{"id":3815,"date":"2011-05-21T18:32:00","date_gmt":"2011-05-21T16:32:00","guid":{"rendered":"http:\/\/www.montejo.biz\/blog\/?p=3815"},"modified":"2012-12-28T18:34:50","modified_gmt":"2012-12-28T16:34:50","slug":"ingeniera-social","status":"publish","type":"post","link":"https:\/\/www.montejo.biz\/blog\/2011\/05\/21\/ingeniera-social\/","title":{"rendered":"Ingeniería social"},"content":{"rendered":"

\u00bfQue es la Ingenier\u00eda Social?<\/b><\/p>\n

B\u00e1sicamente se denomina ingenier\u00eda social a todo artilugio, tretas y t\u00e9cnicas m\u00e1s elaboradas, que, a trav\u00e9s del enga\u00f1o de las personas, consiguen revelar contrase\u00f1as u otra informaci\u00f3n confidencial, m\u00e1s que la obtenci\u00f3n de dicha informaci\u00f3n a trav\u00e9s de las debilidades propias de una implementaci\u00f3n y mantenimiento de un sistema.<\/p>\n

\"clip_image002\"<\/a><\/p>\n

El \u00fanico medio para entender como defenderse contra esta clase de ataques es conocer los conceptos b\u00e1sicos que pueden ser utilizados contra ti o tu compa\u00f1\u00eda y que abren brechas para conseguir tus datos. Con este conocimiento es posible adoptar una aptitud m\u00e1s saludable que te alerte sin convertirte en un ser paranoico (de todas formas, como dec\u00eda Henry Kissinger, \u2018no eres paranoico cuando de verdad te est\u00e1n persiguiendo\u2019).<\/p>\n

\"clip_image004\"<\/a><\/p>\n

\u00bfY en qu\u00e9 me afecta esto?<\/b><\/p>\n

La ingenier\u00eda social se concentra en el eslab\u00f3n m\u00e1s d\u00e9bil de cualquier cadena de pol\u00edticas de seguridad. Se dice a menudo que la \u00fanica computadora segura es aquella que nunca ser\u00e1 encendida.<\/p>\n

\"clip_image006\"<\/a><\/p>\n

El hecho que t\u00fa pudieras persuadir a alguien para que te suministre su n\u00famero de tarjeta de cr\u00e9dito, puede sonar como algo poco factible, sin embargo suministras datos confidenciales diariamente en distintos medios, como el papel que arrojas a la basura o el post-it adhesivo con tu contrase\u00f1a debajo del teclado. Tambi\u00e9n el factor humano es una parte esencial del juego de seguridad. No existe un sistema inform\u00e1tico que no dependa de alg\u00fan dato introducido por un operador humano. Esto significa que esta debilidad de seguridad es universal, independiente de la plataforma, el software, red o edad del equipo.<\/p>\n

\"clip_image008\"<\/a><\/p>\n

Cualquier persona con acceso a alguna parte del sistema, f\u00edsicamente o electr\u00f3nicamente, es un riesgo potencial de seguridad.<\/p>\n

\u00bfUn problema grande?<\/b><\/p>\n

Constantemente los profesionales de seguridad indican que la seguridad a trav\u00e9s de la oscuridad (se denomina as\u00ed a la seguridad que se basa en el desconocimiento y el ocultamiento de fallos, en lugar de preverlos y solucionarlos) es la peor opci\u00f3n a elegir.<\/p>\n

\"clip_image010\"<\/a><\/p>\n

Casi cada ser humano tiene las herramientas para intentar una ingenier\u00eda social, "el ataque", la \u00fanica diferencia es la habilidad y conocimientos al hacer el uso de estas herramientas.<\/p>\n

Los m\u00e9todos<\/b><\/p>\n

Una de las herramientas esenciales usadas para la ingenier\u00eda social es una buena recolecci\u00f3n de los h\u00e1bitos de los individuos.<\/p>\n

\"clip_image012\"<\/a><\/p>\n

Las situaciones<\/b><\/p>\n

La ingenier\u00eda social se dirige a los individuos con menos conocimientos, dado que los argumentos y otros factores de influencia tienen que ser preparados generando una situaci\u00f3n cre\u00edble que el individuo realice.<\/p>\n

\"clip_image014\"<\/a><\/p>\n

Algunos ejemplos que se pueden citar:<\/p>\n

– La ejecuci\u00f3n de un virus troyano por parte del usuario, adjunto a un correo electr\u00f3nico enviado por una casilla que le es familiar o simplemente con un interesante t\u00edtulo al destinatario como "es divertido, pru\u00e9balo", "mira a Anita desnuda", \u201cfotos de Bin Laden prohibidas), etc.<\/p>\n

– La voz agradable de un hombre o mujer, que pertenece al soporte t\u00e9cnico de nuestra empresa o de nuestro proveedor de tecnolog\u00eda, que nos pregunta telef\u00f3nicamente informaci\u00f3n para resolver un inconveniente detectado en nuestra red.<\/p>\n

– La llamada de un usuario que necesita que se le asignen nuevamente su clave porque la ha cambiado durante el transcurso del d\u00eda y no la recuerda.<\/p>\n

