Diferencia entre revisiones de «Ingeniería social (seguridad informática)»
m Revertidos los cambios de 2600:387:9:5:0:0:0:A6 (disc.) a la última edición de PatruBOT Etiqueta: Reversión |
En jakeo Etiquetas: Edición desde móvil Edición vía web móvil |
||
Línea 3: | Línea 3: | ||
'''La Ingeniería social''' es la práctica de obtener [[información]] confidencial a través de la manipulación de [[usuarios]] legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, [[criminales]], o delincuentes informáticos, para obtener información, acceso o [[privilegios]] en [[sistemas de información]] que les permitan realizar algún acto que perjudique o exponga la [[persona]] u [[Ser vivo|organismo]] comprometido a [[riesgo]] o abusos. |
'''La Ingeniería social''' es la práctica de obtener [[información]] confidencial a través de la manipulación de [[usuarios]] legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, [[criminales]], o delincuentes informáticos, para obtener información, acceso o [[privilegios]] en [[sistemas de información]] que les permitan realizar algún acto que perjudique o exponga la [[persona]] u [[Ser vivo|organismo]] comprometido a [[riesgo]] o abusos. |
||
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". |
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil".Gabrielita de gonzales |
||
== Técnicas y términos == |
== Técnicas y términos == |
Revisión del 18:16 30 ene 2018
- Para ver un término similar en una disciplina diferente vea Ingeniería social (ciencias políticas).
La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil".Gabrielita de gonzales
Técnicas y términos
En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible o a violar las políticas de seguridad típicas.
Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
- La ingeniería Social está definida como un ataque basado en engañar a un usuario o administrador de un sitio en la internet, para poder ver la información que ellos quieren.
- Se hace para obtener acceso a sistemas o información útil.
- Los objetivos de la ingeniería social son fraude, intrusión de una red, espionaje industrial, etc.
Pretextos
El pretexto es la creación de un escenario inventado para llevar a la víctima a revelar información personal o a actuar de una forma que sería poco común en circunstancias normales. Una mentira elaborada implica a menudo una investigación previa de la víctima para conseguir la información necesaria, y así llevar a cabo la suplantación (por ejemplo, la fecha de nacimiento, el número de la Seguridad Social, datos bancarios, etc.) y hacerle creer que es legítimo.
Esta técnica puede ser utilizada por investigadores privados para engañar a una empresa para que revele información personal de los clientes, y obtener así los registros telefónicos, registros bancarios y otros datos.
El pretexto también se puede utilizar para suplantar a compañeros de trabajo, a la policía, al banco, a autoridades fiscales o cualquier otra persona que podría haber percibido el derecho a la información en la mente de la víctima. El "pretexter" simplemente debe preparar respuestas a preguntas que se puede plantear la víctima. En algunos casos, todo lo que necesita es una voz que inspire autoridad, un tono serio y la capacidad de improvisar para crear un escenario pretextual.
Redes Sociales
Uno de los factores más peligrosos, es la creciente tendencia por parte de los usuarios, principalmente los más jóvenes, a colocar información personal y sensible en forma constante. Desde imágenes de toda su familia, los lugares que frecuentan, gustos personales, estados unidos y relaciones amorosas. Las redes sociales proveen de mucha información a un delincuente para que realice un ataque, como para robar tu identidad o en el menor de los casos ser convincente para tener empatía.
Phishing
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en correos electrónicos, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros correos electrónicos maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.
Vishing
El vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas con las que también se podría sacar información personal de forma que la víctima no sospeche.
Por este motivo debemos tener cuidado y no proporcionar información personal aunque se trate de nuestra compañía de móvil, electricidad o agua (entre otras), ya que podría ser un hacker que haya elegido casualmente la nuestra.
Baiting
En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.). Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalará y permitirá que el hacker obtenga todos los datos personales del usuario.
Quid pro quo
Quid pro quo significa "algo por algo". El atacante llama a números aleatorios en una empresa, alegando estar llamando de nuevo desde el soporte técnico. Esta persona informará a alguien de un problema legítimo y se ofrecerá a ayudarle, durante el proceso conseguirá los datos de acceso y lanzará un malware.
En una encuesta de seguridad de la información de 2003, el 90% de los trabajadores de una oficina dieron a los investigadores lo que ellos afirmaban ser su contraseña en respuesta a una pregunta de la encuesta a cambio de una pluma. Estudios similares en años posteriores obtuvieron resultados similares utilizando chocolates y otros señuelos baratos, aunque no intentaron validar las contraseñas.
Ingenieros sociales notables
Kevin Mitnick
El delincuente informático reformado y posteriormente asesor de seguridad, Kevin Mitnick, señala que es mucho más fácil engañar a alguien para que facilite la contraseña de acceso a un sistema que esforzarse en intentar entrar en dicho sistema.
Christopher Hadnagy
Es el profesional de seguridad que escribió el primer marco que define los principios físicos y psicológicos de la ingeniería social. Es más conocido por sus libros, podcast y por ser el creador de la DEF CON Social Engineer Capture the Flag y del Social Engineer CTF for Kids.
Mike Ridpath
Consultor de seguridad, autor y orador. Enfatiza técnicas y tácticas para la ingeniería social de "llamadas en frío" (cold calling). Se hizo notable después de dar charlas donde reproducía llamadas registradas y demostraba en vivo lo que hacía para conseguir contraseñas.
David Pacios
Creador del concepto Ingeniería Social Aplicada para distinguir casos de estafa digital y estudio del Hacking Social. Autor del libro Ingeniería Social Aplicada: Primera línea de defensa se hizo conocido por sus charlas y conferencias sobre hacking humano y comercio en Deep Web.
Badir Brothers
Los hermanos Ramy, Muzher, y Shadde Badir —todos ellos ciegos de nacimiento— lograron establecer un extenso esquema de fraudes telefónicos e informáticos en Israel en los años 90 utilizando ingeniería social, personificación de la voz y computadoras con pantalla Braille.
Véase también
Bibliografía
- Mitnick, Kevin D., William L. Simon, Steve Wozniak. The Art of Deception: Controlling the Human Element of Security. John Wiley & Sons, 2002. ISBN 0-471-23712-4.
- SirRoss, 19 de enero de 2005. A Guide to Social Engineering, Volume 1 A Guide to Social Engineering, Volume 2. AstaLavista.