La ingeniería social es el arte de manipular a los usuarios de un sistema informático para que revelen información confidencial que se puede utilizar para obtener acceso no autorizado a un sistema informático.
El término también puede incluir actividades como explotar la bondad humana, la codicia y la curiosidad para obtener acceso a lugares privados o causar daños posteriores.
Por ejemplo, lograr el acceso restringido a edificios fortificados o lograr que los usuarios instalen software u hardware que posteriormente den acceso a puertas traseras.
Conocer los trucos utilizados por los hackers para engañar a los usuarios para hacerles divulgar la información vital de un inicio de sesión, es fundamental para lograr proteger los sistemas informáticos.
En este tutorial, se presentan las técnicas más comunes de ingeniería social y cómo idear medidas de seguridad para contrarrestarlas.
¿Cómo funciona la ingeniería social?
Se recopila información
Esta es la primera etapa, la persona aprende todo lo posible de la posible víctima.
La información se recopila de los sitios web de la empresa, otras publicaciones y a veces, incluso hablando con el resto de usuarios del sistema a atacar.
Se planifica el ataque
Los atacantes detallan y planifican cómo pretenden ejecutar el ataque.
Se adquieren las herramientas necesarias
Se recopilan los programas informáticos necesario para ejecutar un ataque.
Se ataca
Aprovechando las debilidades del sistema informático que se ha determinado como objetivo, se pasa a ejecutar las herramientas recopiladas buscando las posibles vulnerabilidades existentes.
Se utilizan los conocimientos adquiridos
Una vez encontradas las debilidades, se pasa a infiltrar los programas capaces de ir más profundo dentro del sistema.
Para ello, se utiliza la información recopilada con anterioridad, durante las tácticas de ingeniería social.
Esa información puede ser, a saber: Los nombres de las mascotas, las fechas de nacimiento de los fundadores de la organización, cualquier dato personal, etc.
Los datos se utilizan principalmente para practicar ataques de fuerza bruta capaces de adivinar contraseñas.
La fórmula más común de utilizar esos datos, es el introducirlos conjunto a posibles combinaciones de los mismos; dentro de los scripts de descifrado de contraseñas.
Técnicas más comunes de ingeniería social
Las técnicas de ingeniería social pueden adoptar muchas formas
. La siguiente es una lista de las técnicas más utilizadas.
Explotación de familiaridad
Los usuarios sospechan menos de las personas con las que están familiarizados. Un atacante puede familiarizarse con los usuarios del sistema objetivo antes del ataque de ingeniería social.
El atacante puede interactuar con los usuarios durante las comidas, puede unirse cuando los usuarios están fumando, en eventos sociales, etc.
Esto hace que el atacante sea capaz de familiarizarse con los usuarios.
Supongamos que el usuario trabaja en un edificio que requiere un código de acceso o tarjeta para acceder, el atacante puede seguir a los usuarios cuando ingresan a dichos lugares.
A las víctimas les gustará mantener la puerta abierta para dar opciones al atacante, ya que se encuentran familiarizados con él.
El atacante también puede extraer respuestas a posibles preguntas como por ejemplo; Dónde conoció a su cónyuge, el nombre de su profesor de matemáticas de la escuela secundaria, etc.
Es más probable que los usuarios revelen posibles respuestas, ya que el atacante ha logrado generar confianza en ellos.
Circunstancias intimidantes
Las personas tienden a evitar a las personas que intimidan a los que les rodean. Con esta técnica, el atacante puede pretender tener una acalorada discusión por teléfono o con un cómplice del plan.
El atacante puede entonces pedir a los usuarios información que se utilizaría para comprometer la seguridad del sistema de los usuarios.
Lo más probable es que los usuarios den las respuestas correctas solo para evitar tener una confrontación con el atacante.
Esta técnica también se puede utilizar para evitar ser revisados en un punto de control de seguridad.
Phishing
Esta técnica utiliza engaños y trucos y para obtener los datos privados de los usuarios.
El ingeniero social puede intentar hacerse pasar por un sitio web genuino como Google o un banco de confianza, para luego pedirle al usuario desprevenido que confirme su nombre de cuenta y contraseña.
Esta técnica también puede utilizarse para obtener información de tarjetas de crédito o cualquier otro dato.
Tailgating
Esta técnica implica seguir a los usuarios por detrás cuando ingresan a áreas restringidas. Como cortesía humana, es probable que el usuario deje que el ingeniero social ingresar al área restringida.
Explotación de la curiosidad humana
Con esta técnica, el ingeniero social puede dejar caer deliberadamente un pendrive infectado con virus en un área donde los usuarios puedan recogerlo fácilmente.
Lo más probable, es que por la curiosidad del ser humano, algún usuario lo recoja y termine conectando el pendrive a una de las computadoras internas.
El pendrive puede ejecutar automáticamente el virus o el usuario puede tener la tentación de abrir un archivo con un nombre como
Informe_Despidos.docx
que en realidad va a ser un archivo infectado.
Explotación de la codicia humana
Con esta técnica, el ingeniero social puede atraer al usuario con promesas de ganar mucho dinero en línea al completar un formulario y confirmar sus datos utilizando los datos de la tarjeta de crédito, etc.
Contramedidas de ingeniería social
La mayoría de las técnicas empleadas por los ingenieros sociales implican manipular los prejuicios humanos
. Para contrarrestar tales técnicas, una organización puede:
- Para contrarrestar el exploit por familiaridad, los usuarios deben estar capacitados para no entremezclar la familiaridad con las medidas de seguridad. Incluso las personas con las que están familiarizados deben acreditar que tienen la autorización para acceder a determinadas áreas e información.
- Para contrarrestar los ataques de circunstancias intimidantes, los usuarios deben estar capacitados para identificar técnicas de ingeniería social que buscan información sensible y decir cortésmente que no.
- Para contrarrestar las técnicas de phishing, la mayoría de los sitios como Google utilizan conexiones seguras para cifrar los datos y demostrar que son quienes dicen ser. Verificar la URL puede ayudar a detectar sitios falsos. Evita responder a correos electrónicos soliciten información personal.
- Para contrarrestar los ataques de persecución, los usuarios deben estar capacitados para no permitir que otros usen su autorización de seguridad, cada usuario debe utilizar su propia autorización de acceso.
- Para contrarrestar la curiosidad humana, es mejor enviar los pendrive perdidos a los administradores del sistema, quienes pueden escanearlos (en máquinas aisladas) en busca de virus u otras infecciones.
- Para contrarrestar las técnicas que explotan la codicia humana, los empleados deben estar capacitados sobre los peligros y la posibilidad de de caer en tales estafas.
Resumen
- La ingeniería social es el arte de explotar los elementos humanos para acceder a recursos no autorizados.
- Los ingenieros sociales utilizan una serie de técnicas para engañar a los usuarios y lograr que revelen la mayor información confidencial posible.
- Las organizaciones deben tener políticas de seguridad que tengan contramedidas de ingeniería social.
⏩ Tutorial de criptografía: Criptoanálisis, RC4, CrypTool (Capítulo 5)
⏪ Habilidades necesarias para convertirte en hacker ético (Capítulo 3)
? Herramientas Hacking ? Recursos Hacking
?♀️ Cursos Seguridad en Red ? Cursos Redes ⛅ Cursos Servicios en Nube ?♂️ Libros Seguridad y Criptografía ? Libros Redes