Bueno les traigo algunas informaciones sobre un término tal vez poco usado en nuestro país en cuanto a informática se trata, pero no quiere decir que no se aplique en la práctica y que también no debamos saberlo usar a nuestro favor cuando nos convenga, o estar preparados y conscientes para no ser víctimas del mismo. Sin más preámbulos me refiero al término “Ingeniería Social”.
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. En otras palabras es el método mediante el cual se obtienen los datos necesarios directamente de las víctimas o personas cercanas a ellas para efectuar alguna maniobra, la mayoría de las veces con fines nada buenos y perjudiciales para la víctima.
Luego de la comunicación con la víctima los datos obtenidos son procesados y analizados para posteriormente utilizarlos con un fin bien diferente al que le fuera informado. Por tal motivo y con buenas o malas intenciones en muchos países la aplicación de esta técnica es considerada un delito por violar la privacidad, ya sea de usuarios individuales, empresas u organizaciones.
Anteriormente el término Ingeniería Social se despreciaba de entre las técnicas del hackeo, por no considerarse un método “técnico”, pero posteriormente fue aceptado dado la imposibilidad de llevar a cabo algunas grandes maniobras sin su utilización.
Esta técnica la pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales (hackers, aunque el termino correcto es cracker) para obtener información, acceso o privilegios en redes o sistemas de información que les permitan realizar algún acto que perjudique o exponga a la persona u organismo comprometido a riesgo o abusos, aunque pueden haber ocasiones en que tal vez no sea usado para perjudicar a otra persona u empresa sino para mero uso a favor del “ingeniero”.
El uso de esta técnica viene dado cuando se necesita conocer algo que por otras vías no es posible y consiste en comunicarse con la víctima, convencerla, entablar conversaciones y “sacarle” la información necesaria sin que esta note lo que realmente está sucediendo.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, pretendiendo, por ejemplo, ser un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico, un cliente o un administrador de redes.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing(pesca).
Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo a veces el desconocimiento de las personas hace que incluso no sea necesario aplicar este tipo de técnicas para obtener lo que se quiere y puedan ser obtenidos los datos de una forma más sencilla.
Hay que destacar que en nuestro país algunas o muchas de estas técnicas no se ven o se ven bien poco porque no estamos informatizados en la medida que estos métodos necesitan para ser aplicados. Pero hay otras que si, y sobre todo las referentes a usuarios y contraseñas de cuentas de acceso telefónico, correo, e Internet, para las personas o lugares donde haya. Si mal no recuerdo algo de esto sucedió con las cuentas de Infomed hace algunos años atrás, creo que llamaban o escribían haciéndose pasar por un administrador de la red de Infomed y le pedían su usuario y contraseña con determinado objetivo, que claro está tenía algo de lógica como para engañar a muchos. Luego de eso bueno je je je, creo que de más está decir que esos usuarios no podían acceder nuevamente a sus cuentas y los problemas que esto acarrea y mas en aquel entonces que no existía eso del anclaje de la cuenta a un # de teléfono, ni el sitio http://accesotelefonico.sld.cu donde puedes ver los detalles de las conexiones, ni las famosas 25 horas.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales.
El motivo de la ingeniería social es muy simple de entender: Siempre es necesario contar con información, mientras mayor sea el volumen de información obtenida mejor, sobre todo en movimientos relacionados con la seguridad informática, donde los actos caminan por la cuerda floja que separa lo legal de lo ilegal sin estar debidamente delimitado. Ejemplo, la diferencia entre el peor de los rateros que quiere “mudar” un domicilio y un experto en computación que quiere hacerse con una importante base de datos de determinada empresa. El primero necesita saber la hora en que no hay nadie en casa. El segundo necesita saber la hora en que no está el administrador del sistema. En esencia es lo mismo. Claro que para ambos casos con esa sola información no alcanza, pero siempre la pieza clave es la información.
Tampoco hay que creer que la ingeniería social es de un solo sentido. No siempre es el estafador o hacker que embauca a su víctima. A veces, sistemas basados en ingeniería social son diseñados para proteger a las víctimas de hechos delictivos como robos o atracos.
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas, así como no brindar información a desconocidos referente a cuentas, correos, ni nada por el estilo.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
Todos queremos ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario