Wednesday, April 25, 2012

Guía de la semana: Qué es la Ingeniería social y cómo estar prevenidos

Cuando hablamos de seguridad en Internet solo podemos tener la certeza de que nada -ni nadie- está a salvo. No importa si tenemos el mejor antivirus, un firewall bien configurado y utilizamos contraseñas fuertes en nuestras cuentas; como usuarios representamos el eslabón más débil en la cadena de seguridad, ya que en nuestra condición de humanos no estamos libres de cometer errores.

Con el objeto de aprovechar los errores humanos para vulnerar sistemas, existe una técnica denominada Ingeniería social, que a su vez cuenta con una serie de métodos cada vez más populares que pueden poner en riesgo tanto nuestra seguridad y privacidad como la integridad de nuestros datos.

Contra la Ingeniería social, las armas más efectivas son la prevención y el conocimiento, por lo que esta nueva edición de la guía de la semana está enfocada en dar a conocer los métodos más utilizados, de forma tal que estemos prevenidos y podamos reaccionar ante un posible ataque.

¿Qué es la Ingeniería social?

Como lo mencioné al principio, la Ingeniería social es una técnica que aprovecha los errores humanos para comprometer las seguridad de los sistemas, pero también podríamos decir que es un arte cuyas herramientas principales son el engaño y la confusión.

Así como existen piratas informáticos que irrumpen en sistemas aprovechando vulnerabilidades en el software, hay quienes se hacen expertos en engañar y manipular a otras personas, y así, a través de estas, conseguir los datos necesarios para acceder no solo a sistemas, sino también a nuestras cuentas personales en redes sociales, correo electrónico, números de tarjetas de crédito y en general a cualquier información personal de carácter privado.

Aunque el término "Ingeniería social" comenzó a escucharse con más frecuencia en tiempos recientes, la técnica existe desde que las personas decidieron que engañar a otros es una forma aceptable de ganarse la vida.

Un pirata informático que utiliza la Ingeniería social como técnica de ataque, no necesita estar frente a frente con su víctima, de hecho, en la mayoría de los casos aprovecha herramientas que usamos a diario, como por ejemplo, el correo electrónico, la mensajería instantánea y el teléfono.

Si quieren conocer como funciona la Ingeniería social en su máxima expresión, les recomiendo ver la película Takedown. En esta historia basada en hechos reales se muestra la forma en que Kevin Mitnick, uno de los Hackers más famosos de la historia, aplica de manera sorprendente varios de los métodos que describiré a continuación.

Phishing

El Phishing es uno de los métodos de ataque de Ingeniería social más utilizados. La forma más común de Phishing es la que emplea el correo electrónico para cometer fraude.

Un atacante que utiliza este método por lo general tiene en su poder un dominio de Internet que puede ser fácilmente confundido con la URL de un servicio legítimo y lo utiliza para tratar de convencer al usuario de ingresar sus datos con el fin de verificar su cuenta bancaria, Paypal e incluso una red social o servicio de mensajería instantánea, bajo la amenaza de suspenderla en caso de no suministrar los datos requeridos. Si un usuario ingresa sus credenciales, obviamente le está entregando su información al atacante, quién la utilizará para robar información e incluso dinero.

Por fortuna, el Phishing también es uno de los métodos más fáciles de detectar, en gran parte, gracias a los servicios de correo electrónico que filtran de forma rigurosa todos los mensajes que atraviesan sus servidores e identifican y marcan como sospechosos aquellos que provengan de fuentes no confiables.

Debemos tener presente que ningún servicio de Internet, incluyendo a los propios bancos, nos solicitará información financiera, contraseñas o números de tarjeta de crédito para verificar nuestra identidad o validar nuestra cuenta a través de correo electrónico.

Cada vez que necesites ingresar a los servicios de banca en línea, asegúrate de introducir manualmente la dirección en el navegador, es decir, evita utilizar enlaces que encuentres en otros sitios, incluso si se trata de un buscador. La mayoría de los bancos tienen servicios de atención telefónica para reportar el fraude, por lo que si sospechas que estás siendo víctima de uno de estos ataques, no dudes en llamar de forma inmediata para solicitar asistencia.

Vishing

En el Vishing, los métodos son similares a los descritos en el Phishing, de hecho su finalidad es exactamente la misma. La diferencia es que este utiliza una llamada telefónica en lugar de un correo electrónico o un sitio web falso.

Existen varias formas ataque bajo este método, las más comunes son:

·         Una llamada a la victima utilizando un sistema automatizado, en la cual se solicita al usuario que siga una serie de pasos para reactivar su cuenta ya que "su tarjeta de crédito ha sido robada" y "se requiere de una acción inmediata".

·         Un correo electrónico con instrucciones para "activar su cuenta" donde se incluye un número de teléfono al que se debe llamar para completar el falso proceso de activación.

·         Empleando la imitación de llamadas telefónicas interactivas del tipo "marque 1 para…" o "introduzca su número de tarjeta de crédito después de la señal…".

Además de éstas, he conocido casos a través de familiares y amigos, en los cuales, mediante una llamada telefónica se realiza una encuesta o se ofrece algún paquete turístico. A lo largo de la conversación, el atacante va realizando una serie de preguntas cuyas respuestas implican datos privados.

Los atacantes que emplean este método suelen tener un gran poder de convencimiento y ser buenos conversadores, de esta manera logran mantener por el mayor tiempo posible a la víctima pegada al teléfono.

Ahora que conoces como funcionan, puedes sospechar de todas las llamadas de este tipo. En el caso de los bancos, estos nunca te pedirán datos vía telefónica (en todo caso te pedirán que te acerques hasta una de sus agencias). Tampoco Facebook, Google, Microsoft o cualquier compañía/servicio te llamará para pedirte información sobre tus contraseñas o tarjetas de crédito.

Baiting

Este método aprovecha una de las mayores debilidades -o virtudes- de los seres humanos: la curiosidad.

En el Baiting, un atacante abandona de forma intencional un dispositivo o medio de almacenamiento extraíble, como por ejemplo, una memoria USB o un CD/DVD. Dicho dispositivo estará infectado con software malicioso, que podría ser instalado en el ordenador, incluso sin que nos demos cuenta.

Contra este método, tener un antivirus actualizado podría ser efectivo, sin embargo, es necesario tener precaución a la hora de insertar dispositivos de dudosa procedencia en nuestros ordenadores. También es recomendable desactivar la función Autorun y no abrir archivos si no estamos seguros de su contenido.

Clic.

No comments: