Ingeniería Social: ¿por qué molestarse?
Octubre de 2015. Segunda mitad del mes. El New York Post fue el primero en publicar el evento. Varios otros vehículos de información, como The Guardian, CNN, Forbes y Wired, pronto contaron sus propias versiones de la historia.
Después de descubrir que John Brennan, entonces director de la CIA, era cliente de Verizon, un grupo de crackers, algunos aún en la escuela secundaria, lograron engañar a los empleados de la compañía para que obtuvieran datos personales del hombre.
Poco después, sabiendo que el correo electrónico personal de Brennan era de AOL, se pusieron en contacto con la compañía y, utilizando la información robada de Verizon, obligaron a los empleados del proveedor de correo electrónico a restablecer la contraseña de la cuenta. El daño estaba hecho.
Aunque el éxito de la invasión de la cuenta de correo electrónico personal de John Brennan es discutible, hay pruebas que sugieren que los crackers sí lo lograron.
Si el jefe de la agencia de inteligencia más prominente del mundo es susceptible a ataques de esta naturaleza, ¿qué pasa con nosotros?
Gente corriente
Desafortunadamente, los ataques de ingeniería social no sólo afectan a posiciones estratégicas en países lejanos. El daño es muy democrático.
Si nos fijamos en el phishing (un ataque de ingeniería social muy común, que consiste en forzar a la gente a hacer clic en enlaces engañosos para exponer información privilegiada), vemos que en 2016, según Kaspersky Lab, el 27,61% del total mundial de estos ataques ocurrieron en Brasil, y el sistema antiphishing de los clientes de Kaspersky se disparó casi 155 millones de veces al año en todo el mundo.
IsYourDataSafe.com atestigua que el mercado de información robada movió más de 143 mil millones de dólares en 2013. Otra fuente, el Ponemon Institute, afirma que el costo promedio anual, entre las empresas con más de 10.000 empleados, para contener los ataques de phishing que han comprometido las credenciales de los empleados, es de más de 380.000 dólares.
Por lo tanto, la ingeniería social es un problema real, una fuente abundante de pérdidas financieras y provechos deshonestos.
Pero, después de todo, ¿qué es exactamente la ingeniería social?
Definiciones
En el libro Unmasking the Social Engineer, de Wiley, Christopher Hadnagy define la ingeniería social de esta manera (adaptado y traducido):
Cualquier acto que influya en una persona para que tome una acción que puede o no estar en su mejor interés.
Según esta definición, influir directamente en una persona para que realice cualquier acción es lo que define a la ingeniería social. El concepto es muy amplio: por ejemplo, un perro de gran tamaño, ladrando y corriendo obstinadamente a un pobre infeliz, lo que lo lleva a correr desesperadamente en su propia defensa, puede ser clasificado como ingeniería social. En este caso, el individuo asustado sería coaccionado a ejecutar una acción en su propio interés.
Incluso un niño recién nacido, a través del llanto, influye en los padres para que realicen acciones y es influenciado por ellos de varias maneras. La ingeniería social, por lo tanto, sería algo natural. Es interesante notar que esta definición asume que el ingeniero social es una entidad activa en lo que se refiere a influir en las acciones de los demás.
Otra definición posible y menos genérica es la del libro Introduction to Hacking and Invasion Tests, de Patrick Engebretson, publicado en Brasil por Novatec, que define la ingeniería social como tal (adaptado):
Es el proceso de explotar las debilidades "humanas" inherentes a toda organización, con el objetivo de conseguir que un empleado revele información confidencial.
Aquí ya aparecen los conceptos de recursos humanos y organización. El ingeniero social explotaría la naturaleza humana de una organización para obtener información privilegiada. Sin embargo, tenga en cuenta que la definición no hace explícita la necesidad de una influencia activa. El ingeniero social sólo se beneficiaría de las debilidades humanas. ¿Cuáles son estas debilidades? La siguiente definición aclara este punto.
Esto es del curso en línea de Udemy CompTIA Security+ Certification SYO-401 (transcripción):
Aprovechar la naturaleza confiada de las personas para recopilar información o acceder a ella.
Esta tercera definición deja claro que la debilidad explotada por el ingeniero social es la confianza innata de las personas. Además, va más allá de decir que el ingeniero social quiere obtener información, ampliando el objetivo de obtener acceso y, de nuevo, no menciona la necesidad de una influencia activa.
A partir de las tres definiciones aquí presentadas, me atrevo a enunciar mi propia definición de ingeniería social:
Coaccionar a las personas para que realicen acciones o para que aprovechen las acciones libremente realizadas con el fin de obtener acceso a la información o a áreas privadas, ya sean físicas o virtuales.
Como resultado, puedo contemplar tanto ataques basados en la influencia activa, como el phishing, como ataques como el dumpster diving, de naturaleza pasiva con respecto a la influencia sobre las personas, y también la información y el acceso físico y digital.
Huyendo de la definición ahora, ¿de qué manera un ingeniero social puede actuar eficazmente? Desafortunadamente, los casos reales de ingeniería social son diversos.
Ataques
Supongamos la existencia de dos personajes: Juan y Maria. Ambos trabajan en una empresa multinacional. Sus perfiles son muy diferentes. Juan vive en todo tipo de trucos. Es un estafador y está insatisfecho con la corporación. Maria, por otro lado, es una persona dulce y una empleada ejemplar.
En el punto álgido de su insatisfacción, Juan decide atacar a la empresa y, a pesar de no tener los conocimientos técnicos necesarios para llevar a cabo un ataque electrónico, es muy "bueno para hablar" y conoce la institución razonablemente bien. A continuación se cuentan cuatro posibles "historias" del ataque de Juan. Todos los ataques descritos se basan en la ingeniería social.
Tailgating
Juan sabe que en un área restringida de la empresa hay información que le haría ganar unos cuantos miles de dólares en el mercado ilegal. El problema es que no tiene el nivel de privilegio necesario para entrar en el área: su placa "no pasará".
Así que se para al lado de la puerta, esperando a una persona con una cara tonta. Maria, que trabaja exactamente en esa zona y que había salido a tomar un café con leche, se acerca a Juan en el pasillo y, en medio de una bonita sonrisa, le desea a nuestro bribón los más musicales "buenos días". La víctima perfecta.
Juan, después de regresar con unos "buenos días" aún más musicales, lanza una suave conversación a la niña sonriente. Entre bromas y sonrisas, dice que olvidó su placa y pregunta si Maria sería tan amable de dejarlo entrar con ella. Ella, muy servicial, dice "sí, por supuesto" y lo hace. Se acaba de realizar un ataque de tailgating.
El "Tailgating" es entrar indebidamente en áreas en las que el acceso está restringido, explotando la buena voluntad de las personas que tienen acceso legítimo. Por cierto, el atacante ni siquiera necesita explotar el rendimiento de terceros: puede aprovechar la fracción de segundo antes del cierre de una puerta controlada para pasar por ella. Por supuesto, esto sería mucho más sospechoso, si se descubre.
Dumpster diving
Martes. 05:30 p.m. Ya es hora de que Maria se vaya. Necesitaba ir al banco antes de las 6:00 p.m. para poder pagar una factura. Fue el último día que la podría pagarla. Por eso, no perdió el tiempo triturando las sobras de un documento confidencial que había escrito antes. Ella simplemente arrugó los papeles antes de tirar todo a la basura y se fue.
Miércoles. Diego, el conserje, tira una bolsa de papel usado alrededor de las 9 a.m., como de costumbre, y la deposita en un contenedor de basura junto al edificio de la compañía. Un astuto Juan sabe de este hábito del conserje metódico. Alrededor de las 9:15, bajó a la puerta y, aprovechando el tiempo en que no había nadie en el estacionamiento, recogió la bolsa y la colocó en el espacioso maletero de su coche.
Más tarde, ya en casa, extrayendo el material de la bolsa de basura, encuentra una porción de copias arrugadas de un documento confidencial, que alguien había tirado sin triturar. Examinando más a fondo el contenido de los documentos, descubre que contienen (¡bingo!) credenciales de red temporales con un alto nivel de privilegio, que se pondrán a disposición de los consultores que prestarán un servicio a la corporación en unos pocos días.
No podría ser más sencillo: el dumpster diving consiste en buscar en la basura información privilegiada desechada de manera inapropiada.
Shoulder surfing
Juan sabe que Maria tiene acceso a cierto sistema. Por razones horribles, también quiere tener acceso a ella. La cuestión es que no hay motivos razonables para que el personal que concede el acceso lo apruebe. Además, acceder al sistema con las credenciales de otra persona facilitaría enormemente la tarea de enmascarar el fraude que podría querer cometer.
Después de descubrir que Maria es una persona dulce, se acerca a ella en un momento en que no parece estar demasiado ocupada y, entre sonrisas y mentiras, le pide que sea lo suficientemente amable como para comprobar algo para él en el sistema. No queriendo decepcionar al buen interlocutor, Maria inmediatamente lo hace y empieza a escribir sus credenciales para acceder a ese sistema.
Juan, increíblemente discreto y astuto, memoriza las credenciales que la chica escribe. Después de que ella le presenta lo que él ha pedido, él le da las gracias amablemente y se va. Éxito. Más tarde, usaría las credenciales robadas para autenticarse como si fuera Maria.
Como se describe en el ejemplo, el shoulder surfing consiste en obtener información confidencial "espiando" lo que la víctima está haciendo en el ordenador.
Impersonation
"Buenos días, ¿eres Maria?" pregunta el hombre de traje, inclinado un poco hacia adelante, con los brazos apoyados unos sobre otros, como si estuvieran cruzados, en la pared del escritorio. Maria dice: "Sí, soy yo". El hombre se identifica: es Daniel, el supervisor de compras. Había venido a hablar directamente con Maria porque necesitaba información urgente. Estaba comprobando la documentación necesaria para la auditoría que iba a tener lugar el lunes y algunos valores, sólo los que Maria había declarado, no se veían bien.
Pregunta si Maria podría abrir el SAP para ver, junto a ella, qué valores deberían ser declarados realmente. Seguramente la chica había cometido un error. Maria, sin querer perjudicar la auditoría, está de acuerdo con el supervisor circunspecto y le pide que se siente a su lado para comprobar los valores. Juntos hacen los cálculos, el hombre anota la información que necesita, le da las gracias, toma el café que le ofrece Maria, se apresura y luego se va. Éxito.
Juan, nuestro talentoso ingeniero social, se había hecho pasar por Daniel, supervisor de compras, para obtener información privilegiada. La impersonation consiste en hacerse pasar por otra persona para obtener ventajas, a menudo forjando situaciones de urgencia o presionando a la víctima.
Varios otros tipos de ataques componen el arsenal del ingeniero social, tales como phishing, hoaxing, whaling, water holing,etc. Los ataques de esta naturaleza suelen estar vinculados a la utilidad y la confianza innata de las víctimas y también a cierto conocimiento de los procesos internos. La interacción social, casi siempre, es un elemento clave para llevar a cabo un ataque exitoso de ingeniería social.
Aunque las contramedidas de seguridad física son las más evidentes en la lucha contra la ingeniería social, la educación de los usuarios es, sin duda, el camino hacia el éxito empresarial en lo que respecta a la seguridad de la información. De hecho, actualmente es esencial que los usuarios domésticos también tengan conocimientos sobre ciberseguridad. La ciberdelincuencia está en todas partes y su principal "ventaja competitiva" hoy en día es la desinformación del público en general.
Conozca a los Hacker Rangers y cree una cultura de ciberseguridad en su organización.
La instalación de equipos de vigilancia electrónica puede inhibir la interacción social necesaria para llevar a cabo un ataque de suplantación de identidad y/o shoulder surfing, el uso de trampas puede ser una buena idea en la prevención del tailgating, y de manera similar, los equipos de eliminación de basura colocados en los sectores de una corporación pueden ayudar a prevenir el dumpster diving, pero nada de esto funcionará si el empleado no está preparado para hacer un uso adecuado de todas estas herramientas.
Cuando se trata de seguridad, más que educar al usuario, una corporación exitosa en este sentido es una organización donde existe una cultura de seguridad de la información. Esto es algo extremadamente difícil de lograr, simplemente porque va en contra de la confianza intrínseca que tenemos el uno en el otro. Por lo tanto, utilizar la gamificación y potenciar a los usuarios para que sean reconocidos y tratados como parte de la solución puede ser una excelente estrategia para implementar una cultura de ciberseguridad en su organización.
Traducido de: https://www.perallis.com/news/engenharia-social-por-que-se-importar