para recontactarlo posteriormente

·       La información solicitada no es enviada por email o por escrito.

·       La persona que llama intenta crear confianza y empatía de cualquier forma con el sujeto  (mencionando amigos en ocasiones con los que pudo haber obtenido por el mismo método dichas informaciones) o por contenidos específicos obtenidos en las redes sociales.  

·       La persona que llama, toma la iniciativa y enfatiza que esta apurado por resolver el tema y necesita respuestas inmediatas.

·       La persona que llama en general solo formula preguntas y da rastros vagos de conocimiento personal, e intenta que nosotros le brindemos esos datos que le faltan para completar el rompecabezas.

·       No dar información, más allá de la estrictamente necesaria para el desarrollo de la conversación. No dar referidos en ningún caso o en todo caso si desea hacerlo consúltelo primero con el objeto de la referencia.

•       Como reconocer a farsantes personalmente

•       Aplican los mismos puntos mencionados anteriormente , pero sumemos a ellos la calidez de presencia , el generar una empatía , generar confianza, promover un ambiente agradable y propenso para que se de toda la información que se requiera , inclusive aquella que no es relevante para el tema en particular .  

Cuidados especiales a considerar en los ambientes tecnológicos y hogareños

•       Redes Sociales

·       Utilícelas con cuidado y prudencia y sentido común

·       Nunca revele información sensible (y por sensible podemos entender aspectos tales como aquello que de una idea de localización, status actual, acciones especiales a ser realizadas por el sujeto o por algún integrante de la familia o amigos, etc.)

  • Me voy de vacaciones a ….
  • Estoy en el aeropuerto
  • Saco fotos de los tickets y las publico
  • Estoy por cambiar el auto / Casa
  • Cambié el auto y coloco las fotos (no cuido tapar la patente del auto en la mayoría de los casos)

·       Sea precavido con la información personal y familiar

·       No utilice las mismas contraseñas en todas las redes

·       No haga clics en enlaces desconocidos sin estar seguro del direccionamiento de  los mismos

·       Considere muy bien antes de otorgar derechos a terceros (personas o aplicaciones) a sus datos personales. (bastante común en SmartPhones donde se les deja acceder a las aplicaciones a todo tipo de datos  que el sentido común indica que no ser necesarias para la ejecución de las mismas).  

·       No solo cuidar nuestros aspectos personales, sino el de la gente que nos rodea como familiares y amigos, es absolutamente prudente. No etiquetemos indiscriminadamente en fotografías que puedan brindar información importante a terceros.

·       Actué como evangelizador con sus hijos y familiares directos ya que ellos de alguna manera pueden exponernos a nosotros también con un accionar inadecuado.

·       Mantenga su perfil en las redes acotado al ámbito de seguridad que considere más conveniente para el desarrollo de sus tareas.

·       Recuerde que es Ud. El que decide exponer su privacidad en las redes sociales y por lo tanto es Ud. el que decide “desvestirse” en público.     

Página WEB o mensajes mal Intencionados vía Correo Electrónico.

·       Recibir un mensaje inesperado a través de las redes sociales en el que se incluye una petición para hacer un clic en un enlace sin asegurar del destino de dicho vínculo. (en general solicitud de adherirse a firmas para ayudar a determinada persona , si bien es correcto siempre verificar el destino del Link) 

·       Recibir un correo en el que se incluye una petición para instalar software

·       Un correo procedente de un amigo cuyo tono o contextos son inusuales y en el que se solicita haga clic en un enlace

·       Un enlace sin ningún contexto o relevancia directa con el texto de la solicitud.

·       Una petición para abrir un archivo ejecutable ya sea desde un archivo comprimido o directamente a través de un enlace

·       Los resultados de las búsquedas en Internet pueden contener también vínculos a sitios infectados o mal intencionados.

Verificar como acto y como me resguardo en sitios públicos

·       Cuidar  la visibilidad de la pantalla de nuestros dispositivos (muy especialmente las Notebooks)

o   Ej. Puedo estar filmando con un celular que tenga un buen zoom todas las acciones realizadas en la pantalla, adicionalmente lo que tipeo en algunos casos que se triangule con otra persona en simultáneo  y ver contenidos que deberían ser altamente cuidados (nunca observaron en algún bar o café a alguna persona accediendo al home banking?)

·       Cuidado con el tema relacionado con software de  registración de las teclas que se tipean  (KeyLoggers) que puede ser instalado como un Malware y que adicionalmente sacan fotos de las pantallas y las envían por Internet (además de logear todo lo que tipeamos), lo que puede ser evitado teniendo siempre en todos los ambientes un buen Antivirus y Firewall (siempre actualizado a ultimo nivel) y activos.

No es la intención ser paranoico o tener un complejo de persecución, pero el mundo está cada vez más difícil y hay muchas personas que disponen de todo el tiempo del mundo para pensar en cómo arruinarnos la vida.

Ese preciado tiempo que nosotros no disponemos para ocuparnos de situaciones inesperadas es el que debemos utilizar para disfrutar con nuestras familias en paz y tranquilidad y para ellos es necesario tener cuidado y tomar medidas de prevención.

Como premisa todo dispositivo conectado a Internet es Hackeable y nosotros también si no cuidamos de nuestro accionar.

Párrafo especial para el uso y mal uso de las Redes Sociales  y también de  las profesionales como Linkedin , Los ingenieros sociales se valen de toda la información para poder de alguna forma lograr sus objetivos .

Espero les sirva, sé que el tema es denso y hay para escribir un libro.

Pero solo a modo de ejemplo hay publicaciones que explican claramente cómo abordar el tema de la Ingeniería Social.   

Ejemplos :

Social Engineering: The Science of Human Hacking, 2nd Edition

·         Networks and systems can be hacked, but they can also be protected; when the “system” in question is a human being, there is no software to fall back on, no hardware upgrade, no code that can lock information down indefinitely. Human nature and emotion is the secret weapon of the malicious social engineering, and this book shows you how to recognize, predict, and prevent this type of manipulation by taking you inside the social engineer’s bag of tricks.

https://www.wiley.com/en-ar/Social+Engineering%3A+The+Science+of+Human+Hacking%2C+2nd+Edition-p-9781119433750

Comentarios

  • mcrisevermcrisever Publicaciones: 30,706 black mirror
    A quien interese el tema recomiendo libros e info de el renombrado experto en "Human hacking",  “social engineer”, autor y asesor de seguridad corporativa Chris Hadnagy,

    Recuerdo en Foro anterior habia notas en Blog de Miguel Sumer Elias, Abogado especializado en delitos informáticos, ciberseguridad, protección de datos.


Inicia Sesión o Regístrate para dejar un comentario.