EstudiodemetodologíasdeIngenieríaSocialDavidBerenguerSerratoMáster Universitario en Seguridad de las Tecnologías de la Información y de lasComunicacionesTFM-AdhocAngelaMaríaGarcíaValdésVictorGarciaFont06/2018

EstaobraestásujetaaunalicenciadeReconocimiento-NoComercial-SinObraDerivada 3.0 España de CreativeCommons

i

FICHADELTRABAJOFINAL

Títulodeltrabajo: EstudiodemetodologíasdeIngenieríaSocial

Nombredelautor: DavidBerenguerSerrato

Nombredelconsultor/a: AngelaMaríaGarcíaValdés

NombredelPRA: VictorGarciaFont

Fechadeentrega(mm/aaaa): 06/2018

Titulación:: MásterUniversitarioenSeguridaddelasTecnologíasdelaInformaciónydelasComunicaciones

ÁreadelTrabajoFinal: TFM-Adhoc

Idiomadeltrabajo: Castellano

Palabrasclave MetodologíasIngenieríaSocial

ii

Resumen del Trabajo (máximo 250 palabras): Con la finalidad, contexto de aplicación,metodología,resultadosiconclusionesdeltrabajo.

Eltrabajoconsisteenunestudiosobrelastécnicasdeingenieríasocialylosmétodosusadosparaobtenerinformación.Primero se introducirá la definición, y un poco de historia, de que es la ingeniería social.Después se verán los conceptos relacionados con la ingeniería social. Y a continuación sedetallaránlosmétodosmásusados,ademásdedescubrirquétipodeinformaciónpuedellegaraobtenerseycómoestaesutilizadaparaobtenerbeneficios.También se verá como defenderse o realizar un ataque con la ingeniería social, además demencionar a grandes ingenieros notables y concluyendo finalmente en como afecta laingenieríasocialycasosrealesdeesta.

iii

Abstract:

The work is a study about social engineering techniques and the articles used to obtaininformation.First, thedefinition,andabitofhistory,of socialengineering ispresented.After seeing theconceptsrelatedtosocialengineering.Andthenseedetailsaboutthemostusedmethods,aswell as discover what kind of information can be obtained and how it is used to obtainbenefits.He also sees himself as a defender or carrying out an attack with social engineering, inaddition to mentioning a great engineers and finally concluding in how it affects socialengineeringandrealcasesofit.

iv

Índice

1.Introducción.............................................................................................................................11.1ContextoyjustificacióndelTrabajo...................................................................................11.2ObjetivosdelTrabajo..........................................................................................................11.3Enfoqueymétodoseguido.................................................................................................11.4PlanificacióndelTrabajo.....................................................................................................21.5Brevesumariodeproductosobtenidos.............................................................................3

2.¿Quéeslaingenieríasocial?....................................................................................................42.1Historiadelaingenieríasocial............................................................................................42.2Laevolucióndelastécnicasdeingenieríasocial................................................................5

3.Ingenieríasocialyseguridadinformática.................................................................................54.Principiosbásicosdelaingenieríasocial..................................................................................64.1Reciprocidad.......................................................................................................................64.2Urgencia..............................................................................................................................64.3Consistencia........................................................................................................................64.4Confianza............................................................................................................................64.5Autoridad............................................................................................................................74.6Validaciónsocial.................................................................................................................7

5.¿Querolesintervienen?...........................................................................................................75.1¿Comoestudiarunrol?......................................................................................................8

6.Tiposdeataquesdeingenieríasocial.....................................................................................106.1Phishing............................................................................................................................106.2SpearPhishing..................................................................................................................116.3Vishing..............................................................................................................................116.4Pretexting.........................................................................................................................116.5Baiting...............................................................................................................................116.6Tailgating..........................................................................................................................116.7Quidproquo.....................................................................................................................12

7.Víasdeataquedeingenieríasocial........................................................................................127.1Ingenieríasocialporteléfono...........................................................................................127.2IngenieríasocialporInternet............................................................................................127.3IngenieríasocialporDumpsterDiving..............................................................................127.4Ingenieríasocialporpersuasiónpsicológica.....................................................................13

8.¿Cómopodemosdefendernosdelaingenieríasocial?..........................................................138.1¿Comoprevenirestosataques?.......................................................................................14

9.Comorealizarunataquedeingenieríasocial........................................................................149.1Ciclodeunaataquedeingenieríasocial..........................................................................149.2¿Cómoobtenerinformaciónparaelataquedeingenieríasocial?...................................169.3¿Cómorealizarelataque?................................................................................................17

5

9.4Buscandoelmomentoperfecto.......................................................................................179.5Procesocompletodecomorealizarunataquedeingenieríasocial................................18

10.Ingenierossocialesnotables................................................................................................1910.1KevinMitnick..................................................................................................................1910.2ChristopherHadnagy......................................................................................................2010.3MikeRidpath..................................................................................................................2010.4DavidPacios....................................................................................................................2010.5BadirBrothers.................................................................................................................20

11.¿Comopuedeafectaralasempresasypersonas?..............................................................2111.1El50%delasempresasvíctimasdelaingenieríasocial.................................................2111.2Laimportanciadetomarmedidaseinformar................................................................21

12.Casosrealesdeataques.......................................................................................................2212.1Cuandoblindarsistemasinformáticosnoloestodo......................................................2212.2CasoUbiquitiNetworks..................................................................................................2212.3Lainfluenciadeunfalsotweetenlaeconomíamundial...............................................2312.4Laestafanigeriana(oestafa419)...................................................................................2412.5Estafasrelacionadasamuertesdecelebridades............................................................2512.6FalsasnoticiasalarmantesdeFacebook.........................................................................2512.7Fotosyvideosíntimosdefamosos,paralosmásextremos...........................................2612.8WhatsAppparaPC,estafaantesderealidad..................................................................27

13.Conclusiones........................................................................................................................2814.Bibliografía...........................................................................................................................29

1

1.Introducción1.1ContextoyjustificacióndelTrabajo

Hoy en díamuchas personas no son conscientes de que la Ingeniería Social es unarealidad. Es un tema que nos afecta a todos, ya sea en el trabajo o vida personal, y dichodesconocimientodeinformaciónhacequeseauntemamasdelicado.Sepretenderesolverlasdudasqueacualquierase lepodríanplantearalescuchar laspalabras IngenieríaSocial,paraquedeunamaneraunificada,comprenderunpocomastodosusignificadoyloquelerodea.1.2ObjetivosdelTrabajo

Eltrabajoconsisteenunestudiosobrelastécnicasdeingenieríasocialylosmétodosusados para obtener información. Para ello habrá que familiarizarse con los conceptosrelacionadoscon la ingenieríasocial,detallar losmétodosmásusados,descubrirquétipodeinformaciónpuedellegaraobtenerseycómoestaesutilizadaparaobtenerbeneficios.1.3Enfoqueymétodoseguido

Al ser un trabajo enfocado teóricamente, la metodología empleada principalmenteestarábasadaen labúsquedaysíntesisde la informaciónencontrada.Siendo lasprincipalesfuentesdeinformaciónlibros,websyvideos.

2

1.4PlanificacióndelTrabajo

Se ha realizado un diagrama de Gantt con la planificación inicial del TFM, aunquefinalmentealgúnpuntoconcretohavariadolevemente.

3

1.5Brevesumariodeproductosobtenidos

Lospuntosquesehandesarrolladofinalmentehansidolossiguientes:

• ¿Quéeslaingenieríasocial?• Ingenieríasocialyseguridadinformática• Principiosbásicosdelaingenieríasocial• Querolesintervienen• Tiposdeataquesdeingenieríasocial• Víasdeataquedeingenieríasocial• Comopodemosdefendernosdelaingenieríasocial• ComorealizarunataquedeIngenieríaSocial• Ingenierossocialesnotables• Comopuedeafectaralaspersonasyempresas• Casosrealesdeataques

4

2.¿Quéeslaingenieríasocial?

Se puede definir como el conjunto de técnicas o estrategias sociales utilizadas deformapremeditadaporunusuarioparaobteneralgúntipodeventajarespectoaotrouotros.Porloquedeingenieríatienemásbienpoco,esmás,dehechoseacercamásalapsicologíasocial o la sociología de ventas. Ya que para llevar a cabo ataques de ingeniería social, notienesporquétenerconocimientostécnicosdeningúntipo.

Todoelloimplicaqueenlaprácticanohayaningúnsistemainformáticoquenospuedaprevenirdeunataquedeesteestilo.Comomucho,laimplantacióndedirectivasdeseguridad,ISOs o normativas, que eviten que el eslabón más débil de la cadena, eltrabajador/cliente/usuario,tengalospermisosyconocimientossuficientescomoparacaerenunengaño,oalmenosparaminimizarlasconsecuenciasasociadasaél.

Sesueleobtenerinformacióndelosusuariosnormalmentemedianteteléfono,correoelectrónico,webs,correo tradicionalocontactodirecto.Losatacantesde la ingenieríasocialusanlafuerzapersuasivayseaprovechandelainocenciadelusuariohaciéndosepasarporuncompañerodetrabajo,untécnicoounadministrador,etc.

En general, los métodos de la ingeniería social están organizados de la siguientemanera:unafasedeacercamientoparaganarselaconfianzadelusuario,haciéndosepasarporun integrantede la administración, de la compañía, un cliente, proveedor, etc.; una fasedealerta,paradesestabilizaralusuarioyobservarlavelocidaddesurespuesta.Porejemplo,estepodríaserunpretextodeseguridadounasituacióndeemergencia;unadistracción,esdecir,una frase o una situación que tranquiliza al usuario y evita que se concentre en la alerta.Podríaserunagradecimientoqueindiquequetodohavueltoalanormalidad,unafrasehechao,en casodeque seamediante correoelectrónicoodeunapáginaweb, la redireccióna lapáginawebdelacompañía.2.1Historiadelaingenieríasocial

El uso de la expresión se inició en 1894 con un ensayo del empresario y filántropoholandésJ.C.VanMarken,difundidoenFranciaporÉmileCheysson(unodelosintegrantesdelMuséeSocial),perorecibiósumayorimpulsoenEE.UU.atravésdellibro“SocialEngineering”del reformista socialW.H. Tolman, conocidoenaquellaépocapor “ayudara lospobres”. Laidea central es que no había en las empresas una función social (algo así como losdepartamentosderecursoshumanosdehoy),porloqueelingenierosocialteníaunafunciónde mediador para resolver los conflictos como intermediador racional entre el capital y eltrabajo. En esta acepción, el ingeniero social debía contar con habilidades sociales, encontraste con el uso posterior del término, basado en la metáfora de la máquina que seconvierteenelnúcleodelconceptopeyorativoactual.

SesugierequeelorigendeltérminoestáenelconceptofilantrópicodelospensadoresliberalesdelasegundamitaddelsigloXIXcomolos“intermediariosracionales”entreelcapitalyeltrabajo.Paralasdécadas30y40delsigloXXeltérminohabíacaídoendesuso.

Apartirdeestaespecialización, segeneralizael conceptodeque la ingeniería socialpuedeserunatécnicaométodoparalograrunavariedadderesultados,esdecir,dejadeserun instrumentopararesolverproblemassocialesysetransformaenunoparamanipulara lapoblación. Es evidente en este punto que la propaganda puede ser considerada ingeniería

5

social, así como las campañas políticas y la religión, dado que buscan lograr uncomportamientoespecíficoen lasmasas.En1945KarlPopper reintroduceel términocon laacepciónde implementacióndemétodoscríticosy racionalesde la ingenieríay cienciaa losproblemassociales

2.2Laevolucióndelastécnicasdeingenieríasocial

Es increíblevercómohanevolucionadohasta la fecha losataquesdeeste tipo.Algoqueensusinicioscomenzósiendounaimpersonalizaciónvíatelefónica,hoybuscahacerunaexperienciaimperceptiblealusuario.

Los comienzosdeesta técnica sebasabanen llamadas telefónicas,haciéndosepasarporentidadesquebrindanundeterminadoservicio.Lafinalidaddeeste llamadoerarecabarinformaciónsobrelavíctima.ConlallegadadeInternetacadahogar,comenzaronaaparecertécnicasdeIngenieríaSocialvíaclientesdemensajeríainstantánea.Comenzóasermuycomúnel famoso mensaje mediante Messenger “Fotos_para_adultos_de_alguien.rar”. Enviandocódigomaliciosoaloscontactosdelacuenta,hubomuchoscasosdeinfecciónmedianteestatécnica.

Hoyendía, los ciberdelincuentesbuscanengañara sus víctimasparaqueentreguenvoluntariamente su información personal. Lamutación se dio no sólo hacia sitiosweb, sinotambién seha transformadoenmensajesde texto, y cualquier tipodemensajeríamóvil. Laimportanciadeestevectordeataqueradicaenqueestosdispositivosmóvilesalmacenangrancantidad de información personal, como contactos, fotos, conversaciones, usuarios ycontraseñasderedessociales,decorreoselectrónicos,inclusivegeolocalización.

3.IngenieríasocialyseguridadinformáticaMuchos nos hemos puesto a resolver test, descargar aplicaciones, contestar

formularios y muchas otras cosas que nos ofrecen a través de las redes sociales y comosolemos no leer advertencias, damos datos o permitimos que la información de nuestrascuentasseaaccedidaporpiratasinformáticosoporappquealasqueinclusolesautorizamosapublicarpornosotros.

Elelementodemanipulaciónsocialatravésdenuestrasconductase interesesen lasredessociales,esuncaminodoradoparaelrobodeinformaciónclavedenuestrosproductosyvulneranuestra seguridad, inclusopodríamoshablarhasta denuestra integridad física, todavez que hay muchos delincuentes informáticos o bandidos que se valen de la huella quedejamosen laredparacometerdelitoscontra laspropiedadesocontra laspersonas.Sibienno se trata de ser paranoico, si debemos tener en cuenta los riesgos latentes y estarconscientesdeello.

La ingeniería social consiste en el diseño de estrategias para manipularpsicológicamente a los usuarios de internet para que compartan información confidencial ocometan errores al realizar operaciones inseguras y queden expuestos a través de esametodología.

6

Seguramentetodoshemosrecibidoalgunavezuncorreoquenosdice“Queridomío”yteechanuncuentoenelquealguienenalgúnlugarquieredonarsufortunaytodoesoyquesolodebesdarlosdatosdecuentasbancarias.Unocreequenoexistegentequepuedacaerenunatrampatantonta,peroloshayymuchos,poralgoexistenesosmensajes.Sinohubiesequiencayeraeneso,puesnotendríansentido.¿Aquéapelaeso?Puesa lanecesidadde laspersonas. Y no hay una vía más expedita para engañar a alguien que haciendo uso de lasnecesidades.Siempreeldeseodeteneraquelloquemehacefaltanosllevaaactuarmuchasvecesdemanerairracional.

4.PrincipiosbásicosdelaingenieríasocialComo todamateria, tiene algunos elementos básicos con los que un criminal juega

para ganarse el respetoo confianza suficiente yengañar a la víctima. Y casualmente separecenmuchoalosprincipiosbásicosdelasventas,¿casualidad?

4.1Reciprocidad

Los humanos somos por naturaleza recíprocos con nuestros actos. Si alguien nosofrecealgo,tendemosaofrecerletambiénalgonosotros.Sialguiennostratamal,estaremosmás susceptibles a pagarle con la misma moneda. Un “instinto” social muy arraigado ennuestranaturaleza,yporende,fácilmentemanipulable.Lapróximavezquealguienleofrezcaun trabajodeensueñodesdesucasaenelquesolo tienequemeterdinerodeunacuentaaotraysequedaun%porcadatransacción,desconfíe.Siestansencillodehacer,¿porquénolohacenellos?

4.2Urgencia

Un clásico entre los clásicos. ¡Aproveche esta oferta! ¡Hasta fin de existencias!¡Durantelospróximoscincominutos…!Esunodelosmantrashabitualesdelasventas,enestecasoextrapoladoalcibercrimen.Lamayoríadelosataquesdeingenieríasocial,enganchanalas víctimas por medio de la urgencia. Tienes 24 horas para enviarme X datos del banco oHaciendatepondrá laconsabidamulta.ComparteahoramismoesteartículoentretodostuscontactosdeFacebookyganaras100deoroparagastarenestaaplicación…¿seguimos?

4.3Consistencia

Somos animales de costumbres. Si hemos dado nuestra palabra, tendemos más acumplirqueanohacerlo.Elcasodeingenieríasocialmáshabitualutilizandoesteprincipioesaquelenelqueunmiembrodelequipotécnicodeunservicio(odeunaempresa)lepidequerealice X labores habituales. Aunque una de ellas sea “rara de cojones”, como ya se hacomprometidolaacabaráhaciendojuntoalresto.Yelcriminalyatendráseguramenteaccesoalosserviciosdelacompañíaensunombre.

4.4Confianza

Nuestras escasas defensas bajan cuando nuestro interlocutor nos cae bien o estáalineadoconnuestrosintereses.Pornohablardenuevodelanoviarusa,noesraroquealtosdirectivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno,corporaciones, política, militar,…) sean “seducidos” por supuestos perfiles semejantes (no

7

tienen porqué ser del sexo opuesto, aunque tiende a ayudar) que se ganan su confianza losuficientecomoparaquetenganundescuidoypuedanaprovecharsedeél.Acontinuaciónescuandoesachicamorena,ejecutivadecuentasdeXinstitución,setransformaenunmaromodelesteque leextorsionacondesvelarcontenido inapropiadoenviado lanocheanteriorsinocumplealmilímetrosusexigencias.

4.5Autoridad

Sielbecariolepidelascredencialesdeaccesodeunservicio,seguramentelomirecondesconfianza.Perosiquienlohaceeseljefe,lacosacambia.Lausurpacióndeidentidadjuegaun papel decisivo, bien sea real (robo del perfil digital del jefe) o aparentada (clonado deperfilesoemailsmuyparecidos).

4.6Validaciónsocial

Comoseressocialesquesomos,buscamoslaaprobacióndelcolectivo.Portanto,sienun email alguien nos pide específicamente que hagamos algo raro, es posible que nos lopensemos. Pero si en esa misma conversación hay varios conocidos más (por ejemplotrabajadores de lamisma compañía), y ninguno rechista, entenderemos que no hay ningúnproblemayacataremoslasnormas,vengandequienvengan.

5.¿Querolesintervienen?

Acontinuaciónvamosavercomoasumirunoovariosrolesenlosdistintosescenariosquesepuedeencontrarunexpertoingenierosocial.

Para ello es necesario crear un escenario inventado para persuadir a la víctimadivulgando información confidencial o realizando alguna acción como por ejemplo dar lacontraseñadeladministradordealgunodelosservidoresdelaorganización,odándoleaccesoaunaplantadeaccesorestringidodeledificio.

Esto es muchomás complejo que crear una simplementira. La mentira puede llegar aconvertirseenunanuevaidentidad,muyusadoenlapelículasdeespionaje.Tenemos:

• Escenario:Dondesedesarrollaránlasoperaciones.Puedeserfísicoológico.• Identidad: Necesaria como parte de nuestro rol. Una nueva identidad garantiza

anonimato, accesibilidad y viabilidad en los diferentes escenarios que el expertoingenierosocialsepuedaencontrar.

• Rol: Esta ligado a lo anterior. Con un rol, tendrás una identidad y se actuará en unescenario acorde al rol elegido. Es usado para manipular u obtener informaciónprivilegiada de la víctima. En el ámbito de la ingeniería social es muy usado parahacersepasarporunmiembrodelaorganizaciónempresarialinterpretado.

Nosólopuedesasumirunrol,sinocuantosmásrolessepuedaasumir,más informaciónpodrárecabarenlosdiferentesescenariosdecadarol.

Estorequieremuchotiempodeestudio,yaqueelpreparasedosrolesimplicatenervariasidentidadesyespecializarseendoscampostécnicosdelrol,comopuedeser la informáticay

8

las relacionespúblicas.Por tanto lapreparacióndel roles importanteparapoder imitara laperfecciónlanuevaidentidad.Porejemplo,imitaryactuarigualencuantoalosconocimientosse refieredeun técnico informáticodeunaorganizaciónempresarial inspirando confianza yafabilidad.Conafabilidadnosreferimosdondelaunióndelasdostemáticasproporcionaquelaspersonassesientancómodasdandoinformaciónasuatacantesinsospechaenelescenariocreado.

Paragarantizarlaidentidadanónima,existenmuchosmétodoslógicos(atravésdelared)comoToro I2P,preservandolahuelladigital"intacta".Yfísicosconlacreaciónofalsificacióndepasaportesmuyvistosenlaspelículasdeespionaje.5.1¿Comoestudiarunrol?

Para que el experto ingeniero social, tenga éxito en su operación, es necesario unaperfecta planificación y estudio sobre el rol queva a desempeñar.Hayque tener en cuentaquemuchasde las características previas a la operación son innatas, es decir no se puedenaprenderdesdecero,perosiperfeccionarlas."Elperfecto ingenierosocialnosecrea,sinosemejora".

Paraello,elarduoperfeccionamientodeestastécnicassocialesypsicológicasrequieredemuchotiempoyconfianzaensimismo.Dependiendodelrolempeñado,elingenierosocialactuarádelamismaformaqueloharíaunmiembrodelaorganizaciónoempleadoexternoaella. El lenguaje corporal y verbal, toma gran protagonismo en este ámbito. Por ejemplo laformadesentarse,dehablar,demoverse,lavestimenta,etc.

La investigación de fuentes abiertas (OSINT) y otros métodos de obtención deinformacióncomo(HUMINT)esvitalparatenermáséxitoenlacreacióndelrol."Informaciónespoder".Contodaestainformaciónpodremosrealizarunesquemaomapaconceptualdelasposiblesdificultadesquenospodemosencontrar en la aplicacióndel rol enel escenario. Sepodría decir que aplicamos inteligencia a la creación del rol, que es muy distinto a lainformaciónyposterioranálisisycreacióndeinteligenciaobtenidoconlaaplicacióndelrol.

Dependiendodelazonageográfica,elacentoyexpresionesempleadascomopartedelaconversacióndeformaespontáneapuedellegarainfluirnegativamentesinosehatomadoencuentaenelestudiodel rol comopráctica.Esteestudiodelacentoo inclusodialectosesmuyimportante,yaqueelescenariodondesedesarrollelaacciónpuedeverseenvueltoconpersonasquehablenconeseacentoylaconversaciónytodoelplanpuedeverseperjudicadoylevantarsospechassinosetieneencuenta.Paraellolasoluciónescomosiempre,practicarconsesionesyconvertirseenunperfectoactor.Sinoeresnaturalesmuydifícilquesepuedallevaracaboestassesionesconexcelentesresultados.Poresoloqueantessehamencionado,el ingeniero social se perfecciona no se crea, son perfectos actores. Si no se dispone depersonas en la cual se pueda practicar estas sesiones, siempre se puede grabar la voz delcontextotextual,yescucharlaluegopararealizarunanálisisdelresultado.Escucharlaradioolatelevisióndelazonageográficaoámbitoadquisitivoencuantoalasexpresionescoloquialesqueseusan,estambiénunasoluciónparapracticar.

Muchasvecesentraendiscusiónsobrelasimplicidaddelrolatomar.Notieneporquesermásefectivosiessimpleelrol,sinoeldominiodeél.

Es importante un estudio técnico del rol a desempeñar para evitar que salgamal el

plan.Eltematécnicoespecificoserefiereadominarlainformáticasielrolesunadministrador

9

desistemasinformáticos,odederechosielrolesserunabogado...ymuchasmásdisciplinas.Si se tiene especial interés en alguna de estas disciplinas, será un punto más a favor. Lainformaciónparadocumentarsesepuedeencontrarencursos,páginaswebolibros.

Un buen ingeniero social que realiza un estudio minucioso de su rol sabeperfectamenteenmascararseensuperfilhaciendocreerasuvíctima, inspirándoleconfianzapor sus actitudes y acciones, y en definitiva su conocimiento técnico en la disciplina del rolelegida.

La presión inspira nerviosismo al ingeniero social. Para ello es necesario elperfeccionamientodeesta técnicahaciéndosepasarelqueusaeste rolcomo instructoryelnovato ingeniero social. Un ejemplo sería que el instructor haya conseguido acceso físico aunaempresa,yesteatentoasucompañeroparaqueestelepidaelidentificadordeempleadoo el número de teléfono de cierta persona y este pueda valorar mediante las faccionescorporalesyverbalessiestanervioso.

El uso del teléfono móvil para realizar ataques de ingeniería social, es un hecho muyimportantecomopartedelestudiodelrol.Norequierepresenciafísicaenellugarysepuedeobtener gran cantidad de información valiosa. Digamos que es positivo, ya que al no tenercontactofísicoconlapersonaconlaqueformaparteenlaconversación:

• Nopuedeanalizarellenguajecorporalynosaltaralertasdesospecha• Noseexponeantemediosdevigilanciadeseguridadenlaorganizaciónempresarial

Tieneunadesventaja.Unperfecto"actor"oingenierosocial,sisevaledesuencantoysulenguaje corporal puede obtener más información de la víctima causándole afabilidad,empatíayconfortabilidad.

La complejidadenel estudiodel rol sepuedehacerpatentedependiendodel escenariodondesepongaenpractica.Cuantomáscomplejoseaelrol,másposibilidadesdefalloenlaoperación.Estesiessencilloseconseguirámásfacilidadderecuerdo.Unrolcomplejovienedefinidoenelestudiodedicadoprevio.Lapreparaciónesprimordial.

Ejemplos de roles, tenemosmuchos y dependiendo de la disciplina tenemos a expertosingenieros sociales que se hacen pasar por altos ejecutivos, a un simple técnico demantenimiento.

Enel casodeun técnicosolonosvalevestir conunpolode laempresayunportátilenmuchasocasionescongranfacilidaddeaccesofísicoysinsupervisión.Paraempezarnuestrorolbastacondecir:

Atacante:"SoyeltécnicoinformáticodelaempresaX"(Puestaenmarchadelrol)Víctima:"Claro,y¿cuáleslatareaquevaarealizar?"(Sehacepatenteyrealidadelescenario)Atacante:"Vengoarealizarelmantenimientodelosservidores"(Plantécnicodelrol)Víctima:"Muybien,¿medejasutarjetadeempleadoparaverificarloenlaBBDD?"Atacante: "Si, claro por supuesto" (La obtención de información previa, y falsificación denuestraidentidad)

Todaconversaciónquevayaaformarparteennuestroplan,debeserespontánea:

10

• Nopuedeinfluirelquesehayapreparadoelroldurante2semanasomásennuestrocomportamiento y se pierda credibilidad debido a expresiones frías y con pocanaturalidad.

• Ciertasexpresionestalescomoeeeeoummmenlaconversaciónimplicainseguridadyaparentaciertadesconfianzaypocaempatíaconlavíctimaenestecaso.

• Saberidentificarenlaconversación,trozosdeinformacióndegranrelevancia,parasuposterioranálisisyobtencióndeinteligencia.

• No hay que sermuy serio, tener notas de humor de vez en cuando y desvelar unabonitasonrisacausasimpatíayafabilidad.

• Lostiemposderespuestainfluyenmuchotambién.

La fase culmen del perfeccionamiento, y puesta en práctica de los dotes de un expertoingenierosocialenlarealidad,esdevitalimportancia.Oloqueeslomismo,seruningenierosocial con experiencia. Para ello se puede poner en práctica con la familia, amigos, condesconocidos,conunomismo,etc.

6.TiposdeataquesdeingenieríasocialPrimeropodemosconsiderarquehaydosgrandesgruposdentrodelaingenieríasocial:

• Hunting:Sonaquellosataquesquebuscanobtenerinformaciónespecíficadelobjetivocon la menor exposición directa posible. Con el menor contacto. En la prácticahablamosdeataquesde ingeniería social enfocadosaobtenerXdato (normalmentecredenciales de acceso a un servicio o cuenta, activación o desactivación de algunaconfiguraciónquepuedecomplicarelobjetivofinalocomoapoyoaunataquemayor,dirigido y persistente), de forma que el atacante se pone en contacto de algunamaneraconlavíctima,ylainstaarealizarunaaccióncuyodesenlaceeselpretendidoinicialmente. Y elmejor ejemplo son las campañas de phishing por email, en el queúnicamentesesueletenercontactodirectoconelcibercriminalunasolavez(elemailque te envía haciéndose pasar por una entidad o conocido, habitualmente para queinsertestusdatosenunasupuestaweblegítima).

• Farming: Pues justo lo contrario. En el hunting lo que se busca es una exposiciónmínima.Obteneralgoydesaparecer.Conelfarmingelobjetivoesmantenerelengañoelmayortiempoposible,paraexprimiralmáximoelconocimiento,recursosoposicióndelavíctima.Paraello,sesuelerecurriragranjasde identidades,quepor logeneralhan sido robadas con anterioridad.Esanovia rusa que se enamorade ti después dehaberte visto por alguna red social, ese príncipe nigeriano sin descendencia quecasualmente tehaelegidoentre losmilesdemillonesdepersonasde todoelmundoparaqueheredessunumerosafortuna…esosí,despuésdepagarunosmínimoscostesdeaduana/retencionesfiscales/seguros,…

6.1Phishing

Elphishingesel tipomáscomúnde ingenieríasocial.Elatacantehaceunacopiadelsitioweb(enlamayoríadeocasioneslapartedelsoportetécnico)deunaempresareconocidayenvíaelenlacealosobjetivosatravésdecorreoselectrónicosomedianteredessociales.La

11

persona, desconociendo el verdadero objetivo del atacante, termina por comprometerinformaciónpersonaleinclusodetallesdetarjetasdecrédito.6.2SpearPhishing

La técnica de ingeniería social conocida como spear phishing se considera como unsubconjunto delphishing. Aunque son similares, se requiere un esfuerzo adicional desde elladodelatacante.Tienequeprestaratenciónalgradodesingularidadparalimitarelnúmerodeusuarios a los que sedirige. Este trabajoduroda sus frutos; las posibilidadesdeque losusuarios que caigan en los falsos mensajes de correo electrónico son considerablementemayoresconestatécnica.6.3Vishing

LosimpostoresoingenierossocialespuedenestarencualquierlugardeInternet.Peromuchos prefieren la manera antigua, utilizar el teléfono. Este tipo de ingeniería social seconoce como vishing. Ellos recrean el sistema IVR (Respuesta de Voz Interactiva) de unaempresa.Seadhierenaunnúmerodeteléfonogratuitoyengañana lagente llamandoasunúmero. La mayoría de la gente no piensa dos veces antes de ingresar informaciónconfidencialenelsistemaIVR.6.4Pretexting

El pretexting es otra forma de ingeniería social, se basa en un escenario con guionpresentado delante de los objetivos. Se utiliza para extraer información de identificaciónpersonaloalgunaotrainformación.Unatacantepodríahacersepasarporotrapersonaounafiguraconocida.Esposiblequehayasvistovariosprogramasdetelevisiónypelículas,endondelos detectives utilizan esta técnica para entrar en lugares donde no están autorizados oextraen informaciónengañandoa lagente.Otroejemplodeestatécnicapuedensercorreoselectrónicos falsos que recibes de tus amigos solicitándote dinero. Si fuese este el caso,probablementealguienhackeósucuentaocreóunafalsa.6.5Baiting

Elbaiting(cebo)esunadelastécnicasdeingenieríasocialutilizadaporgenteconfinesmaliciosos.LosatacantesdejanunidadesUSB infectadasodiscosópticosen lugarespúblicoscon la esperanza de que alguien lo recoja por curiosidad y lo use en sus dispositivos. Unejemplomásmodernodeestatécnicasepuedeencontrarenlaweb.Teencuentrasdiferentesenlacesdedescarga(sobretodoenpáginastipowarez)queensumayoríacontienensoftwaremalicioso, estos enlaces semuestran a la gente al azar esperando que alguien haga clic enellos.6.6Tailgating

Esta técnica de ingeniería social, se basa en solicitar la ayuda de una personaautorizadaparateneraccesoalasáreasrestringidasdondeestápresentelaautenticaciónde

12

RFID (identificación por radiofrecuencia) o alguna otra barrera electrónica. También muyutilizadaenseriesypelículasdetectivescas.6.7Quidproquo

Estemétodoinvolucraalaspersonasqueprestansoportetécnico.Hacenllamadasalazaralosempleadosdeunaempresasolicitandoayudaconrespectoauntema.Aveces,estaspersonastienenlaoportunidaddehacerquelavíctimahagaloquequieren.Sepuedeutilizartambiénpara lagentenormal.Quidproquo implicaun intercambiodealgoconelobjetivo,por ejemplo, el atacante trata de resolver un problema real de la víctima. El cambio puedeimplicarcosasmaterialescomounintercambiodeinformación.

7.VíasdeataquedeingenieríasocialPor lo general, los ingenieros sociales utilizan el teléfono, Internet, técnicas de

persuasiónpsicológicaoDumpsterDivingparaconvenceraotraspersonasdequedivulgueninformaciónconfidencialohaganalgoquevayacontrasusprácticashabituales.Deestaforma,explotanlatendencianaturaldeunapersonaaconfiarenloqueledicen,enlugardeexplotarvulnerabilidadesensuscomputadoras.Loquehaceposiblelaingenieríasocialeselprincipio,generalmenteadmitido,deque“losusuariossoneleslabónmásdébil”enlaseguridad.

7.1Ingenieríasocialporteléfono

Laformamáshabitualdeingenieríasocialeslaqueserealizaporteléfono.Elatacantellamaysehacepasarporunapersonaimportanteparalaempresaoporunconsultorexternoque trabaja para la empresa. Con frecuencia sigue distintos guiones que ha ensayadopreviamente. El atacante se gana la confianza de los clientes para conseguir de ellosinformación importante. Si el cliente no tiene claro qué información puede divulgar, elatacantepuedeaprovecharestedesconocimientoparaobtenermásinformación.

7.2IngenieríasocialporInternet

LaingenieríasocialenInternetpuedeadoptarformasmuyvariadas.Esfrecuentequeel atacante envíe directamente al cliente un correo electrónico en el que le solicita sucontraseña.Tambiénpuedeenviarleunarchivoadjuntoconunmalwarequeregistralasteclasquepulsaelclientey lasenvíaautomáticamentealatacanteporcorreoelectrónico.Enotrasocasiones,elarchivoadjuntoinstalaunaventanaemergentequeimitalaventanaenlaqueelcliente tiene que escribir su nombre de usuario y su contraseña, lo que permite al hackerhacerseconestainformación.

7.3IngenieríasocialporDumpsterDiving

UnaformamenosglamorosadeingenieríasocialrecibeelnombredeDumpsterDivingo“búsquedaenlabasura”.Enestecaso,elatacanteobtieneinformaciónsobreelclienteola

13

empresabuscandoenlabasuraqueéstoshantirado.Labasuradeunclienteoempresapuedeserunaauténticaminadeoroenlaqueelatacanteencuentrala informaciónnecesariaparainiciarotraformadeataque,comolaingenieríasocialporteléfono.

7.4Ingenieríasocialporpersuasiónpsicológica

La persuasión psicológica se puede combinar con cualquiera de las formas deingenieríasocialanteriormentedescritas.Esfrecuentequeelatacanterecurraalapersuasiónpara ganarse la confianza del cliente, algo que resulta especialmente útil en las llamadasfraudulentas.

8. ¿Cómo podemos defendernos de la ingenieríasocial?

Lapreguntadelmillón.Y larespuestaesquenohayunmétodoinfalible.Cualquiera,absolutamentecualquiera,es susceptibledecaerenunataquede ingeniería social.Da igualque sea el panadero de la esquina, o Edward Snowden. Si el ataque es lo suficientementemeticuloso,losuficientementesofisticado,cualquierpersonavaacaer.

Ahora bien, afortunadamente la mayoría de ataques son toscos, impersonales ymasivos.Yaquínohayexcusaquevalga.Ahoraqueyaconocemoslosprincipiosbásicosdelaingenieríasocial,setratadecontrarrestarlos.

Estetipodeataquesvienencuandomenosloesperas,porlotantoesnecesarioestaralertacuandoalguientepidequeledestuinformaciónocuandoalgunapersonadesconocidateestádandoalgodeformagratuita.Laspersonasyanosontan ingenuascomoantesy losatacanteslosaben–ahoranoescomúnverlafamosaventanaemergentediciéndotequehasganadounmillóndedólaresporserelvisitante#1000,puescasinadiecaeríaenesto,peroelloimplicaquelosatacanteshanevolucionado–llevanacaboataquesmássofisticados.

Los ingenieros sociales también pueden tratar de tocar la parte emocional de laspersonas. Puede que intenten llevarte en un viaje de culpabilidad, volverte nostálgico, oinclusotratarde impactarnegativamente.Lasituaciónsevuelvealarmante; lagentetiene latendenciaaabrirsefrentealosquetratandedarlesapoyoemocional.

Una cosa más a la que hay que estar atento para salvarse de diferentes tipos deengañosdeingenieríasocialesloquehaceseninternet.UnapersonaqueintentahackeartucuentaenlíneapuedeveratravésdetuperfilenFacebookyencontraralgunaspistassobrelasrespuestasalaspreguntasdeseguridadoinclusotucontraseña.

En lamayoríade casos, estaspreguntas se respondenconcosasmenos importantescomonombres demascotas, nombres de escuela, lugar de nacimiento, etc. Tambiénprestaatención a las páginas web que visitas o qué archivos descargas. Pueden contenerherramientasmaliciosaspararecolectartuinformación.

Noobstante,estassonformasgeneralesdedefenderseanteunataquedeingenieríasocial.Lasgrandesorganizacioneshanideadométodosmásformalesparahacerfrenteaestas

14

situaciones. Esto puede incluir cosas tales como la realización de ejercicios regulares de losempleados,lacapacitaciónparahacerfrenteaestetipodesituacionesyelestablecimientodemétodosadecuadosparaidentificarunapersonalegítimadeunafalsa.

Javier Perea, Director Regional de Intel Security España, decía recientemente en unestudio:

“Lasamenazasde ingeniería social sonpeoresqueelmalwaremás intrusivo, yaqueesmásdifícilprotegerse frenteaellas.Especialmenteporqueelobjetivoson laspersonas,nosoloelsistema.Enestesentido, laformamáseficazdeprotegersefrenteaestasamenazasesestarinformado,ylasempresasdebenimpulsarlaeducaciónenmateriadeseguridad,conelfindemitigarlosriesgos.”

Añadiríaademáselusarelsentidocomúnentodosycadaunodelossupuestosdiariosen los que nos encontremos. Como ya sabe, si algo huele mal, posiblemente es que estépodrido.

8.1¿Comoprevenirestosataques?

El principal consejo que se puede dar es, cuando alguien te pide algún tipo deinformaciónpersonal,verificarsiemprequeseareal.Sirecibesuncorreodelbanco,llamaparaconfirmar que son ellos. Nunca reveles contraseñas, claves o nombres de usuario,especialmente por escrito y evita anotarlos. Y, por muy buena persona que parezca esedesconocidoquetellamaporteléfono,desconfíadeél.

Existenunasmedidasbásicasdeprevenciónanteestosataques:

1)Verificarquelaspáginasquevisitamosseanlegítimasmirandoqueladireccióndelamismanotengaalgúncarácterdemásomenos.SiloscertificadosdelapáginaestánpresentesysinválidossiendoestosHTTPS.

2)Nodarningúndatopersonal,bancario,etc.porteléfono.EncasoderecibirunallamadadelBanco (supuesto o Real) no dar información. Para eso tienen sucursales por lo que esmássegurodirigirseaunadeellaspararealizarcualquieroperaciónoactualizacióndedatos.

3)Nodescargararchivosadjuntossielremitenteesdesconocido.EncasodesospecharonotenerlaseguridaddesuprocedenciapodríaserejecutadoenunSandBox.4)Encuantoa las redessocialesnoagregaradesconocidosoencasodehacerloverificar laconfiguración de seguridad para determinar que tipo de información es visible para ciertousuario.5)Lomásimportante...Nuncasesabequienestadelotrolado…

9.Comorealizarunataquedeingenieríasocial9.1Ciclodeunaataquedeingenieríasocial

15

Indudablemente, las líneas siguientes no aspiran a dar una fórmula de los pasos aseguir en esta metodología de intrusión. Sino más bien una especie de sistematización deelementoscomunesylógicoscuandosedesarrollalamismaenunataque"puro"alavíctima.Lapericiayexperienciadelquerealizaelengaño,ylasparticularidadesdelobjetivoincidirándirectamenteenlosresultados.

Sehablaasídelassiguientesetapas:

1. Selección y reconocimiento: implica selección y recolección de información acerca de lavíctimauobjetivo.Esindispensablesaberelescenarioquesepretendeatacar.Noeslomismoobtener una contraseña de un gerente de una empresa, que información sobre seguridadmilitar. Seguramente en el primer caso, un recorrido por las redes sociales brindará(voluntariamente) información para ser usada en un ataque de ingeniería social. Aquí secomienzarealizarunperfildelavíctima:confiado,expuesto,conconocimientosinformáticosono,etc.

2. Análisis y contacto: la información obtenida en la fase anterior, se examinacuidadosamente.Elsiguientepasoseráelcontactoconelobjetivomedianteacualquieradelosmecanismosquecomentamosenelapartadoanterior.Estafaseesdevitalimportancia,secomienzanagenerarlosvínculos,seconstruyelarelacióndeconfianzayseva“ascendiendo”enlarelaciónquellevaráalavíctimarevelarlainformacióndeseada.

3. Generación de vector de ataque y explotación: el vínculo de confianza se ha creado. Lapsicología del humano está en la fase de auge enmateria demanipulación. Los elementosrecolectados en las dos etapas anteriores, habilitan a derrotar “defensas”, y así arribar a laetapafinal.

4. Ejecución de vector e intrusión: éxito del ataque. Finalmente se han obtenido los datossensibles del objetivo que permiten vulnerar su seguridad: acceso a una cuenta, al sistema,red,etc.

Estassonlíneasgenerales,losllamadosataquesmixtos,sontambiéncuidadosamenteplanificadosyestructurados;ycomprendentoda la informaciónqueseexponeen línea,porejemplo, las transacciones comerciales; que implican no solo un engaño a la víctima sino lapropiavulnerabilidaddelsitioWebyelusodeherramientasautomatizadas.

16

9.2¿Cómoobtenerinformaciónparaelataquedeingenieríasocial?

Durantelafasedereconocimiento,sereunirátodalainformaciónsobresuobjetivocomoseaposible.LasiguienteesunalistadealgunasdelasherramientasutilizadasporlosexpertosdeInternational Institute of Cyber Security iicybersecurity, una empresa de seguridad de lainformación:

• Google – Buscar en Google la empresa, buscando en el directorio de empleados,buscarenGooglelosnombresdelosempleadosyexcavardeformagradualsacaunamontañadeinformación.

• Maltego–Maltegoesunapoderosaherramientapararecopilar,combinaryanalizarOSINTsobreunobjetivo.EsunaexcelenteplataformaparareuniryanalizarOSINT.

• Whois–Whoistediráquiénesdueñodeundominio.Siunaempresaestáenlamira,eladministradordeldominiode laempresa frecuentementeaparececonsunúmerodeteléfonoounnúmeroparaeldepartamentodeTI.

• Twitter, Facebook, LinkedIn, FriendFinder y otros sitios sociales o sitios conperfilespúblicospuedenrevelarunagrancantidaddeconocimientosacercadeunindividuoouna empresa. Los empleados de la compañía pueden revelar detalles acerca de laestructura de empresa, horarios, nombres de compañeros, explican expertos deempresadeseguridaddelainformación.

• Google Imagenes – Esto es lo primeroque enseñan enun curso de seguridadde lainformación.UnacaracterísticapococonocidadeimágenesdeGoogleeslacapacidadde rastrearuna fotodeperfilenunabúsquedadeGoogle imágenes.Siustedpuedeencontrarunafotodeperfilpúblicaparaunindividuo,tratederastrearenbúsquedadeimágenesdeGoogle.

• PiPl.com – Este servicio puede ser un poco atemorizante. Otro servicio quesorprenderádelacantidaddedatosmanejados.

• Shodan–Shodanesun increíblementepotentemotordebúsquedade la red.Sevaalrededorde la indexaciónqué losserviciosqueestánescuchandoen lospuertosdered.Sepuedeproporcionar,porejemplo,unalistadelosroutersCiscodeescuchaenunpuertoenparticularderangodedireccionesIPdeunaempresa.

• TinEye – Acuerdo a curso de seguridad de la información es una búsqueda de laimageninversaquetambiénesútilparabuscarfotosdeperfilquecoincidanconunafotoexistente.Revelaperfilesdeusuariosalrededordelared.

• Archive.org – También se llamaWayBackMachine, es unade herramientas favoritasdeempresasdeseguridaddelainformación.Estopermiteverlasversionesanterioresde una página web, a menudo se remonta a varios años. Esto puede proporcionarnombresdelosempleadosanterioresqueyanoestáconlaempresa,olainteligenciaenlasactualizacionesdesitioyloscambios.

• Monster.com, GlassDoor, Indeedy otros sitios web relacionados con el empleopueden proporcionar una gran cantidad de información en sus descripciones detrabajo. Se puede aprender sobre qué hardware y software una empresa estáutilizando, qué nivel de autorización de seguridad de la información los empleadostienenymás.

Estas son sólo algunas de las herramientas que los ingenieros sociales utilizan pararecopilardatossobreunobjetivo.

17

9.3¿Cómorealizarelataque?

Acontinuaciónestasseríanalgunasde las formasen lasqueun ingenierosocialbuscarácómosepuedeutilizarlainformación:

• Losnombresdelosempleados:“Hola,¿PuedohablarconBobSimmonds?”• Susnombrescolega:“HolaBob,estaesMarydeTI.Acabodehablarporteléfonocon

MattSmith“.• Loquesuscolegasestánhaciendo:“Mattestáenfermohoy…”• Ubicaciónde lasmesaspersonales: “.…Peroestoysegurodequesabesqueyaque

ustedescompartenuncubículo”• Los nuevos despliegues de tecnología en una empresa: “Yo quería saber cómo esa

nuevaestacióndetrabajoestátrabajandoparausted.”• ¿Quétecnologíaseestáutilizando:“YoséqueWindows10noeselfavoritodetodos,

peroesperoquelanuevaversióndeOfficeteestáayudando”

En este punto, se está convencido de que podría solamente estar hablando con unempleado internoporqueya se sabemucho.Probablemente sevaa compartir informaciónlibrementeconestapersona.

9.4Buscandoelmomentoperfecto

Ahora bien, pensemos cómo un ciberdelincuente logra (o intenta lograr) que sucampañadepropagacióndeamenazastengaéxito.

Uno de los factoresmás aprovechados son las temáticas populares de actualidad. En elLaboratorio de Investigación de ESET Latinoamérica, se han podido detectar e investigarcampañasqueutilizaronnoticias,personasysucesosderelevanciacomoganchoparacaptarvíctimas.EstasfueronalgunasdelascampañasdestinadasausuariosdeLatinoamérica:

• Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancariaprometiendoentradasparaasistiralospartidosdelaCopa.

• Supuesto video íntimo de la hija de Sebastián Piñera: un correo electrónicopromocionaba un video de Magdalena, la hija del expresidente chileno, que sólodescargabauntroyano.

• Alerta de terremoto en Ecuador: un email prometía imágenes satelitales que sólodescargabanmalware.

• ¡MichaelJacksonestávivo!:elfalsoarchivosólodescargabauntroyanodiseñadoparaconvertirlacomputadoraenunzombiqueformarápartedeunabotnet.

• Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano quemodificabalosarchivoshostsdelacomputadoraafectadaparahacerredirecciones.

• RicardoMartinelli acusadode abuso: nuevamente unemail prometía un falso videodelpresidentedePanamáquedescargabauntroyano.

Poresoes importantequeestésatentoantesucesosdeestamasividad,yquetengasencuentaqueesmuyprobableque loscibercriminales losutilicenpara tratardeengañara losusuarios.

18

9.5Procesocompletodecomorealizarunataquedeingenieríasocial

Un ataque de ingeniería social inicia con una actividad de reconocimiento.Mientrasmás información se recolecte sobre la organización objetivo, mayores opciones se tienendisponibles.Noesinfrecuenteiniciarconceroconocimientoyutilizarlainformaciónobtenidaatravésdefuentesabiertasparamontarunsimpleataquedeingenieríasocial;paraobtenereldirectoriotelefónicodelaempresa,porejemplo;y luegoutilizarelnuevoconocimientoparamontarunataquedeingenieríasocialmásselectivoysofisticado,basadoenlavisiónobtenidadelaempresa.

Mientraselbuscaren labasuraesunejemploclásicodeunpuntode inicioconceroconocimiento para encontrar información sobre el objetivo, existen alternativas másconvenientes.Googleesprobablementelamaneramásefectivadeencontrarnombres,títulosde trabajo, información de contacto, y más. Una vez se obtenga una lista de nombres, sepuedeempezaracombinarloconsitiosderedessocialescomoFacebook,LinkedInyTwitter.Encontrar empleados con cuentas en los sitios populares de redes sociales es una prácticacomún entre los ingenieros sociales. Frecuentemente, estos empleados podrían estarconectados con otras personas con quienes trabajan. Dependiendo de los ajustes deseguridad,laredcompletadeconexionespodríaservisible,ysepodríasercapazdeidentificaracompañerosdetrabajofácilmente.

En el caso de sitios de redes para empresas como LinkedIn, la recolección deinformaciónes inclusomás fácil,porquesepuedebuscarporelnombrede laempresaparaencontrarempleadospasadosypresentesdelobjetivo.Encualquiersitioderedessociales,sepuedetambiénencontrarungrupodeexempleadosyempleadosactualesdeunaempresa.Unblogespecíficoysitiosdeanunciospuedetambiénproducir informaciónútilsobretemasde los empleados internos, los cuales están siendodiscutidos actualmente. Frecuentementeestas publicaciones toman la forma de quejas anónimas, pero pueden ser útiles parademostrarunconocimientointernocuandoseentableconversaciónconelobjetivo.

Utilizandométodospasivospararecolectartantainformaciónsobrelaempresacomoseaposible,esungranlugarparaempezaraformularelataque.

La ingeniería social esmás exitosa como un esfuerzo de equipo, debido a la ampliavariedad de circunstancias y oportunidades factibles de surgir. Comomínimo, dos personaspodrían ser necesarios para los ejercicios más básicos. Mientras el carisma natural es unrecursopreciado,unavoz telefónicapracticaday la capacidaddediscutir convincentementeunaampliavariedaddetópicossocialesnonecesariamentetécnicos,esidealparaavanzarenesta área. La capacidadde escribir convincentemente tambiénes importante, como lo es laapariencia física para realizar ataques cara a cara o de suplantación. Como todas estasactividadessondiseñadasparaobteneraccesonoautorizadohaciaactivosdedatos,sedebetambiénposeerconocimientosdeHacking,oalmenosestaríntimamentefamiliarizadoconsusposibilidades,paraayudaralequipoatenerunaposiciónsobrelaredyutilizarlo.

Unbuenlugarparainiciarelreconocimientodespuésdebuscaralaempresaenlínea,es empezar a tener como objetivos a las personas internas de interés, en un intento porconstruir un cuadro de quien es quien y, si es posible, desarrollar una buena relación conpotenciales fuentes. Personal clave podría incluir CIO, CSO, Director de TI, CFO, Director deRecursosHumanos,VPS,ydirectoresdecualquiertipo.Todosestos individuospodríantenerbuzón de voz, correo electrónico, secretarias, y similares. Conocer quien trabaja en cualesoficinas,quienessonsusasistentespersonales,ycuandoestándeviajeovacacionespodríano

19

parecer útil, pero lo es. Como ejemplo, si el objetivo es obtener el directorio interno deempleados.Conociendocuandoalguienestáfueradelaoficina,sepuedellamarasuasistentey clamar ser un consultor trabajando con su jefe, necesitando el directorio impreso del aempresa,yesteseaenviadoporfaxhaciaotraubicacióndentrodelaempresa.Enestepunto,podríainclusopreguntarsiserequiereesteseaenviadodirectamenteauncorreoelectrónico,encualcasoelataquedeingenieríasocialhasidounéxito.Perovamosaasumirnoseconsultayseenvíaporfaxdirectamentehaciaotraoficinadondesupuestamentesetrabaja,sepuedeluegollamaraestaoficinadandounahistorianuevamente,ypreguntarsihallegadounfax.Esfactibletambiéndarunnúmerodefaxpúblicoyobtenerlainformación.

Este es un primer ejemplo de escalado de confianza. La primera victima no sienteriesgodeenviaralgo internamente.Lasegundavictimasesienteconfortableconelpretextoporquesehademostradoconocimientodelasoperacionesinternasynopercibeningúndañoenpasareldirectorio.Coneldirectorioenmano, sepuedeahorautilizarunserviciopara lafalsificación de Identificadores de llamadas, para simular llamar desde el interior de laempresa.Elsiguientemovimientoessencillo.Silaempresa,comolamayoríadeempresas,esdecir los IDspara losusuariosderednosondifícilesde inferir, sepuede intentarvenderunproductoporteléfonoparalagestióndeidentidad,oporejemplounjuegodebillarenelbaren el cual se conoce va, obtenida desde su permisiva página de Facebook. Se puede ahorallamar a soporte técnico desde el interior y tener el reseteo de la cuenta de alguien derecursoshumanosdevacaciones,detalmanerasepuedautilizar laredprivadavirtual(VPN)remotamente.

Planearunataquetomatiempo,práctica,ysobretodopaciencia.Debidoalhechodeserunatacante,seestalimitadoúnicamenteporlaimaginación.Eléxitoofalladependerádela capacidad del equipo para leer a la persona quien trabaja en la organización objetivo, ydivisar un ataqueo seriesde ataquesdeescalado, los cuales seanefectivos contra ellos. Sedebe tenerenmente,esteesun juegodecapturar labandera.Algunasveceselobjetivoesobtenido sin ninguna técnica tradicional de Hacking, utilizandométodos de acceso legítimocomocredencialesconcedidaserróneamenteorobadas.Enmuchoscasos,siembargo,estoesunesfuerzocombinadodetenerunequipodehackersenposiciónoentregarel“payload”ocargadeseadadeaccesoremotodentrodeloscontrolesdelborde.

Asícomolosataquessetornanmássofisticados,tambiénsepuederequerirconfigurarsitios webs, direcciones de correo electrónico, números de teléfono, con la intención deparecerunaempresalegítima.Graciasalaproliferacióndemicroempresasbasadasenlaweb,yserviciosdeteléfonosmóvilesdepago,estoesahoratanbaratocomotrivial.Ademásdequetambiénsepuedetambiénrequerirreunionescadaacaraconlavictimaparaciertostiposdeataques.

10.Ingenierossocialesnotables10.1KevinMitnick

El delincuente informático reformado y posteriormente asesor de seguridad, KevinMitnick, señalaqueesmuchomás fácil engañaraalguienparaque facilite la contraseñadeaccesoaunsistemaqueesforzarseenintentarentrarendichosistema.

Kevinposiblementehayasidounadelaspersonasquehayallevadolaingenieríasociala sus límites, que entre 1979 -con solo 16 años- y 1995 logró acceder a los sistemas de

20

empresascomoDigitalEquipmentCorporationoPacificBell.Perolomásllamativodetodoesquebuenapartedeltrabajonolohizodesdeunordenador,lohizodesdeunteléfono.

Según explica en sus libros -El arte del engaño, El arte de la intrusión y El arte de lainvisibilidad- hay cuatro aspectoscompartidos por casi todas las personas que facilitan estetrabajo:

• Todosqueremosayudar.• Elprimermovimientohaciaelotrosiempreesdeconfianza.• Nonosgustadecir"No".• Atodosnosgustaquenosalaben.

Una de sus estrategias habituales era tras determinar quién era la persona que tenía lainformación que necesitaba. A continuación, se ponía en contacto con ella y llevaba laconversaciónaunpuntodondeélsimulabatenerlainformaciónperoincorrecta,deformaquesuinterlocutornormalmentelecorregía,dándoleeldatoquenecesitaba.

10.2ChristopherHadnagy

Eselprofesionaldeseguridadqueescribióelprimermarcoquedefine losprincipiosfísicosypsicológicosdelaingenieríasocial.Esmásconocidoporsuslibros,podcastyporserelcreadordelaDEFCONSocialEngineerCapturetheFlagydelSocialEngineerCTFforKids.

10.3MikeRidpath

Consultordeseguridad,autoryorador.Enfatiza técnicasy tácticaspara la ingenieríasocial de "llamadas en frío" (cold calling). Se hizo notable después de dar charlas dondereproducía llamadas registradas y demostraba en vivo lo que hacía para conseguircontraseñas.

10.4DavidPacios

CreadordelconceptoIngenieríaSocialAplicadaparadistinguircasosdeestafadigitalyestudiodelHackingSocial.AutordellibroIngenieríaSocialAplicada:Primeralíneadedefensase hizo conocido por sus charlas y conferencias sobre hacking humano y comercio enDeepWeb.

10.5BadirBrothers

Los hermanos Ramy, Muzher, y Shadde Badir—todos ellos ciegos de nacimiento—lograronestablecerunextensoesquemadefraudestelefónicoseinformáticosenIsraelenlosaños 90 utilizando ingeniería social, personificación de la voz y computadoras con pantallaBraille.

21

11. ¿Como puede afectar a las empresas ypersonas?11.1El50%delasempresasvíctimasdelaingenieríasocial

SegúnunestudiorealizadoporCheckPoint,proveedordesolucionesenseguridaddeInternet, el 50 % de las empresas han sido víctimas de la ingeniería social. Losciberdelincuenteshabríanutilizadoelphishingy las redes socialesparaobtener informaciónde la empresa. Los trabajadores recientemente contratados son los objetivos de losciberdelincuentes.

Estaencuesta fuerealizadaen julioyagostode2011porCheckPoint,seencuestóa

más de 850 profesionales de informática y de seguridad en Estados Unidos, Canadá, Reinounido,Alemania,AustraliayNuevaZelanda.

Según los resultados del estudio, la ingeniería social, procedimiento para conseguirinformación relevante de la empresa por engaño o usurpación de identidad, sería unmodocomún de ataque dirigido a las empresas. Cerca del 48 % de las empresas interrogadasreconocenhabersidovíctimasdeesteprocedimientocibercriminal,experimentando25omásataquesdelaingenieríasocialenlosdosúltimosaños.

Loscostosdeestosataquessonparticularmenteelevados,cadaataquecostaríaentre

25000amásde100000dólaressegún losprofesionalesquerespondieron laencuesta.Loscostos involucrarían: interrupciónde laactividadempresarial, gastosde los clientes,pérdidadeingresosyeldeteriorodelaimagendelaempresa.Otrosresultadosdeesteestudio:

• Los correoselectrónicosdephishing,quebuscanengañaryobtener la confianzadeldestinatario,representanlafuentemáscomúndelastécnicasdeingenieríasocial(47%),seguidosdelainformaciónobtenidaatravésdelasredessociales,quecontienenfuga de información personal y profesional, (39 %) y los terminales móviles malasegurados(12%).

• Elafándelucroeslarazónmásfrecuentedelosataquesdeingenieríasocial,seguidadeldeseoaaccederainformaciónconfidencialdelaempresa(46%),labúsquedadeventajascompetitivas(40%)ylosactosdevenganza(14%).

• Los nuevos trabajadores o colaboradores son los más vulnerables a las técnicas deingenieríasocial.

• El34%delasempresasnohancapacitadoalostrabajadoresenpolíticasdeseguridadparaevitarcaerenlosataquesdeingenieríasocial.

11.2Laimportanciadetomarmedidaseinformar

Enuna charla TED, el Vicepresidentede Seguridadde IBM,CalebBarlow, insta a lasempresasde todoelmundoa combatir el cibercrimende lamismamaneraque se llevan acabo protocolos de actuación ante una crisis de salud mundial. Como hemos visto con loscasosde laGripeAoelvirusdelZika,gobiernosyorganismosdetodoelmundocomparten

22

información al momento sobre la cantidad de personas afectadas y de cómo se estápropagandoelvirus.

Esteprocedimientoesprecisamenteopuestoalquese llevaacabohoyendíaen loque respectaa los ataques informáticos. En comparaciónal númerode ciberataquesque seestimaqueseproducenadiario,apenasseconocendatosde lascompañíascuyossistemashan sido vulnerados por miedo a que esto repercuta en su reputación, o incluso en susresultados económicos. “Si no compartimos [información], entonces somos parte delproblema”afirmaBarlow.

12.Casosrealesdeataques12.1Cuandoblindarsistemasinformáticosnoloestodo

En 2007 fue burlado uno de los sistemas de seguridad más caros del mundo. Nohicieron falta armas, violencia, ni ningún tipo de aparato electrónico para que un hombresalieracon28millonesdedólaresendiamantesdelbancoABMAMROsituadoenBélgica.Elúnicoarmaqueutilizónosepuedecomprar:elencantopersonal.

Eltipo,quesehacía llamarCarlosHéctorFlomenbaum,teníaunpasaporteargentinoque había sido robado en Israel. Con esta identidad se hizo cliente del banco y forjó laconfianza de los empleados durante un año.Mientras se hacía pasar por un empresario deéxito,regalabacajasdebombonesalostrabajadoresdelbanco.Undía,estosledieronaccesoalascajasdeseguridadqueconteníangemasde120.000quilates,yentoncesllevóacabounodelosmayoresroboscometidosporunasolapersona.

Con este ejemplo se saca en claro que el objetivo del robo eran las gemas, perotambién refleja que el activo más importante de cualquier compañía sigue siendo lainformación.Posiblemente,elladrónnohubierasabidocosascomodóndeseencontrabanlosdiamantessinohubierasidoporque losempleados le facilitaronestosdatos.Deahíque lasempresasnosolodebandeinvertirensistemasdeseguridad,sinoenformaracadaunodelosmiembrosdesuequipoporloquepudierapasar.

Lamoralejaesbiensencilla:noimportalatecnologíadelaquesedisponeocuáncaraesesta,mientrasintervengaelfactorhumano,elsistemasiguesiendovulnerable.

12.2CasoUbiquitiNetworks

Ubiquiti Networks es un proveedor estadounidense de servicios de redes de altorendimiento para empresas. En 2015 sufrió un ataqueque le hizo perder 39.1 millones dedólares. Para ello, los cibercriminales escribieron algunos correos haciéndose pasar pormiembrosejecutivosde laempresa,ypidieronaalgunosempleadosdelárea financieraquerealizarantransferenciasdegrandescantidadesdedineroaunacuentabancariaenparticular.Comoeradeesperar,estaerapropiedaddeloscibercriminales.

Esta técnicade ingenieríasocial seaprovechadeciertasdebilidadesdelserhumano,comoeselhechodeserservicial,yaqueesopodríaincidirenelreconocimientoporpartede

23

los superiores. También se beneficia en que hay muchas personas que son incapaces denegarseahaceralgoque,pensadofríamente,podríaresultarperjudicial.

Nadie semetió dentro de los sistemas informáticos de Ubiquiti Networks, tampocorobaronlosdatosdelacompañía.Enestecaso,labrechadeseguridadestabaenlospropiosempleados,quecarecíande la formación,ydesconocían losprocedimientosnecesariosparaprotegerseanteestetipodeestafas.

12.3Lainfluenciadeunfalsotweetenlaeconomíamundial

Hayquienlohabrádesterradodesumemoria,peroenabril2013lacuentadeTwitterdeAssociatedPresspublicóuntweetqueduranteunosminutoshizotambalear laeconomíamundial:

Entonces, la redsocialnoofrecíaasusclienteseldoble factordeautenticaciónparaloguearse.Conlocual,SyrianElectronicArmy,elgrupoquereivindicólaautoríadelataque,sehizoconlacuentadeTwitteratravésdelenvíodeuncorreophishingamiembrosdelequipodeAssociatedPress.Algunopicóelanzueloyfacilitólascredencialesdeaccesoaloshackers.EnlasiguienteimagensepuedeverelcorreophishingquefueenviadoaAssociatedPress:

Hoy el desenlace es bien conocido: la Casa Blanca salió desmintiendo el tweet, y lacuentadeAssociatedPressfuetemporalmentesuspendidahastaqueserecuperósucontrol.Losmercadostambiénreestablecieronsuorden.

24

Estasituaciónpusoenevidencialofrágilesquesomosanteciberataquesdeestetipoy,como consecuencia, lo vulnerables que son las compañías y organismos de cualquier nivel.EntoncesfueAsocciatedPress,peromañanapuedesercualquierotraempresaoinstituciónlaquepodríaestar lanzandomensajesporsusredessocialesqueperjudiquensuimagen,yportanto,laconfianzaquetieneconsusclienteseinversores.

12.4Laestafanigeriana(oestafa419)

Eselcuentodeltíode laeradeInternet.¿Quiénnosoñóconrecibiruna inesperadaherenciadeunparientelejano?

Losestafadoresdetrásdeestetristementecélebreengañofueronprecursoresdealgoquenosoloperduró,sinoqueseexpandióadiversospaísese idiomas.RecibiósunombrearaízdelnúmerodeartículodelcódigopenaldeNigeriaqueviola,yaquebuenapartede lasestafasprovienendeesepaísydeotrospertenecientesaÁfrica.

Laestafanigerianaprometeasuvíctimaunagranfortuna,convenciéndoladeque lasuma le corresponde por una herencia, por ser ganador de un sorteo, por una generosadonación,porquelasautoridadesdeunpaíslonecesitanoporotrosdiversosmotivos.Comocondición para acceder a ella, se exige el pago de un adelanto nada económico, pero bajocomparadoconloquesupuestamentesevaaganarluego.

Naturalmente, existen numerosas variantes de la estafa nigeriana, como el quepodemosverenlasiguientecaptura:

25

12.5Estafasrelacionadasamuertesdecelebridades

Los casos aquí abundan y no hacen más que demostrar cuánto les rinde a loscibercriminales aprovechar noticias de famosos fallecidos o incluso inventar que murieron,graciasalocualconsiguenquecientosdeusuarioscuriososhaganclicenenlacesengañosos.

Pormencionaralgunosejemplos,tenemoslafalsamuertedelcantanteRicardoArjonay también ladelautomovilistaMichaelSchumacher,el suicidiodelactorRobinWilliamsoelrumordequeMichaelJacksonestabavivo.

12.6FalsasnoticiasalarmantesdeFacebook

MuchagentecayóenelresonanteengañodequeFacebookcambiaríasucolorarosa,elcualsepropagabaatravésdemensajesenlasbiografíasdelosusuariosqueconteníanun

26

enlace.Alhacerclic,seproducíaunaredirecciónaunsitioinfectado.Algosimilarsucedíaconlasupuestaposibilidaddeverquiénvisitótuperfil,queatravésdelclickjackingobteníaalazarlosnombresde los contactosde la víctimaparapublicarautomáticamenteen sumuroyasícontinuarlapropagacióndelaamenaza.

Igualmentefamosofueelfalsobotón“NoMeGusta”,queterminabaocasionándolealavíctimaungastoextraalquedarsuscriptaenserviciosdeSMSPremium.Afindecuentas,enese entonces Facebook nunca había anunciado la implementación de esta controversialcaracterística.

12.7Fotosyvideosíntimosdefamosos,paralosmásextremos

Muchas fueron las celebridades víctimasde la filtraciónde fotos íntimas, entre ellasJenniferLawrence,ArianaGrande,Rihanna,KateUptonyKimKardashian,enloqueseconociócomo Celebgate. Como consecuencia, no tardaron en aparecer amenazas disfrazadas dearchivos y carpetas conteniendo el material robado, así como estafas con enlaces quesupuestamentepermitíanvervideosXXXdelasactrices.

También Shakira fue objeto de una campaña que propagaba en Facebook un falsovideo íntimo,enelque la cantante supuestamentehabía cometidoenpúblicounactopocodigno. Al poco tiempo, apareció otro supuesto video que aparentaba mostrar un romanceocultoentreellayel jugadorde fútbolAlexisSánchez,basadoenelhechodequesuparejareal,GerardPiqué,noteníatantosdotescomoellahubieraquerido.

27

12.8WhatsAppparaPC,estafaantesderealidad

WhatsAppWebyaestáampliamenteadoptadoenlacomunidaddeusuariosmóviles,pero antes, cuando todavía no existía este programa en forma legítima, era un frecuenteganchodeestafas.Comomillonesdepersonasloesperaban,eranmuchoslosquehacíanclicsindudarlocuandoseencontrabanconunaofertadeWhatsAppparaPC.

Ese es precisamente el título que llevaba un engaño, que contenía un malwareenfocadoenlaextraccióndeinformaciónpersonalbancaria.

28

13.Conclusiones

Laingenieríasocialesunatécnicaqueesdifícildeidentificarcuandoseestaaplicando,por lo que es vital, para la protección informática, que se establezcan mecanismos yprocedimientos para prevenirla. Sin embargo, se podrá contar con los mecanismos másavanzadosylosprocedimientosmejorestructurados,perosielusuariohacecasoomisodelosmismos,denadahabránservido.

Laherramientamáseficienteconlaquecuentanlasorganizacionesparacontrarrestarlaingenieríasocialeslaconcientización,esdecir,queelusuarioidentifiquelaimportanciadelaactividadquerealiza,delvalordelainformaciónquemanejayelbuenusoquedebellevaracabosobreelhardwareysoftwarequeseencuentranbajosuresponsabilidad.

Es importantísimo hacerle saber al usuario que es él, precisamente, el eslabónmásdébil en la cadena de usuarios de un sistema informático, debido a que en él impactandistintosfactoresqueinfluyenenlaconductahumana,comopuedenserlaconfianzaenotraspersonas y el desinterés en lo que esta realizando; factores que se convierten enoportunidadesdeataquesalosactivosinformáticos.

Finalmente sehan logrado losobjetivospropuestosdedarunpuntode informaciónunificadoparaadentrarseenelámbitodelaingenieríasocialytodoloquelerodea.Aunquesehayantenidoquemoveralgunospuntosadesarrollardelorden inicialporcoherenciadelcontenido,yeliminadoalgunoporfaltadeinformacióndelmismo.Porloqueagrosomodosehacumplidoconlaplanificacióninicial.

29

14.Bibliografía

- https://www.pabloyglesias.com/mundohacker-ingenieria-social/- http://www.1000tipsinformaticos.com/2017/03/que-es-la-ingenieria-social-tipos-de-

ataques.html- https://opendatasecurity.io/es/ingenieria-social-cuando-blindar-sistemas-

informaticos-no-lo-es-todo/- http://www.reydes.com/d/?q=Realizar_un_Ataque_de_Ingenieria_Social- https://underc0de.org/foro/hacking/la-ingenieria-social/- https://mywebsecurity.wordpress.com/ingenieria-social/- https://www.elespanol.com/social/20170704/228727707_0.html- http://tecnologiapunta.net/ingenieria-social-y-seguridad-informatica/- https://www.azulweb.net/la-ingenieria-social-algunas-formas-llevarla-cabo/- http://es.ccm.net/contents/25-ingenieria-social- http://es.ccm.net/faq/7695-el-50-de-las-empresas-victimas-de-la-ingenieria-social- https://www.fwhibbit.es/ingenieria-social-iv-asumiendo-roles-en-distintos-escenarios- https://underc0de.org/hacking/ingenieria-social.html- https://www.welivesecurity.com/la-es/2014/05/21/tecnicas-ingenieria-social-

evolucionaron-presta-atencion/- http://www.conasa.es/blog/seguridad/ingenieria-social-el-arte-de-obtener-

informacion-confidencial/- https://espanol.totalbank.com/seguridad/todo-lo-que-debe-saber-sobre-la--

ingenieria-social-- http://www.protecciononline.com/%C2%BFque-es-la-ingenieria-social-en-que-

consiste-y-como-evitar/- http://www.magazcitum.com.mx/?p=2747#.Ww2wVam-lTY- https://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tic

a)- http://www.ieee.es/Galerias/fichero/docs_opinion/2011/DIEEEO74-

2011.IngenieriaSocial_LuisdeSalvador.pdf- http://www.enter.co/guias/lleva-tu-negocio-a-internet/ingenieria-social/- https://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-

corrompiendo-la-mente-humana- https://es.ccm.net/contents/25-ingenieria-social- https://www.incopyme.com/ingenieria-social/- https://www.pandasecurity.com/spain/mediacenter/seguridad/ingenieria-social-

empresas/- http://www.enter.co/guias/tecnoguias-para-empresas/ingenieria-social-el-hackeo-

silencioso/- http://www.eltiempo.com/opinion/columnistas/guillermo-santos-calderon/ojo-a-la-

ingenieria-social-que-afecta-a-las-personas-217088- https://blog.seur.com/ingenieria-social-que-es/- https://omega2001.es/ingenieria-social/- https://www.welivesecurity.com/la-es/2015/12/01/historias-de-ingenieria-social-

ridiculas/