Relaci\u00f3n costo-beneficio<\/b><\/p>\n

Aqu\u00ed notamos otra caracter\u00edstica importante respecto a otro tipo de fraudes: la excelente relaci\u00f3n costo-beneficio obtenida de su aplicaci\u00f3n, ya que a un costo \u00ednfimo (una llamada telef\u00f3nica o un correo electr\u00f3nico) corresponde un beneficio incalculable (acceso a la informaci\u00f3n o a un sistema).<\/p>\n

La principal defensa contra la ingenier\u00eda social es educar y entrenar a los usuarios en el uso de pol\u00edticas de seguridad y asegurarse de que estas sean seguidas.<\/p>\n

\"clip_image016\"<\/a><\/p>\n

Caso m\u00e1s famoso<\/b><\/p>\n

Uno de los ingenieros sociales m\u00e1s famosos de los \u00faltimos tiempos es Kevin Mitnick. Seg\u00fan su opini\u00f3n, la ingenier\u00eda social se basa en estos cuatro principios:<\/p>\n

1. Todos queremos ayudar.<\/p>\n

2. El primer movimiento es siempre de confianza hacia el otro.<\/p>\n

3. No nos gusta decir No.<\/p>\n

4. A todos nos gusta que nos alaben.<\/p>\n

Kevin Mitnick es uno de los hackers y phreakers m\u00e1s famosos de los Estados Unidos. Su nick o apodo fue Condor. Su \u00faltimo arresto se produjo el 15 de febrero de 1995, tras ser acusado de entrar en algunos de los ordenadores m\u00e1s seguros de Estados Unidos. Ya hab\u00eda sido procesado judicialmente en 1981, 1983 y 1987 por diversos delitos electr\u00f3nicos.<\/p>\n

El caso de Kevin Mitnick (su \u00faltimo encarcelamiento) alcanz\u00f3 una gran popularidad entre los medios estadounidenses por la lentitud del proceso (hasta la celebraci\u00f3n del juicio pasaron m\u00e1s de dos a\u00f1os), y las estrictas condiciones de encarcelamiento a las que estaba sometido (se le aisl\u00f3 del resto de los presos y se le prohibi\u00f3 realizar llamadas telef\u00f3nicas durante un tiempo por su supuesta peligrosidad).<\/p>\n

\"clip_image018\"<\/a><\/p>\n

Herramientas para protegerse<\/b><\/p>\n

Sentido com\u00fan<\/i><\/p>\n

Debemos tomar con mucha cautela todos los correos electr\u00f3nicos que recibimos y cualquier llamada de un proveedor de servicios que utilicemos. Tener en cuenta que nunca nos deber\u00e1n preguntar datos que ya conocen ellos (usuario, contrase\u00f1a, n\u00ba de cuenta, etc.)<\/p>\n

\"clip_image020\"<\/a><\/p>\n

Herramientas antiphising de los navegadores<\/i><\/p>\n

Todos los navegadores han incorporado m\u00f3dulos que detectan intentos de phising aunque siempre debemos estar alerta, estos intentos son cada d\u00eda m\u00e1s sofisticados.<\/p>\n

\"clip_image022\"<\/a><\/p>\n

Herramientas de seguridad<\/i><\/p>\n

Algunos programas de seguridad incorporan algunas funciones para protegernos de los enga\u00f1os, como IObit Seguridad 360, del que hablar\u00e9 en otra ocasi\u00f3n.<\/p>\n

\"clip_image024\"<\/a><\/p>\n

Conclusi\u00f3n<\/b><\/p>\n

El resumen de medidas son: EDUCACI\u00d3N, EDUCACI\u00d3N y EDUCACI\u00d3N (en la seguridad, se entiende).<\/p>\n

Debemos conocer estas t\u00e9cnicas para evitar caer en ellas.<\/p>\n

No pulsar en enlaces recibidos por correo electr\u00f3nico, lo que hay que hacer es teclear en la barra de direcciones la direcci\u00f3n de las entidades financieras con las que queramos trabajar.<\/p>\n

\"clip_image026\"<\/a><\/p>\n

Los bancos y cajas nunca env\u00edan correos con enlaces para que accedamos a sus servicios.<\/p>\n

Ning\u00fan servicio al que estamos suscritos (ISP, entidad financiera, otros servicios) nos pedir\u00e1 nunca nuestros datos por correo.<\/p>\n

Cuando recibamos un correo que nos pida pulsar en un enlace comprobar, poniendo el rat\u00f3n encima de \u00e9l, que su contenido es el mismo que aparece en el correo.<\/p>\n

\"clip_image028\"<\/a><\/p>\n

Si entras en la p\u00e1gina de una entidad financiera no s\u00f3lo debes comprobar que es una p\u00e1gina segura (tiene el candado con una encriptaci\u00f3n m\u00ednima de 128 bits) sino que tambi\u00e9n hay que comprobar el certificado: ah\u00ed se indica que la p\u00e1gina web es de quien dice ser.<\/p>\n

\"clip_image030\"<\/a><\/p>\n

En fin, aconsejo, para finalizar, borrar sin mirar todos los correos que recibamos y no hayamos solicitado, nos ahorraremos muchos disgustos.<\/p>\n\n\t\t\t\t\t\t\t

If you found an error, highlight it and press Shift + E<\/strong> or pulsa aqu\u00ed<\/strong><\/a> to inform us.<\/p>\n\t\t\t\t\t\t<\/div>