Ingeniería social, o el intento de un pirata informático de obtener información sobre sistemas informáticos mediante medios no técnicos, existe en muchas formas.
Las técnicas incluyen llamar por teléfono a desprevenidos usuarios del sistema y, utilizando una serie de artimañas, lograr que los usuarios divulguen sus identificadores de usuario y contraseñas, revisar los contenedores de basura para obtener información y obtener un trabajo dentro del organización destinataria.
Aunque estas técnicas pueden parecer ridículas, proporcionan al hacker una información extremadamente valiosa.
La ingeniería social ataca específicamente las debilidades en la seguridad de los sistemas de información, planes y procedimientos, así como poca conciencia de seguridad. Además, un ataque
puede comprender varios ataques pequeños, cada uno de los cuales puede ser intrascendente.
Los pequeños ataques probablemente pasan desapercibidos, posiblemente ocurriendo durante varios meses. Muchas organizaciones tienen información valiosa que justifica costosos mecanismos de protección. Esta información puede incluir datos financieros corporativos, transferencias electrónicas de fondos, acceso a activos financieros, datos de pacientes e información personal sobre clientes o empleados.
Cualquier ataque en estos casos puede tener graves consecuencias, incluida la pérdida de clientes, la presentación de cargos penales contra la organización, pérdida de fondos, pérdida de confianza en la organización y el colapso de la misma.
Las organizaciones responden a las amenazas de ingeniería social mediante la implementación de planes de seguridad de la información que establecen el control de los activos de información mediante la especificación de mecanismos de protección. Los planes dependen en gran medida de mecanismos técnicos de seguridad, como cortafuegos, contraseñas de usuario, redes cerradas, etc.
La mayoría de los empleados en realidad tienen un bajo nivel de conciencia de seguridad. Pocos ingresos son destinados a la concienciación y capacitación en seguridad operacional.
Veamos en qué consiste la ingeniería social inversa y cómo evitarla.
Indice
¿Qué es la ingeniería social inversa?
La ingeniería social inversa se refiere a un método más avanzado de ingeniería social basada en el ser humano. Este método es muy interesante.
En primer lugar, el pirata informático daña tu equipo. Por eso te convencen de que lo gestiones. Dicen que te enfrentas a un problema grave. Además, piden repararlo. Ahora, te acercarás al hacker para pedir ayuda. Por lo tanto, este método llama Ingeniería Social inversa.
La ingeniería social inversa puede significar dos cosas: ataque donde el atacante es una entidad confiable (caso 1) o ataque donde el atacante se convierte en víctima (caso 2).
Cuando hablamos del caso 1, generalmente hay tres etapas de ataque:
- Sabotaje, es donde se hace el daño inicial.
- Publicidad, es donde el atacante gana la confianza de la víctima y lo persigue; él es quien puede resolver el problema que tiene.
- Asistencia, es donde el atacante obtiene la información que necesita.
La ventaja de la ingeniería social inversa es que el ataque es mucho más difícil de descubrir. Sin embargo, existe un importante inconveniente que es la dificultad.
La mejor manera de defenderse contra esta clase de ingeniería social es usar proveedores de confianza para realizar cualquier trabajo que necesites subcontratar. También puede evitar estos ataques la comprobación de antecedentes de las personas que pueden acceder a las áreas críticas de la empresa.
El caso 2 se produce cuando el atacante inicial pasa a ser la víctima. Sin embargo, es poco probable que este tipo de ataque ocurra en el entorno empresarial y se encuentra principalmente en el ejército.
Un ejemplo de este tipo de ataque podría llamarse «picadura inversa», donde cuando se reconoce el ataque, la víctima puede realizar un ataque al atacante inicial o puede redirigir al atacante a alguien que sepa cómo contrarrestarlo. Por ejemplo, los atacantes llaman a la recepción y le piden determinada información. En lugar de darle esa información, la recepción redirige la llamada al departamento de seguridad.
Diferencias con la ingeniería social normal
La ingeniería social inversa es un tipo de ingeniería social. Podemos decir que todos los ataques inversos de ingeniería social son ataques de ingeniería social.
Un ataque de ingeniería social inverso es cuando un atacante se convierte en un punto de ayuda para una víctima. La víctima considerará al atacante como una persona de confianza al ofrecerle ayuda para solucionar el problema.
Un ejemplo puede ser un atacante que primero sabotea una red y luego se hace pasar por un técnico para ayudar y resolver el problema de la víctima.
Este planteamiento es utilizado con frecuencia debido a que la víctima facilitará sus contraseñas con mayor facilidad. Si alguien te llama y te piden tu contraseña, serás reacio a darla. Si llama a un técnico y él te solicita tu contraseña, es más probable que la proporciones.
La ingeniería social inversa no difiere de la ingeniería social «normal» de manera significativa, más allá del hecho de que la postura adoptada podría describirse como algo «pasiva».
La inversión radica en el pretexto utilizado y tiene como objetivo atraer a la víctima a tomar medidas por iniciativa propia, lo que amplifica la confianza percibida.
Un ejemplo sería hacerse pasar por una figura de autoridad para establecer un contacto inicial y desencadenar ciertas acciones de seguimiento, en lugar de que un atacante se acerque a las víctimas para hacer lo mismo.
Métodos
Los principales métodos de la ingeniería social inversa son:
1. Ataques internos
Supongamos que el hacker no puede encontrar ninguna técnica para hackear. Por lo tanto, el mejor método alternativo es un ataque interno. El hacker contrata a un empleado. O encuentra un empleado molesto para ayudar a este ataque. En Ingeniería Social, este es el ataque más poderoso. El empleado tiene acceso físico a la organización. También puede moverse a cualquier lugar sin ninguna restricción.
2. Robo de identidad
El hacker se convierte en empleado de una empresa. Por lo tanto, roba la identidad de un empleado para llevar a cabo un ataque. También puede crear insignias de identidad falsas. Lo hacen por entrar en la zona de acceso a la oficina principal. Entonces, el hacker usa a esas personas que tienen la autoridad para hacer eso.
3. Ataques de phishing
Este es otro método útil. El hacker envía un correo electrónico a la víctima. Parece que llegan correos electrónicos de un banco. Contiene un enlace para restablecer contraseña, PIN u otra información financiera. La víctima abre el enlace. Pero redirige a una página web falsa. La víctima pone todos los requisitos. Finalmente presenta el documento al banco como él piensa. Pero toda la información va a la mano de los hackers.
4. Estafas en línea
Aquí un sitio web a menudo lo atrae para ingresar credenciales. Como nombre de usuario, contraseña y muchos más. El usuario, sin saberlo, pone todo eso para acceder a su sistema. Un hacker usa todas las credenciales para hackear el sistema del usuario.
¿Cómo se produce la ingeniería social inversa?
Como indicábamos anteriormente, en un ejemplo de ingeniería social inversa, el atacante se entromete físicamente en la organización específica y coloca letreros que indican a quién contactar para soporte técnico. En esa información aparece el número de teléfono del atacante.
En algunos casos, el atacante reemplaza un número de teléfono de soporte técnico válido por el suyo. Con frecuencia, los usuarios no saben a quién contactar si hay un problema con el ordenador y agradecen cualquier oferta de asistencia.
Obviamente, estos ataques requieren que la víctima necesite asistencia técnica para que atacante para ser contactado. Los atacantes pueden usar una variedad de métodos para crear esta necesidad.
Crear una falsa necesidad de soporte técnico
Para aumentar la probabilidad de ser contactado por sus víctimas, los atacantes ocasionalmente crear la necesidad de asistencia a través del sabotaje. Los atacantes crean una necesidad urgente de sus servicios al eliminar un archivo crítico o restablecer parámetros del sistema al realizarse una intrusión física.
La colocación adecuada de las ofertas de ayuda proporciona un alivio para las personas que están en pánico porque creen que su sistema está destruido.
Cuando tales intrusiones físicas no son posibles, un atacante puede enviar ofertas de soporte técnico a la organización objetivo.
Los atacantes también usan versiones electrónicas de ataques de ingeniería social inversa. Las herramientas de búsqueda permiten a los atacantes potenciales buscar en los grupos de noticias de Internet personas que tienen direcciones postales de una organización específica. Las noticias también indican los intereses de las personas que publican los mensajes. Después de reunir los nombres de los empleados y sus intereses, un atacante podría enviar por correo a las víctimas información sobre sitios web o programas interesantes. Si las víctimas obtienen los programas anunciados, que contienen software dañino, el ataque es exitoso.
Nuevamente, es la víctima la que va al atacante o usa el sabotaje del atacante en lugar de que el atacante vaya hacia la víctima. Este tipo de ingeniería social inversa puede funcionar bien para atacantes con habilidades interpersonales deficientes, porque no hay contacto directo con las posibles víctimas.
¿Cómo prevenir estos ataques?
Los factores que permiten que tenga lugar la ingeniería social inversa son muy similares a los de ingeniería social «normal».
Básicamente, la falta de conciencia y los procedimientos operativos deficientes hacen que los individuos respondan incorrectamente a situaciones comprometedoras.
Al igual que con la ingeniería social, existen contramedidas simples como las siguientes pueden prevenir los ataques de ingeniería social inversa más sofisticados:
- Identificar analistas de soporte informático directo. Si los usuarios saben a quién acudir para el soporte técnico, probablemente no responderían a cartas o publicaciones anónimas. Los usuarios también alertarían a sus analistas de soporte si hubiera un problema inusual. Un analista diligente podría alertar al resto de la organización de un posible ataque. Es necesario que los analistas de soporte informático utilicen la debida diligencia al realizar actualizaciones de software.
- Evitar que los empleados recuperen programas de foros electrónicos. Muchas empresas disponen de políticas que prohíben la utilización de discos externos en sus sistemas informáticos. Estas políticas son importantes, pero es necesario actualizarlas teniendo en cuenta sistemas de telecomunicaciones mundiales, como Internet. La gente recupera información de todo el mundo. El software inevitablemente también se recupera. La política de la compañía debería exigir la prohibición de cualquier servicio público que no provenga de sus servicios informáticos.
- Los empleados nunca deben compartir sus credenciales de inicio de sesión con terceros.
- Otros mecanismos de prevención. Esta sección solo identifica dos mecanismos para prevenir los ataques de ingeniería social inversa. Eso es todo lo que una empresa debería
necesitar. La ingeniería social inversa requiere que la víctima perciba que el atacante está ofreciendo un servicio crítico. Si las víctimas potenciales ya tienen expertos para consultar, entonces
no serán vulnerables a ofertas falsas de ayuda.
Aunque el sentido común parece ser la mejor prevención para la ingeniería social, este no es el mismo para todos los usuarios de ordenadores dentro de una organización. La ingeniería social explota las debilidades de seguridad operativa que a menudo pasan por alto expertos en seguridad de la información cuando se escriben planes y procedimientos.
Ejemplos
Quizás el ataque de ingeniería social más famoso proviene de la mitológica Guerra de Troya en la que los griegos pudieron ingresar a la ciudad de Troya y ganar la guerra escondiéndose en un caballo de madera gigante que fue presentado al ejército de Troya como un regalo de paz.
El libro Secretos de un súper hacker describe un incidente en el que un atacante accedió a una embajada extranjera y envió por correo a la embajada una carta y un disco. La carta decía que había un problema con uno de los archivos de módem de la embajada y que el disco incluido contenía un archivo que solucionaría el problema. La carta proporcionó un número de teléfono que ofrecía soporte técnico pero que en realidad era el número del atacante.
Naturalmente, el archivo en el disco saboteó el sistema informático. Inevitablemente, el personal de la embajada llamó al atacante, y el atacante hizo que el personal manipulara su sistema de una manera que permitió un futuro ataque.
Otro ejemplo de ingeniería social inversa se produjo en 2007, cuando un hombre robó diamantes por valor de 28 millones de dólares en el banco ABM AMRO de Bélgica. Esquivó uno de los sistemas de seguridad más caros del mundo sin usar ningún tipo de arma ni violencia. Se convirtió en cliente del banco con un pasaporte argentino que había robado en Israel y se ganó la confianza de los empleados del banco haciéndoles todo tipo de regalos. Un día estos empleados le permitieron acceder a las cajas de seguridad que contenían los diamantes y así realizó el robo.
Un ejemplo más reciente de un ataque exitoso de ingeniería social fue la violación de datos de Target. Se envió un correo electrónico de phishing a un subcontratista que era socio comercial de Target’s. El correo electrónico contenía el troyano Citadel, que permitía a los atacantes penetrar en los sistemas de punto de venta de Target y robar la información de 40 millones de tarjetas de crédito y débito de clientes.