Desde 1988, el 30 de Noviembre de cada año se celebra el Computer Security Day, como iniciativa de la Association for Computing Machinery (ACM) y con el objeto de marcar un hito en los niveles de prevención y conciencia sobre las prácticas asociadas en materia de Seguridad del Computador, en una sociedad cada vez más dependiente de la tecnología y que cada vez se encuentra más expuesta desde el punto de vista de su privacidad.
En el marco de la celebración del Día Internacional de la Seguridad de la Información, dedicaremos nuestro artículo de esta semana a exponer algunas de las técnicas más relevantes de aquello que se conoce como Ingeniería Social, cómo funciona y qué podemos hacer para protegernos.
Muchos individuos tienen la idea errónea de que los ciberatacantes utilizan herramientas y técnicas altamente avanzadas para comprometer dispositivos o cuentas de usuario, sin embargo, no hay nada más alejado de la realidad. Los atacantes han aprendido que a menudo la forma más fácil de robar tu información es comprometer el eslabón más débil de la cadena de la información, aquel más fácil de engañar para que a través de un click o voluntariamente en una conversación, entregue información confidencial de sus cuentas o instale un «paquete» con lo suficiente para drenar toda la información importante de un sistema: el usuario final.
ISACA la define como «cualquier medio o técnica para lograr que una persona o empleado sea engañado para violar una política o su propia privacidad».
Wikipedia por su parte, la define como «la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema los usuarios son el eslabón débil«.
Algunas técnicas de Ingeniería Social
En sus libros «El arte del engaño», «El arte de la intrusión» y «El arte de la invisibilidad», el bien conocido Kevin Mitnick nos comenta que la ingeniería social basa su efectividad en simples principios:
- A nadie le gusta decir «no»
- A todos nos gusta que nos alaben
- Todos queremos ayudar
- y el primer movimiento hacia el otro siempre es de confianza.
Todas las estrategias utilizan estos movimientos de confianza como pivote para determinar quién tiene la información interés del atacante, luego se utilizan técnicas más elaboradas (como explicaremos), para obtener parte o toda la información objeto del ataque.
Técnicas Pasivas: son utilizadas para obtener información sin intervención del usuario final, por el contrario aprovechando una vulnerabilidad, descuido o sobre exposición de su información.
Gathering/Observación: el proceso de observación es el inicio de cualquier proceso de Ingeniería Social, de los más comunes y es utilizado por el atacante para comprender el entorno e identificar patrones de comportamiento de la víctima: sitios que frecuenta, información sobre su identidad, actividades que realiza, información personal, redes sociales, números telefónicos, patrones de consumo, correos electrónicos, identificaciones, entre otra información relevante recopilada en esta fase.
Shoulder Surfing: técnica utilizada como complemento de cualquier mecanismo de ingeniería social, para capturar contraseñas o información confidencial mirando la pantalla de la víctima, ya sea a través de la observación individual, reflejos o binoculares, así como de tecnologías como cámaras, mecanismos de captura de imágenes o micrófonos espía.
Wardriving (WiFi): en esta práctica, se captura información de redes Wi-Fi utilizando como centro de comando el interior de un vehículo en movimiento. Se escanean frecuencias y luego se intenta ingresar a las redes inalámbricas ya sea empleando técnicas de cracking en las de protocolo más débil (WEP), o sniffing en las redes Wi-Fi abiertas. Un ataque que se puede desprender de la utilización de esta técnica, involucra una DoS sobre los Access Point que emiten la señal.
Técnicas no presenciales: aprovechan la confianza del usuario final y necesitan su intervención para obtener la información.
Recuperación de Contraseña: se aplican métodos de captura de datos a través de correos, mensajes electrónicos o enlaces que guían hacia páginas web o formularios, por lo general estáticos y que intentan suplantar la identidad de algún servicio, cuya función es capturar información de las credenciales del usuario final.
Spear Phishing (Mail): son correos dirigidos en campañas u oleadas masivas hacia usuarios de compañías u organizaciones específicas. Por lo general esta técnica tiene un nivel importante de elaboración y permite al atacante no solo obtener las credenciales e información confidencial del usuario final, sino que también puede permitir al atacante la instalación de malware o puertas traseras en los endpoints.
Phishing (IRC, Chats, Redes sociales): por lo general asociada al robo de información bancaria o de correo electrónico, esta técnica consiste en suplantar un sitio web de captura de información (usuario y contraseña bancaria, de redes sociales, correo electrónico o cualquier otro target de interés para el atacante), de manera que el usuario final introduzca sus datos confiando que se encuentra en un sitio seguro.
Vishing/Smishing (Teléfono, Fax, Cartas): combina varios medios pero el fin es el mismo, a través de esta técnica se busca engañar al usuario para obtener información con el uso de tecnologías (VoIP, SMS) o medios físicos (Fax, Cartas), configurándolos para solicitar información legítima de credenciales del usuario, tarjetas de crédito o PIN de seguridad.
Técnicas presenciales No Agresivas: aprovechan la exposición de información y rutinas para obtener información de las víctimas.
Dumpster Diving: esta técnica implica mayor complejidad para su despliegue, debido a que se realiza una búsqueda en los contenedores físicos de basura, papeleras o cualquier otro depositario de restos de oficinas, o centros residenciales (por lo general), para obtener de información privada contenida en facturas, cartas o cualquier tipo de bienes en desecho (claves de tarjetas de crédito, números telefónicos, útiles, entre otros).
Seguir personas/vehículos: este aproach, implica utilizar técnicas de sigilo para evitar ser vistos mientras se hace seguimiento de personas, vehículos o cualquier medio de transporte que lleve personas de interés para el atacante. La misma técnica puede aplicarse en las redes sociales. La finalidad es recopilar información sobre el estilo de vida, los lugares que frecuenta, el sitio de residencia y trabajo para elaborar un perfil.
Vigilar edificios/trabajo: igual que la técnica anterior, su finalidad es recopilar la mayor cantidad de información sobre la víctima para elaborar un perfil.
Aprovechar situaciones de crisis: nos sorprendería lo común que es utilizada esta técnica para obtener información crítica en la vida real, pero es el resultante de los bajos niveles de preparación en ciberseguridad de una organización. Durante una crisis es complicado controlar el comportamiento de las personas o sus reacciones y esto es aprovechado por los atacantes para capturar información crítica a través de llamadas o captura de credenciales utilizando algunas de las técnicas anteriores.
Técnicas Agresivas: utilizadas por los atacantes con la finalidad de percibir beneficios económicos, difamar o simplemente dañar a las víctimas, se emplea la información obtenida con la utilización de técnicas pasivas, no presenciales o presenciales no agresivas.
Suplantación de identidad: esta técnica implica hacerse pasar por una persona ante otros, ya sea en el mundo físico o en medios electrónicos, para acceder a recursos, créditos, beneficios o simplemente difamar dañando su reputación y en ocasiones dan origen a traumas o incidentes fatales.
Chantaje/Extorsión: consiste en utilizar información obtenida por el atacante para perjudicar a la víctima, incluye amenazas de difamación pública o daños para obtener beneficios monetarios o información de alto valor para las organizaciones. Generalmente se dirigen a personas que cuentan con acceso a bienes o información privilegiada.
Presión psicológica (Ciberbullying): por lo general esta técnica es utilizada aprovechando la influencia de grupos en la vida cotidiana o cargos de alto nivel en la vida laboral, con la finalidad de modificar el comportamiento de la víctima, cambiar sus actitudes y valores conforme a lo deseado y obligándolo a actuar en beneficio del interés del(los) atacante(s).
Sentido Común: la mejor defensa
Afortunadamente detener este tipo de ataques es más sencillo de lo que puede imaginarse, porque el sentido común es tu mejor defensa. Si ves algo sospechoso o no te sientes bien haciéndolo, puede ser un ataque. Las pistas más comunes son:
- Alguien crea un tremendo sentido de urgencia, tratando de engañarte para que cometas un error.
- Alguien te pregunta por información a la cual no deberían tener acceso o que ya debería saber, como los números de tus cuentas.
- Alguien te solicita tu contraseña, ninguna organización legítima te pediría eso.
- Alguien te presiona para que evadas o ignores los procedimientos de seguridad o procedimientos que se espera sigas en tu trabajo.
- Algo es demasiado bueno para ser cierto. Por ejemplo, te notifican que has ganado la lotería o un iPad sin siquiera haber concursado.
- Recibes un correo extraño de un amigo o colaborador de trabajo que contiene palabras que no utilizan comúnmente. Un ciberatacante puede haber entrado a sus cuentas y trata de engañarte. Para protegerte, debes verificar contactando a tu amigo por otros medios de comunicación, ya sea en persona o por teléfono.
Si sospechas que alguien intenta engañarte, no te comuniques más con esa persona. Si el ataque está relacionado con el trabajo, asegúrate de informar inmediatamente la situación a la mesa de ayuda o el equipo de seguridad informática. Recuerda, el sentido común es a menudo tu mejor defensa.
Acciones tomadas por las Empresas
A pesar que ciberdelincuentes sin escrúpulos intentarán por todos los medios llegar al usuario final, las empresas deben observar serias limitaciones legales y éticas, en particular, garantizar el respeto de la relación de confianza entre el empleador y el empleado y evitar la invasión del ámbito personal de un empleado. Además, es necesario considerar los marcos legales laborales, que son radicalmente diferentes entre los Paises de América, donde existen diferentes matices para la protección tanto de empleados como de empleado. En el caso de Europa, Italia por ejemplo, la ley prohíbe a un empleador monitorear el comportamiento de los empleados; por lo tanto, en una evaluación, no es posible revelar los detalles de los usuarios únicos que pueden estar involucrados en un ataque. A pesar de las limitaciones y la presencia de algunos riesgos legales y éticos, el interés en este tema está aumentando, incluso en Europa.
Desde hace algunos años, muchas empresas han programado en su Road Map de evaluaciones, la Evaluación de Vulnerabilidades de Ingeniería Social. El objetivo de esta evaluación es probar el comportamiento humano frente a una simulación de ataque de spear-phishing, donde un atacante intenta engañar a los usuarios internos para que realicen acciones que podrían poner en riesgo los activos de la empresa, por ejemplo:
- Conseguir que el empleado haga clic en un enlace del correo electrónico, visitando un posible sitio web malicioso y exponiendo a la organización a un ataque de drive-by-infection
- Conseguir que el empleado entregue voluntariamente, cierta información crítica solicitada en un formulario de sitio web (como credenciales de la empresa).
Al usar un sitio web controlado y rastrear el comportamiento de los usuarios, es posible medir la inclinación de los empleados a ser víctimas de dicho ataque y también es posible estimar el nivel de exposición de la empresa ante cualquier ataque tecnológico que se haga con la información capturada desde la campaña de spear-phishing (p. ej., identificación de servicios no parcheados, suplantación de identidad, captura de huellas dactilares para acceder a sistemas, entre otros).
El Futuro
Intel Security en su reporte de predicciones de amenazas para el 2017, expone algunos temas interesantes para resaltar, aunque el más sobresaliente de ellos trata de cómo los atacantes utilizarían «machine learning» para elevar la complejidad en ataques de ingeniería social. En general, el reporte clasifica las empresas en tres (03) grandes grupos: quienes han sido atacados y lo saben, quienes han sido atacados y no lo saben, y quienes van a ser atacados.
Hasta la fecha conocemos tecnologías que utilizan el «machine learning» para la defensa y prevención de amenazas, aunque no conocemos (al menos no públicamente), ataques que hayan utilizado estas técnicas para violentar los mecanismos de protección en una organización, tampoco los descartamos.
Lo que si es cierto, es que debemos estar conscientes que el atacante no se guía por reglas y puede cambiar el juego en cualquier momento, el terreno puede variar y la balanza puede inclinarse a favor de los contrarios. En este sentido, conviene estar preparados y emplear soluciones que se encuentren desarrolladas en la base de Inteligencia Artificial, soluciones que sean capaces de adaptarse a los cambios, debido a que el débil aprendizaje automático incorporado en las soluciones convencionales simplemente no está a la altura del reto.
En ADV Integradores y consultores estamos a su entera disposición para apoyarlos con su estrategia de ciberseguridad, ya sea que esté basada en Inteligencia Artificial o concienciación de usuarios para la prevención de amenazas, les asistimos en hacer frente a las nuevas amenazas que se visualizan en el landscape de seguridad, lo cual es y será el principal reto para todos quienes tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.
Fuentes (con comentarios propios del autor):
ISACA Security Mailing List
SANS Newsbites Mailing List
Sitio ChanelBiz con Información de Reporte Intel Security Tendencias 2017
Sitio MuySeguridad
Sitio Wikipedia
Sitio Hispasec
Sitio WeLiveSecurity1 y WeLiveSecurity2
Ing. O. J. Alvarado
CISM, GSEC, ISO27001LA, CEH,
ADV Integradores y consultores
ingenieria@adv-ic.com | www.adv-ic.com | @adv_ic | Linkedin: ADV Integradores y consultores | Facebook: ADV Integradores y consultores
Blog Ciberseguridad ADV integradores y consultores 