He decidido que a lo largo de su andadura, en este blog dedicaré bastantes entradas a hablar de lo que yo considero una de las mayores amenazas de nuestro tiempo "La Ingeniería social".
Y es que nos encontramos en una era, en la que fuerza física, armas o dinero han pasado a un segundo plano, dando todo el foco de importancia a la información. Quien posea más información tendrá el dominio absoluto sobre muchas cuestiones.
Con estas afirmaciones no estoy diciendo nada nuevo, de hecho si no tuvieramos claro esto, ni si quiera existiría la seguridad informática. Pero actualmente damos importancia y sobre todo en el mercado, tanto a productos como a servicios orientados a un tipo de seguridad más "visible" por definirlo de alguna manera, más física. Antivirus, firewalls, hardware de seguridad, Sistemas de detección de intrusos (IDS), test de intrusión... Pero estamos en la mayoría de los casos (no quiero generalizar) descuidando un aspecto muy importante, "el componente humano" y ahí es donde entra en juego la ingenieria social.
Hace unos días leí en una publicación una cita que define esto a la perfección:
"El componente más débil de los sistemas de la información, es el componente humano".
En las entradas posteriores me pondré más técnico tratando herramientas de apoyo de la ingeniería social, como ya lo he hecho anteriormente con por ejemplo una de las principales herramientas de recopilación de información (MALTEGO - Recopilación de datos básica) , pero este artículo será más bien introductorio y de presentación al término.
¿Que es la Ingeniería Social?
Muchas son las formas en las que se ha definido y muchas son de las que se puede definir, pero a fín de cuentas, en una definición para todos los públicos, es una seríe de técnicas y/o tácticas de actuación, que mediante el uso de psicología (forma de hablar, ganarse la confianza de la víctima, apoyarse en descuidos del objetivo, engañarle mediante la facilitación de datos confidenciales,...) conseguiremos el acceso a datos confidenciales de terceros.
En el caso de la seguridad informática, dichas prácticas tendrán el objetivo de conseguir dicha información relevante, para acceder a sistemas, robar datos, modificarlos o destruirlos, realizar acciones fraudulentas, etc.
Cuando al principio del artículo, incluso en el título, hablo de amenaza invisible, me refiero a que otros aspectos a los que considero se les da más importancia los cual ya he nombrado, se pueden monitorear y vigilar en algún sentido (un intruso o un virus pueden ser detectados por un IDS o un antivirus), pero la Ingeniería social puede causar daños incluso mayores sin ser detectada, ya que contra las vulnerabilidades que atenta son las de un individuo, un ser humano, contra lo que no hay posible defensa.
Para el que todavía no lo haya visto claro, un ejemplo de Ingeniería social, el más simple:
Un individuo coge una carta de telefónica de un buzón de su edificio.
En la carta tenemos nombre y apellidos, dirección, (algunos datos más que nadie puede saber), cuota que se a cobrado ese mes, teléfono, etc.
Una simple llamada al número de telefono:
-Buenos días, estamos haciendo reajustes de línea. ¿Hablo con José Angel Rodríguez Martín? ¿Calle Cuba, 26? Me facilita su Dni si es tan amable...
Este més le hemos cobrado 96,54 ¿Es cierto? Sí. .......A partír de aquí le hemos facilitado datos que nadie más sabría.
-Le voy a reconfigurar el Router, ¿me puede facilitar su clave?
Ya tenemos Wifi gratis en el edificio.
ESTO ES INGENIERÍA SOCIAL
La solucción: Un buen entrenamiento del equipo humano y unas buenas políticas de seguridad de actuación en una empresa u organización y una concienciación generalizada a la gente de la calle.
El ejemplo a simulado una de las formas más simple y sencillas, pero hablando de alguna manera, podemos decir que hay verdaderas obras de arte en el desarrollo de las técnicas de engaño y manipulación.
Encontramos multitud de ataques dirigidos y todo tipo de técnicas, físicas y lógicas y por desgracia muy de actualidad. Muchos de ellos los trataré en próximas entradas:
Phising, Vishing, obtención de información a través de fuentes abiertas (OSINT), Smishing, Personificación, programación neurolingüística (PNL), lockpicking y un largo etc.
Si quieres estár actualizado sobre posibles estafas por ejemplo en twitter @GDTGuardiaCivil cada día encontramos avisos de estafas nuevas que circulan por la red.
En internet podemos encontrar diversa y extensa información sobre la Ingeniería social, pero en este caso he preferido ponerme en contacto con el analista de seguridad y experto en la materia y coautor del libro:
"Hacking con Ingeniería Social. Técnicas para hackear humanos" del editorial RA-MA:
Ismael González Durán
D.H.: ¿Como ves la I.Social en la actualidad? ¿Crees que se le da menos importancia de la que se merece?
Ismael González D.: Efectivamente, creo que en la actualidad no se le da la importancia que se debería a la Ingeniería Social. En lo años 80s cuando Kevin Mitnick hizo de las suyas y la tecnología estaba menos avanzada uno de los principales riesgos que tenian las empresas eran los temidos ataques de ingenieria social por suplantación. Y en aquella época las empresas si tomaron más conciencia.
Sin embargo pienso que en la actualidad se ha descuidado el pensar en los riesgos que supone un ataque de IS. Las empresas pusieron ciertas medidas de seguridad en su momento y ciertas barreras para impedir estos ataques, pero al igual que avanza la tecnología avanza también el desarrollo de nuevos ataques y eso si que no lo están teniendo presente las empresas.
Por eso pienso que en la actualidad se debería de hacer un poco más de enfoco en el pricipal riesgo de seguridad en una empresa, el factor humano.
D.H.: A nivel del usuario normal de la calle, vemos cada día cientos de intentos de engaño, vía phising por ejemplo, y muchos de ellos no se quedan en intento si no que consiguen su objetivo.
A nivel empresa y organizaciones ¿Como ves el panorama actual? ¿Las ves preparadas? ¿Como deberían intentar soluccionar estas carencias?
Ismael González D.: Bueno más o menos la respuesta a esta pregunta está ligada con la anterior.
Lo mas importante para lidiar la situación de engaños, suplantación o cualquier otro tipo de ataque, es la propia concienciación del usuario o empresa.
Mientras empresas y organizaciones no estén concienciadas de los riesgos que suponen los ataques de ingeniería social, siempre seguirán siendo vulnerables
D.H.: ¿Cual consideras los ataques más peligrosos y que se podría a llegar a conseguír con ellos?
Ismael González D.: Desde mi experiencia profesional podría decir que los ataques más peligrosos son los de suplantación de identidad de cualquier tipo, ya sea una llamada telefónica, un mail, un simple mensaje de texto.
El riesgo que puede suponer esto, además de la obtención de datos sensible de los empleados, directivos, etc, es la obtención de credenciales que puedan suponer un acceso a los servidores y sistemas críticos de la empresa. Bases de datos, CRMs, controladores de dominio, etc.
D.H.: Por último. Yo en mi opinión propia, creo que a la gente se le está yendo de las manos el derroche de información desde hace unos años, el facilitar datos personales a cada momento del día, donde están, con quien, que hacen, como viven, ... ¿Las redes sociales se nos han ido de las manos? ¿Son un peligro o están mal enfocadas en su uso? ¿Tú que recomiendas al usuario normal?
Ismael González D.: En el mundo de las redes sociales existen dos problemas potenciales en los usuarios, por una parte existe el mal uso que se les da y por otra la poca concienciación que se tiene sobre los riesgos que supone exponer todos esos datos.
Facebook, twitter, Instagram, o cualquier otra red social no son en sí el problema.
Éstas como tal fueron creadas para compartir, y además tiene medidas de seguridad y privacidad que el usuario puede configurar de una forma muy granular si lo desea para evitar posibles fugas de información, el problema radica en la experiencia del usuario, y en el no conocer que riesgos supone hacer publica toda esta información.
Aquí no podría dar una sola recomendación como solución, sino que se trata de algo que el usuario tiene que ir aprendiendo y conocer y saber cuales son los riesgos de toda esa información expuesta.
Aunque en este punto, si que se puede apreciar que hay dos tipos de sector bien diferenciados por su edad, donde unos están más concienciados que otros.
Las personas comprendidas entre los 30 y los 55 años, están mucho menos conienciadas que los usuarios con edades comprendidas entre los 18 y los 30. Al final solo es una cuestión de educación, hábitos, costumbres y concienciación como decía.
Podemos seguir a Ismael en su blog:
http://www.kontrol0.com/
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.