¿Aun sigue funcionando la ingeniería social?

Cuando se habla de seguridad informática la mayoría de las personas se trasladan al mundo tecnológico y binario, donde los firewalls y las listas de acceso tratan de controlar las vulnerabilidades de seguridad, donde los antivirus y los sistemas de detección de intrusos escudriñan los sistemas tratando de encontrar comportamientos anormales. Pero la realidad es que una de las ramas mas explotadas del hacking y de las que quizás se hable menos es de la mágica y famosa ingeniería social.

social_engineering

¿Que es y como funciona?

Pues la ingeniería social es una rama del hacking que usa como fundamento el ideal de que el usuario es el eslabón mas débil en un sistema informático y trata de manipular la conducta humana para conseguir información sensible que permita vulnerar las medidas de seguridad, desde mi punto de vista es todo un arte, ya que trata de engañar al mas complejo de los sistemas “La conducta humana” y se logra esto basándose en 4 pilares:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir No.
  4. A todos nos gusta que nos alaben.

Todos los que nos dedicamos a la seguridad informática en algún punto de nuestro aprendizaje llegamos a sentir total devoción por el mas celebre ingeniero social de todos los tiempos: “El condor”… Dicho asi como que no le suena a mucha gente, pero si les digo: Kevin Mitnick incluso el navegador sabe de quien hablo, y es que este señor logro en sus años ser el antiheroe por defecto de todo lo que conocíamos, accedía a sistemas informáticos haciendo llamadas telefónicas, y después de cumplir condena se ha convertido en consultor privado en temas de seguridad, su principal área: “Ingeniería social”.

Y como el mismo explica en sus charlas esto tiene su truco y su magia, pero esa magia estaba basada mas bien en un orden lógico de como hacer las cosas para conseguir lo que deseamos (cabe aclarar que la ingeniería social es útil en muchos ámbitos de nuestra vida diaria), aquí en cloudswxsequre vamos a darle unas pinceladas al proceso de un ataque por Ingeniería social.

Lanzando el ataque

social_engineering

Recopilar información.
  • Conseguir números telefónicos
  • Conseguir direcciones de correo de empleados y suplidores.
  • Averiguar los horarios laborales, así como sus horas de almuerzo.
  • Calendario de vacaciones.
  • Nombres de familiares.
  • Nombres de ejecutivos de la empresa.
Trabajar una relación con el usuario.

Después de tener en mente nuestro objetivo viene la parte de entablar una amistad con la persona que nos facilitara la información necesaria, se recomienda hacerlo de forma aislada y en singular, es decir no es bueno practicar la ingeniería social con mas de una persona a la vez, de esa forma se hace mas intimo y es mas fácil ganar la confianza de un empleado que de dos.

Exprimir la relación.

Después de tener la confianza asegurada entonces se procede de manera muy sutil a interrogar (por decirlo de alguna forma) a nuestro “amigo”  usando en gran medida la información recopilada en el primer paso.

Conseguir nuestro objetivo.

En esta ultima parte simplemente tratamos de conseguir el objetivo que nos pautamos desde un inicio, siempre teniendo en mente toda la información recopilada en el camino. Y todo esto sin tirar de un solo exploit, sin escribir una sola linea de código, sin hacer un solo ping, y es como leí en algún sitio:

La ingeniería social sera siempre el mayor hueco de los sistemas, ya que para la estupidez humana no existe parche.

Saludos por allá distinguidos y respetados lectores, les invito a seguir mi blog, así como mis redes sociales.

cl0udswx

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s