Hoy en día los servicios que nos ofrece Internet como lo pueden ser las redes sociales o canales de video como Youtube, han permitido que poco a poco la privacidad de las personas desaparezca, lo gracioso del asunto es que son los mismos dueños de esa información sensible y en algunos casos confidencial los que publican texto imágenes audio o video que revelan parte importante de su vida.
Este tipo de información disponible a unos cuantos clics, permite conocer actividades, gustos o personas con las que solemos relacionarnos, lo cual en el peor escenario podría ser aprovechado para ser víctimas de un ataque de ingeniería social.
Es por eso que platicamos con nuestro amigo David Schekaiban (DS) experto en seguridad informática, quién nos comparte su conocimiento sobre Ingeniería social.
¿Qué es Ingeniería Social?
DS: Es una serie de estrategias o técnicas que permiten aprovecharse de sentimientos o actitudes que suelen tener las personas para conocer todo tipo de datos referentes al transporte y almacenaje de cierta información.
¿Quiénes son vulnerables?
DS: Cualquier persona que maneje o tenga acceso a cierta información de trascendencia para otra persona, empresa o inclusive gobierno.
Entre más críticos sean los activos que maneja una persona, será más propenso a recibir este tipo de ataque.
¿Qué tipo de datos busca un Ingeniero Social?
DS: En una persona siempre se buscara obtener direcciones, teléfonos, número de seguridad social, datos de su IFE, cuentas bancarias etc.
En una empresa lo que normalmente se busca es información relacionada con el personal que labora en ella, datos de bancarios de la empresa y datos como secretos comerciales, o que tengan que ver con patentes.
¿Medios por los cuales se lleva a cabo la Ingeniería Social?
DS: La aproximación física es uno de los mejores métodos ya que se pueden ver las reacciones y gestos de la persona a quién se le practica este tipo de ataque, sin embargo el email, programas de mensajeros instantáneos, programas de voz IP, teléfonos o inclusive el fax sirven como medio para realizar ingeniería social, de hecho hoy en día uno de los métodos de ingeniería social más usados para recabar información son las redes sociales.
¿Cuáles son los rasgos psicológicos que facilitan el trabajo de los Ingenieros Sociales?
DS: Existen ciertas características de las personas que definen la cultura o a los habitantes de un país, por ejemplo en Japón encontramos a gente con buenos modales, mientras que en México encontramos a personas que gustan de ser buenos anfitriones, por mencionar algunos ejemplos, este tipo de características son bien estudiadas por un ingeniero social, quien realizara un perfil de la victima por medio del cual buscara generar empatía e identificar gustos y actividades, es decir para poder llevar acabo un ataque de ingeniería social el atacante debe de “ponerse en los zapatos de la víctima”
Otra característica en las personas que un ingeniero social aprovecha, es que el personal de una empresa no suele cuestionar la autoridad de la cadena de mando, es decir cuando alguien llega diciendo: vengo de parte de tu jefe y necesito realizar X o Y actividad, las personas suelen acceder sin poner alguna excusa.
¿Cuáles son los pasos para un ataque de ingeniería social?
DS: Los pasos para realizar Ingeniería Social muy parecidos a los realizados en un ataque cibernético es decir se busca primero recabar información de la víctima, después se busca darle uso a esa información generando una estrategia de acercamiento y generación de sentimientos en la victima, para posteriormente realizar el ataque y obtener la información, al final se busca no dejar indicio o sospecha de que la información salió de la empresa por una persona no identificada o por alguien de la organización que fue engañado.
¿Conoces algún caso de Ingeniería Social?
DS: Aurora fue un caso muy sonado ya que afecto a Google, el ataque se baso en mandar un link por medio de Messenger a una persona quien le dio clic e infecto varias computadoras abriendo una puerta trasera de acceso a Google, se uso la ingeniería social para engañar a esta persona y le diera clic a este link.
¿Cómo eliminar o mitigar la Ingeniería Social?
La capacitación es fundamental para generar un awareness (concientización) al interior de la empresa, es importante que el departamento de informática de la empresa sea proactivo, además claro de contar con el apoyo de la alta gerencia, es decir de los directivos para poder generar una cultura de seguridad informática en la empresa.
¿Quién es tu Ingeniero Social Favorito?
Sin duda alguna Kevin Poulsen quien tiene varias anécdotas entre ellas están haber hackeado a los 17 años ARPAnet (predecesora de Internet) y ganar el concurso por un Porsche 944 S2, en el cual intervino las líneas telefónicas para ser la llamada ganadora, hoy en día tiene varios libros y escribe para revista Wired.
David Schekaiban se desarrolla como director Código Verde, empresa de seguridad informática, que realiza pruebas de penetración y administración de equipos de respuesta a incidentes para organizaciones de distintos ámbitos a nivel Latinoamérica.
David Schekaiban cuenta con las certificaciones como Certified Information Systems Security Professional (CISSP) que emite ISC2. También cuenta con las certificaciones CISA y CISM de ISACA.
Por Gabriel Avendaño consultor en Estrategias Web, Redes Sociales, Seguridad Informática, editor de La Teoría del Bit y “colaborador de Auditoria y Seguridad Informática”. NO TE PIERDAS SUS PUBLICACIONES y síguelo en twitter como: @gaboavenda.