Un Cáncer llamado ingeniería Social

La ingeniería social (o Social Engineering si les place) se ha convertido, hoy por hoy, en una de las principales armas de los hackers. Para este tipo de sujetos, es la forma en que se pueden conseguir información sin usar una computadora. Es en serio, no siempre tenemos que pensar en el binomio Hacker-Computadora.
En este articulo veremos cómo es que un hacker, o cualquier otra persona entrenada en estos menesteres. trabaja para sustraer información. Al mismo tiempo, los datos aquí presentados nos podrán ayudar a tener cuidado y no dejarnos engañar por los delincuentes informáticos.

Debemos tener en mente que la información no es más que una herramienta que otorga la posibilidad de ser usada y manipulada en beneficio de quien la posee. Se puede ver a un sistema informático como un montón de información que ahí está, pero que espera a ser descubierta y sacada a la luz. El objetivo del hacker es conocer que existe algún tipo de información y hallar el modo de conseguirla sin violentar sistemas y sin herir a nadie físicamente.

No existe ningún tipo de información que sea totalmente inútil para un hacker. Un hacker siempre sabe que es bueno conocer algo, captar y almacenar uno o dos datos, por más mínimos o pequeños que estos sean, porque nunca saben cuando van a necesitar retrotraer la información que se recibe o adquiere. Nunca dejan la información en la memoria propia, simplemente porque es muy volátil y los datos extraídos pueden perderse para siempre, a menos que tenga memoria fotográfica. Existen datos que requieren ser anotados en papel, incluso una servilleta puede ser útil de vez en cuando, o pasarlos a un medio extraíble como una diskette o memoria flash (pendrives).

A diferencia de lo que la mayoría de las personas creen, un sistema informático no solo se compone de hardware (el equipo físico) y software (los programas). Las máquinas no funcionan solas y siempre existen personas de carne y hueso detrás de ellas y de cada sistema. Hasta el momento no se conoce una máquina que, para ponerse en funcionamiento se acerque ella misma a la fuente de poder y se enchufe sola. El personal del departamento de sistemas computacionales de cualquier compañía también forma parte integral del sistema informático, al igual que la computadora y los programas que en ella residen. Es de saberse que las personas vivas son las que tienen más vulnerabilidades que los fríos sistemas de proceso. Muchos grandes ataques se han generado a partir del enfoque al personal.

Debemos recordar que se puede atacar al software y se puede atacar al personal. Cuando se habla de atacar al software me refiero simplemente a que el hacker enfoca su atención en el Sistema Operativo o en los programas de usuario. Hay mucha variedad en el ataque contra el software, existen vulnerabilidades que pueden ser explotadas en beneficio del atacante, pero también hay que conocer como detectarlas y prevenirlas, porque esto llega a ser un problema de seguridad importante. No importa si trabajas para una compañía grande o pequeña, o si tienes una computadora casera. Hay muchísimos datos en una computadora independientemente del tipo de persona que la usa. Un dato es una pieza sabrosa de información para un hacker sin importar si proviene de una base de datos de clientes o las tareas de un imberbe estudiante de universidad.  

Al hablar de atacar al personal me refiero a lo que se ha dado a llamar Ingeniería Social. Esta técnica consiste básicamente en mantener un trato social con las personas que custodian los datos. Es simplemente atacar a quien posee la información a base de palos mentales. Un punto a favor del atacante es que esos custodios de datos pocas veces están entrenados para evitar las incursiones. Aún estando entrenados, a veces son presa del depredador de información dado que las técnicas empleadas por el atacante también evolucionan.

La ingeniería social indaga en las costumbres de las personas, en conocerlas más profundamente para perpetrar posteriormente un ataque más elaborado, con la calidad de un corte de bisturí. Esta actividad incluye desde la suplantación de identidades confiables hasta la búsqueda en botes de basura de la información relevante y, con toda probabilidad, es el tipo de ataques del que menos se habla, pues no existe un manual práctico, depende mucho de las circunstancias, del Know-how del atacante y sus habilidades, de los conocimientos que pueda poseer la víctima, etc. Bien manejada, la ingeniería social es uno de los métodos más efectivos de recolección de información. No hay duda de eso.

Atacando al Personal
La ingeniería social ha permitido las mayores estafas en la red. No solo basta con poseer los mayores conocimientos técnicos. En ocasiones, una llamada telefónica fingiendo ser un técnico o una oportuna visita a la empresa, puede reportar mucha más información que el más profundo estudio de vulnerabilidades técnicas.

Las personas siempre son la mejor fuente de información a la hora de revelar datos que no deben. Y no es porque esa gente peque de estúpida o que sea muy ingenua, sino que es condición natural de muchas personas la sociabilidad, las ganas de ayudar al prójimo y sentirse útiles. En muchas ocasiones, la información se resbala por error y el hacker siempre estará preparado para recibir cualquier pequeño dato y guardarlo. Sobra decir que esto le puede jugar una mala pasada a los empleados que manejan la información sensible si se llegan a topar con alguien que tenga la capacidad de aprovecharse de ella, hasta pueden perder su empleo. Lamentablemente, tras sufrir una experiencia de este tipo, las personas se vuelven desconfiadas. Esta es la actitud adecuada siempre. Cuando se manejan muchos datos críticos hay que volverse un poco paranoico.

La desconfianza es el principio de la seguridad tanto en la vida real como en la virtual. Aunque los humanos solemos ser inherentemente buenos, el sentido común indica que hay que poner ciertos límites, pero desde luego, no hay que bajar la guardia. Esta es la razón por la que tú saliste de tu casa después de haber echado llave a la puerta.

Un hacker tiene que ser también un buen psicólogo, entender el comportamiento humano, prever las reacciones y anticiparse a los acontecimientos. Debe ser capaz de ir más allá de lo que indica un simple gesto o lo que realmente quiere decir una frase.

Para atacar al personal se pueden usar técnicas agresivas. Por ejemplo, si sabemos su correo electrónico, se puede falsear el propio (con una técnica denominada Spoofing) y escribirles un correo parecido a este:

From: sistemas@empresavictima.com
To: anatontamevi@empresavictima.com

Saludos Anita bonita, soy Mefrunzo del Hoyo, de aquí de Sistemas.
Me parece que alguien nos ha estado espiando. El programa
detector de espías se activó y aunque no se menciona nada en el
reporte, pues no me fío. Voy a cambiar todas las contraseñas del
personal y necesito las antiguas para colocar las nuevas. Por favor
envíame tu contraseña a esta dirección de correo (sólo dale un
“Forward”.) A vuelta de correo te enviaré una nueva para que
puedas memorizarla. Después de que lo hagas, haz favor
de eliminar este correo inmediatamente para mayor seguridad.

Gracias.

Personas con mayor don de gentes pueden lograr mayor información, variando las preguntas, situaciones, etc. Por supuesto, esto puede también ser infructuoso para el atacante y no obtener ni un ápice de información. Ahí está el riesgo y la prueba. Sin embargo, según estadísticas, resulta sorprendente lo mucho que se usa esta técnica, el porcentaje de éxito del que goza y los resultados que arroja. Los hackers saben que hay que tener ciertos aspectos en mente. A las personas les gusta ayudar, pero sin sentirse agobiadas ni atacadas, siempre saben donde está el límite. Es bien sabido que la gente se siente más atraída por personas que parecen “desvalidas”. Frases como “Hola, soy nuevo”, “soy estudiante y necesito cierta información” predisponen a la potencial víctima a facilitar información. En resumen, solo hay que saber donde, cuándo y como aplicar la técnica.

Como parte de la técnica puede estar el ir personalmente a la oficina y comprobar como trabajan, echando una ojeada a las pantallas mientras te paseas por las instalaciones. Esto mejora cuando la empresa a la que visitas es de las grandes, donde el personal casi no se conoce.

Hay veces que en una llamada telefónica no se obtienen los datos buscados. Como en una compañía grande no siempre contesta la misma persona, la recolección se haría en varias llamadas y anotando en papel cada pedacito de información vital. A ésta técnica se le conoce como “picotear el maíz” o Phishing. Al final solo se requiere unir todos los pedazos para apreciar el cuadro final. Esto es lo que sucede a menudo con compañías como America Online (AOL).

Ejemplo de la vida real para una persona de casa. Esto le sucedió a una amiga hace como 5 meses. Recibió una llamada de un supuesto empleado de cobranzas de Sears que le dijo que habían tenido problemas con su cuenta de crédito debido a un ataque de virus. Le pidió de la manera más atenta que le ayudara a verificar sus datos ya que sólo su dirección y teléfono se habían salvado de la base de datos. El hombre le dijo que por favor le volviera a dar el número de tarjeta de crédito y los tres números de seguridad al reverso. Mi amiga le dio su nombre completo, pero le comentó al sujeto que se sentía incómoda de dar los dígitos de la tarjeta por teléfono. El hombre contestó que no era necesario darlos verbalmente, que podía dárselos pulsando los botones del teléfono. Y ella así lo hizo. El hombre agradeció su gentileza y colgó. Y después vino el desastre. En su estado de cuenta del mes siguiente venían cargados unos aparatos de sonido que fueron entregados a una dirección que el atacante designó pero que no era su domicilio propio, sino el de una persona a quien le pidió de favor que recibiera los artículos porque él saldría de viaje. Él simplemente fue por los artículos y desapareció de la escena. El atacante solo necesitó ver que en el buzón de mi amiga recibía correspondencia de Sears para saber por donde dar el golpe.

Así amigos es como se implementa un ataque por ingeniería Social. Sean precavidos y no den información a cualquier merluzo que se las pida. Para saber más acerca de este tema, pueden comprar el libro THE ART OF DECEPTION: Controlling the Human Element of Security de Kevin D. Mitnick y William L. Simon.

Basado en un artículo del Sendero del Hacker