SERVIR Y PROTEGER

SERVIR Y PROTEGER
"Tiempo que pasa, verdad que huye" Edmond Locard (1877 - 1966)

domingo, 21 de septiembre de 2008

Ingenieria Social



Uno de los temas que más me atrae desde el momento que comencé a inclinarme por la seguridad informática ha sido la ingeniería social o Social Engineering, ya que es bastante curioso como podemos ser victimas de hackers o delincuentes informáticos por el hecho de responder preguntas que no deberíamos o por hablar más de la cuenta.


Sentí aun más interés y entusiasmo cuando en mayo de 2006 asistí a la ciudad de Bogota a una conferencia que dictaría el Hacker más famoso del Mundo: Kevin Mitnick. En esta conferencia pude darme cuenta aun más de los alcances que esta técnica tiene y los problemas que puede ocasionar.


Pero, que es esto??? Se preguntara. La ingeniería social consiste en manipular a una persona con el fin de obtener información determinada que le permita efectuar su delito. El ingeniero social suele recurrir a tácticas sutiles y ágiles para ganar su confianza y en muchos casos la de su familia. Un ataque de ingeniería social puede llevar varios días, semanas y hasta meses en prepararse, durante este tiempo el atacante lo estará observando y analizando para adquirir la mayor cantidad posible de información.


En que se basan los ingenieros sociales para un ataque??? Mitnick asegura que existen 4 principios por los cuales somos victimas de la ingeniería social:


1. Nuestra necesidad de ayudar: Esto no es malo, por el contrario mejora las relaciones sociales con nuestros semejantes, sin embargo debemos ser cuidadosos con a quien o a quienes ayudar. Veamos un ejemplo: Puedo suponer que a casi todos nos ha llegado un correo donde un padre de familia pide ayuda, para su hijita que tiene un problema grave de salud o alguna deformación física. Este correo nos pide que firmemos y escribamos una serie de datos personales para que cierta empresa muy conocida y poderosa financie la atención médica de la pequeña. Linda historia la que llega, realmente conmueve. Lo lamentable del caso es que no es cierto. Solo desean obtener ciertos datos nuestros para ejecutar algún tipo de delito como, el envió de Spam, Robo de Identidad, instalación de software malicioso, etc.


2. Exceso de confianza: Una de las tretas que más utilizan los atacantes es querer ganar la confianza de la victima, no es extraño que se nos acerquen con aires amistosos y luego de un rato coincide que nos gusta el mismo equipo de Baseball, Basketball o Soccer. Esto provoca en la victima cierta confianza que permitirá al atacante conocer más detalles de ella.


3. No saber decir “NO”: Puede sonar descortés, maleducado o como queramos llamarlo, pero de vez en cuando y según las circunstancias y las personas debemos decir “NO”. “No puedo ayudarte” o “No puedo darte esa información” o simplemente “No estoy autorizado para darle esa información”. Palabras claves que pueden evitarnos muchos problemas, tanto en nuestra vida personal como profesional.


4. Nos gustan los Halagos: Elogios, exaltaciones o como lo quiera llamar nos gustan siempre y cuando sean para nosotros y, eso lo sabe muy bien el atacante. Recurrir a los elogios de la victima por su trabajo, hobbie o deporte es clave para lograr la confianza. No son malos los halagos pero no se deje cegar por ellos.
Saben?, la ingeniería social la vemos diariamente en nuestro entorno, no nos damos cuenta pues no pensamos en ello, sin embargo en nuestros trabajos, universidades, en la calle encontramos personas que sin darse cuenta juegan a ingenieros sociales. Uno de mis favoritos son los taxistas, esto personajes (que respeto y admiro por su trabajo nada seguro) que en la gran mayoría de los casos te cuentan sus experiencia y te preguntan por las tuyas, tratan de ganar tu confianza, escuchan tus llamadas al móvil, etc. y si quisieran utilizar esa información para hacer daño, tendría éxito.

Déjenme sus opiniones, cometarios o experiencias de la Ingeniería Social.

No hay comentarios: