Saturday, October 18, 2008

Ingenieria Social

Que es la Ingenieria Social ?

La Ingenieria Social es el arte por el cual se puede obtener informacion critica mediante tecnicas de manipulacion de usuarios.

Este tipo de ataques no puede ser detectado por medio de la tecnologia y se plica sobre el elemento mas vulnerable de la seguridad informatica : el ser humano.

Segun Kevin Mitnick, la ingeniería social se basa en estos cuatro principios:

* Todos queremos ayudar.

* El primer movimiento es siempre de confianza hacia el otro.

* No nos gusta decir No.

* A todos nos gusta que nos alaben.

Como se utiliza ?

El ingeniero social explorara las caracteristicas humanas como reciprocidad, busqueda de provocacion, respeto a la autoridad, miedo, solidaridad.

Un clasico de respeto a la autoridad esta demostrado por el Experimeto de Milgram, el fin de la prueba era medir la buena voluntad de un participante a obedecer las órdenes de una autoridad aún cuando éstas puedan entrar en conflicto con su conciencia personal.

En la pelicula "I... como Ícaro" hay un ejemplo de este experimento :



Los ataques de ingenieria social pueden ejecutarse por medio de dos formas :

Contacto directo con la victima o sin contacto con la victima y en ambos casos pueden utilizar medios tecnologicos o no.

La utilizacion de medios tecnologicos pueden ser spam, pishing o caballos de troya, en el caso de los no tecnologicos pueden ser por ejemplo dumpster diving.
Un ejemplo de Contacto Directo con la victima

En la pelicula Nueve Reinas hay un ejemplo perfecto de la tecnica de Ingenieria Social




En esta escena el personaje, busca una victima entre los habitantes del edificio y luego de ubicarla apela a los sentimientos y a la solidaridad.

Ejemplos de medios tecnologicos :

Imaginen enviar una revista de obsequio con un CD, cuando se ejecuta el contenido del CD se instala un troyano.

Tecnicas de phising, enviando email corporativos.

Tecnicas de Clickjacking.

Quienes son los objetivos mas expuestos a estos tipos de ataques ?

  • Secretarias de Directores o personas claves , los cuales en algunos casos poseen datos confidenciales o passwords de sus jefes.
  • Recepcionistas
  • Usuarios en general
Como podemos protegernos de estos ataques ?

Ademas de la implementacion de una Politica de Seguridad Informatica que se cumpla, la Educacion del usuario es un punto fundamental.


El siguiente es un ejemplo de Campaña de concientizacion y entrenamiento del usuario.





Lecturas interesantes sobre el particular :

El arte de engañar escrito por Kevin Mitnick

No Tech Hacking escrito por Jonhy Long.

No comments: