INGENIERA SOCIAL

El mundo de la seguridad de la informacin est siempre en evolucin, los hackers constantemente desarrollan maneras de evitar las medidas de seguridad multi-capa que las organizaciones establecen en su permetro, usando para ello nuevos vectores de ataques altamente sofisticados, creativos y devastadores. Es por ello que, como profesionales de la seguridad, necesitamos estar un paso adelante para ayudar a nuestros clientes a reducir sus riesgos y a mejorar la postura de seguridad de sus organizaciones.

La seguridad hoy en da no es slo una cuestin tcnica que se solucione con firewalls, detectores de intrusos, sistemas contra prdida y robo de informacin, sistemas de seguridad Web o con la ltima campaa antispam; la seguridad es una cuestin que tiene que ver con gente.

Las personas somos el eslabn ms dbil en el sistema de seguridad y mientras las empresas alrededor del mundo gastan millones de dlares en cosas como firewalls, procesos de autenticacin y software para monitoreo de redes, pocas se preocupan por entrenar a sus empleados para evitar que terceros obtengan, indebidamente, informacin crtica de ellos.

A pesar de todas las defensas tecnolgicas, los hackers pueden esquivar la seguridad de una organizacin con slo enfocar su atencin en los empleados para llevar ataques con un mtodo llamado ingeniera social, al cual a veces se le conoce como un ataque en la capa 8 del modelo OSI. El reto aqu es que la ingeniera social es real y altamente efectiva porque se concentra en explotar la mayor vulnerabilidad: la gente. Este vector de ataque puede anular los sistemas tcnicos ms efectivos mediante la manipulacin de las personas con tcnicas de engao.

QU ES LA INGENIERA SOCIAL?

La ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. La ingeniera social consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran, esta es una las tcnicas de hacking ms antiguas de la informtica con la que un hacker puede penetrar hasta en los sistemas ms difciles usando la vulnerabilidad ms grave de todas: la humana.

EN QUE SE BASA LA INGENIERA SOCIAL?

Uno de los ingenieros sociales ms famosos de los ltimos tiempos es Kevin Mitnick. Liberado en el ao 2000, despus de 5 aos de estar en prisin por haber sustrado informacin confidencial al FBI, Mintnick comenta que la ingeniera social se basa en los siguientes cuatro principios que se presentan en las personas atacadas: Todos queremos ayudar, el primer movimiento es siempre de confianza hacia el otro, no nos gusta decir no y a todos nos gusta que nos alaben.

Todos queremos ayudar. El ser humano siente la necesidad de apoyar en las actividades y el trabajo de otras personas, por lo que es muy difcil encontrar una persona que se niegue a compartir informacin si esta fue solicitada con el pretexto de ayudar. El primer movimiento es siempre de confianza hacia el otro. Rara vez los seres humanos preguntan para que se esta solicitando la informacin, se da por entendido que el uso de la misma ser siempre legal. No nos gusta decir que no. An se tenga la desconfianza en la persona que solicita la informacin o bien, no se este convencido de proporcionarla, al ser humano le ser difcil negar el acceso a la misma. A todos nos gusta que nos alaben. A las personas les gusta siempre que alimenten su ego, por lo tanto, cuando se proporciona la informacin,

generalmente se recibe un estmulo sentimental, que generar una percepcin distinta de quien solicita la informacin.

Los atacantes de la ingeniera social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario hacindose pasar por un compaero de trabajo, un tcnico o un administrador, etc.

CMO SE ORGANIZA LA INGENIERA SOCIAL?

En general, los mtodos de la ingeniera social estn organizados de la siguiente manera:

Una fase de acercamiento para ganarse la confianza del usuario, hacindose pasar por un integrante de la administracin, de la compaa o del crculo o un cliente, proveedor, etc. Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, ste podra ser un pretexto de seguridad o una situacin de emergencia; Una distraccin, es decir, una frase o una situacin que tranquiliza al usuario y evita que se concentre en el alerta. sta podra ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante correo electrnico o de una pgina Web, la redireccin a la pgina Web de la compaa.

OBJETIVOS DE LA INGENIERA SOCIAL Los objetivos bsicos de la Ingeniera Social son los mismos del hacking o cracking (dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la informacin para:

Cometer Fraude. Entrometerse en las Redes. Espionaje Industrial. Robo de Identidad (de moda). Irrumpir en los Sistemas o Redes.

TIPOS DE INGENIERA SOCIAL

Hay dos tipos principales de la ingeniera social: la basada en la tecnologa, y la basada en el engao humano. Ambas trabajan manipulando y engaando al usuario y tienen diferentes niveles de xito dependiendo de la vctima. Engao basado en tecnologa

En este tipo de ingeniera social el hacker engaa al usuario mediante la interaccin con una aplicacin o un sistema que el propio hacker controla. Como los ejemplos que se muestran a continuacin:

Correo Spam: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. Aunque se puede hacer por distintas vas, la ms utilizada entre el pblico en general es la basada en el correo electrnico. Otras tecnologas de Internet que han sido objeto de correo basura incluyen grupos de noticias usenet, motores de bsqueda, wikis, foros, blogs, tambin a travs de pop-ups y todo tipo de imgenes y textos en la Web. El correo basura tambin puede tener como objetivo los telfonos mviles (a travs de mensajes de texto) y los sistemas de mensajera instantnea como por ejemplo Outlook, Kmail, Webmail, etc. Tambin se llama spam a los virus sueltos en la red y pginas filtradas (casino, sorteos, premios, viajes y pornografa), se activa mediante el ingreso a pginas de comunidades o grupos que acceden a links en diversas pginas.

Ests son algunas de las situaciones que vemos a diario con el uso del correo electrnico, esto lleva a que al final nuestra computadora en el menor de los casos sea infectada con cualquier programa maligno (malware).

Hoax: Un hoax (engao, bulo, mofa) es un intento de hacer creer a un grupo de personas que algo falso es real. A diferencia del fraude el cual tiene normalmente una o varias vctimas y es cometido con propsitos delictivos y de lucro ilcito, el hoax tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicacin, siendo el ms popular de ellos en la actualidad Internet y no suelen tener fines lucrativos o no son su fin primario. Es un mensaje de correo electrnico con contenido falso o engaoso. Normalmente es distribuido en cadena por sus sucesivos receptores debido a su contenido impactante que parece provenir de una fuente seria y fiable o porque el mismo mensaje pide ser reenviado.

Los Ingenieros Sociales que crean hoax suelen tener alguno de los siguientes objetivos: Captar direcciones de correo (para mandar spam, virus, mensajes con Phishing o ms hoax a gran escala) Intentar engaar al destinatario para que revele su contrasea o acepte un archivo de malware. Confundir a la opinin pblica

Bsicamente, podemos dividir los hoaxes en las siguientes categoras:

Alertas sobre virus incurables. Mensajes de temtica religiosa. Cadenas de solidaridad. Cadenas de la suerte.

Leyendas urbanas. Mtodos para hacerse millonario. Regalos de grandes compaas. Otras cadenas.

Algunos detalles sobre los hoaxes. No tienen firma. Algunos invocan los nombres de grandes compaas. Piden al receptor que lo enve a todos sus contactos. Te amenazan con grandes desgracias si no lo reenvas. En algunos casos son bastante convincentes. Te hacen pedir deseos y al final del mensaje te dicen que si no lo reenvas no se te cumple el deseo. Vienen enviados por alguien de confianza que ya ha cado en el engao. Algunos indican que por cada reenvo una empresa donar unos cuantos centavos a alguna persona en problemas. Algunos contienen numerosas faltas de ortografa. Suelen estar escritos en mayscula.

Ventanas emergentes: el hacker emplea ventanas falsas para engaar al usuario hacindole creer que est instalando una actualizacin autorizada de, por ejemplo, Microsoft, Java o de su antivirus, cuando en realidad est permitiendo al hacker obtener informacin o instalar cdigo malicioso.

Software: el hacker convence a la vctima de instalar un programa que pareciera ser legtimo pero que en realidad no lo es y podra, por ejemplo, estar activando una puerta trasera en el sistema o un keylogger.

Phishing: La pesca electronica o Phishing es una estafa que busca obtener nmeros de cuentas corrientes y de tarjetas de crdito, nombres de usuario, contraseas, claves de acceso, nmeros de identificacin personal (PIN) u otros datos confidenciales para emplearlos con finalidades delictivas.

Cmo funciona? En esta modalidad de fraude, el usuario malintencionado enva millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crdito. Dado que los mensajes y los sitios Web que envan estos usuarios parecen oficiales, logran engaar a muchas personas hacindoles creer que son legtimos. La gente confiada normalmente responde a estas solicitudes de correo electrnico con sus nmeros de tarjeta de crdito, contraseas, informacin de cuentas u otros datos personales.

Cmo podemos prevenir el "phishing"?

Segn las recomendaciones entregadas por el Cibercrimen de la PDI, unidad especializada en combatir los delitos informticos, podemos evitar el phishing siguiendo estos consejos: No responda a correos electrnicos en los que se le piden datos confidenciales (passwords, pins, etc.) Ninguna entidad bancaria seria le pedir nunca este tipo de informacin por email o telfono. Ante cualquier duda pngase en contacto con su entidad bancaria Teclee usted la direccin web directamente en el navegador No se fi de los enlaces escritos en e-mails. No llame a telfonos que lleguen por correo electrnico o mensajera instantnea. Utilice una fuente fiable de telfonos, como una gua o los especificados en el contrato de su tarjeta de crdito. No abra archivos adjuntos de mensajes que no espera recibir.

Pharming: El pharming es una variante del phishing y consiste en una prctica consistente redireccionar un nombre de dominio mediante la manipulacin de las direcciones DNS hacia una web fraudulenta. Esta estafa consiste en un programa informtico que se introduce en el ordenador que el internauta a travs de un correo electrnico aparentemente vaco que, al ser abierto, activa un ejecutable que manipula y modifica las direcciones del servidor de nombres de dominio (DNS). De esta manera cuando el afectado teclee la direccin web de una entidad de la que es cliente o usuario habitual en el navegador, esta es direccionada automticamente, sin que se d cuenta, a una pgina web falsa , idntica a la web oficial, donde los estafadores pretenden obtener sus datos confidenciales del mismo modo que en el Phishing.

Como podemos evitar un ataque de Pharming? La mejor forma de proteccin es mantener actualizados los programas instalados en el computador, especialmente el sistema operativo, el navegador y el correo electrnico. Hacer una continua actualizacin de los antivirus que pueden identificar los archivos que contienen cdigos maliciosos. Estos cdigos pueden ingresar de diversas maneras maneras (correos electrnicos, descargas online, etc.) y se van modificando continuamente. Es importante instalar otros programas de proteccin, como anti-spywares que sean reconocidos por su efectividad y un firewall, dejando pasar slo lo que el usuario autoriza. Nunca se deben abrir mensajes no solicitados, aunque parezcan venir de fuentes confiables, ni clickear en links; instalar archivos referenciados en estos mensajes o abrir tarjetas de saludos sospechosas. Por otra parte, a la hora de elegir el proveedor de internet, procurar que sea una empresa confiable que invierta en la seguridad de sus equipos y prevenga ataques a sus servidores.

Vishing: este ataque es una combinacin de Phishing y voz. Por lo regular emplea un sistema interactivo de respuesta (IVR, interactive voice response) falso para recrear el IVR real de una empresa. La vctima es incitada a llamar al IVR falso, va Phishing o un correo electrnico, para verificar cierta informacin. Finalmente el sistema obtendr datos como nombres de usuario o contrasea, ya sea de manera automatizada o incluso transfiriendo al usuario con un falso agente de soporte o de atencin a usuarios. El atacante configura un ordenador para telefonear a sus potenciales vctimas con mensajes grabados pidindole que se ponga en contacto con su banco en un nmero de telfono falseado con la excusa de un fraude o algo parecido. Al hacerlo, una voz de computadora le pedir sus datos de tarjeta de crdito u otros datos sensibles.

Consejos contra un ataque Vishing: Estar atento: Desconfiar de las llamadas de voz grabadas. No confes en el nmero de telfono que sale en la pantalla de tu mvil: puede estar falsificado Haz preguntas: Si alguien te telefonea pidiendo datos, asegrate de saber con certeza quien es.

Engao humano

Los ingenieros sociales manipulan y explotan los sentimientos y emociones de las personas tales como el miedo, la curiosidad, el sexo, la avaricia, la compasin y el deseo de agradar y de hacer bien su trabajo.

De hecho, la ingeniera social no naci en las computadoras, los timadores, estafadores, defraudadores entre otros delincuentes, han tenido xito durante muchos aos y ahora simplemente estn encontrando en Internet territorio frtil para sus engaos. Estos ladrones no necesitan apuntarse a los grupos de hackers ni leer ningn

manual tcnico. Las personas padecen las mismas debilidades dentro y fuera de Internet

Los atacantes de la ingeniera social, usan la fuerza persuasiva y se aprovechan de la inocencia del usuario, hacindose pasar por un compaero de trabajo, un tcnico o un administrador, o alguna otra persona reconocida. Estas tcnicas, difciles de detectar por una persona no entrenada, emplean debilidades en el comportamiento humano y frecuentemente se basan en la suplantacin de personas con cierto nivel de autoridad en la organizacin:

Dumpster Diving: como parte de la etapa de obtencin de informacin un hacker puede analizar la basura de una organizacin. Si sta no desecha de manera segura sus documentos es vulnerable a este tipo de ataque pues el atacante puede as obtener, por ejemplo, listas de telfonos, propuestas econmicas, grficas, reportes e incluso nombres de usuarios y contraseas, que podran ser usadas para ayudar al hacker a suplantar a un empleado y ganar acceso a informacin confidencial.

Esta tcnica es una de las ms populares para la investigacin preliminar, que es parte de la planeacin de un ataque de ingeniera social.

Pre-texting: el hacker crea un escenario inventado, conocido como el pretexto, para persuadir a la vctima de proporcionarle cierta informacin o de realizar alguna accin. Normalmente se realizar una investigacin para conocer el tipo de lenguaje y la tecnologa empleada por la gente que administra los sistemas o que tiene acceso a la informacin requerida.

QUIN ES VULNERABLE A LOS ATAQUES DE INGENIERA SOCIAL?

Cualquier compaa, sin importar su tamao, es vulnerable. Si un empleado inconscientemente proporciona informacin en un correo electrnico o responde a preguntas en una conversacin telefnica, permitir que el intruso acte desde el interior de la red, sin tener que lanzar ataques desde fuera que rompan las distintas capas de seguridad. .

Los ataques de ingeniera social son ms efectivos en las grandes empresas pues stas tienen muchos problemas para manejar sistemas de informacin con infraestructuras de red complejas, mltiples sucursales y cientos o miles de usuarios.

Las polticas y los procedimientos son mucho ms difciles de administrar en este tipo de ambientes y un atacante puede contactar a distintas personas en la organizacin para ir obteniendo pequeas piezas de informacin que le proporcionen un mapa de la misma.

Por el contrario, es ms difcil, pero no es imposible, lograr un ataque exitoso de ingeniera social en una empresa pequea, porque normalmente los empleados estn en contacto estrecho unos con otros a tal grado que incluso pueden reconocer sus voces en una charla, adems de que las polticas y los procedimientos se difunden con mayor efectividad.

Sin embargo, cualquier usuario es vulnerable a ataques de ingeniera social va correo electrnico, Internet, por telfono, SMS o sistemas de mensajera instantnea.

La ingeniera social funciona en empresas de todos tamaos pero no existe una frmula nica para que sea exitosa. En organizaciones grandes es difcil detectar un ataque de este tipo pues no hay un mtodo predefinido que un hacker emplear contra cualquier empresa: lo har en mltiples capas, con un alto nivel de creatividad y diseado para cada caso.

POR QU SE USA INGENIERA SOCIAL?

En un ataque tradicional por mtodos tecnolgicos se pueden necesitar semanas e incluso meses de recopilacin pasiva de informacin antes de intentar romper la seguridad de una red. El nivel de complejidad de los sistemas de la red tambin determinar el tiempo de investigacin que un atacante necesitar antes de intentar un ataque directo. Adems, tendr que estar familiarizado con la tecnologa empleada y deber tener experiencia para poder vencer las distintas capas de seguridad sin activar alarmas y sin dejar evidencia de su paso. Como puede verse, se necesita mucho tiempo para investigar, planear y ejecutar un ataque. Por el contrario, si el hacker usa mtodos de ingeniera social realiza la misma investigacin pero su objetivo son los empleados de la organizacin, evitando los sistemas de seguridad de la red y simplemente manipulando a los empleados para que revelen informacin sensible.

Lo que har ser crear un escenario y una identidad para despus lanzar el ataque. El ingeniero social contactar a la vctima poniendo en prctica diferentes mtodos para manipularla, de manera que sea difcil de detectar su intromisin por personas que no tienen el entrenamiento apropiado en seguridad.

El ciclo de ataque de la ingeniera social Recoleccin de informacin. Desarrollo de la relacin. Explotacin de la relacin. Ejecucin para lograr el objetivo.

Categoras de Ingenieros Sociales Hackers Espas industriales/ Agentes de espionaje industrial Gobiernos extranjeros / Agentes del Gobierno Extranjero Ladrones de Identidad

Empleados enojados Recolectores de Inteligencia empresarial Agentes de Informacin / Investigadores Privados Criminales Terroristas

Ataques de Ingeniera Social Telefnico Phishing Drive-by Infection Email Curiosidad(Hardware) Suplantacin ID Shoulder Surfing Snooping Baiting Sniffing

Telefnico Un atacante llama por telfono y trata de intimidar a alguien en la posicin de autoridad o relevancia, de esa forma obtiene informacin As pues, por ejemplo, el hacker llamar por telfono y crear un escenario que convencer a la vctima de que se trata de alguien confiable. Un tpico ataque de este estilo es suplantar a un superior jerrquico que requiere acceso remoto y que ha olvidado su contrasea, por lo que solicita su cambio pues necesita acceder a cierto sistema de manera urgente.

Phishing Una de las principales vulnerables es que muchos usuarios utilizan contrasea para diferentes servicios. la misma

Una tcnica conocida es a travs de formularios o pantallas de login falsas. Donde se le pide al usuario que valide sus datos de acceso sobre un sitio web manipulado por le atacante.

Drive-by Infection Cuando uno descarga soluciones de seguridad desde sitios web es posible infectarse con diferentes variedades de Malware o Troyanos Intencionalmente: Aceptando la descarga desde el sitio web Involuntariamente: Explotando una vulnerabilidad en el navegador

Email Los emails enviados pueden contener informacin interesante para los usuarios y ser bastante llamativos como la imaginacin lo permita. Desde fotos de famosas hasta cmo construir un reactor nuclear. En los archivos adjuntos pueden existir virus, gusanos, backdoors, etc. Permitiendo tener acceso total al atacante.

Curiosidad

El atacante deja un dispositivo de almacenamiento como pendrive, CD, memoria flash en un lugar donde pueda ser encontrado, mientras espera a que la vctima introduzca el dispositivo para infectarse con el cdigo malicioso. A travs de la curiosidad humana es posible llevar a cabo este tipo de ataque.

Suplantacin ID Consiste en caracterizar a una persona, un rol. Generalmente los roles ms empleados son soporte tcnico y gerente, etc. En empresas grandes es difcil conocer a todos los empleados y falsificar las ID resulta muy simple.

Shoulder Surfing

Consiste en `espiar' fsicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que lamentablemente utilizan muchos usuarios para recordar sus contraseas es apuntarlas en un papel pegado al monitor de su PC o escribirlas en la parte de abajo del teclado; cualquiera que pase por delante del puesto de trabajo, sin problemas puede leer el login, password e incluso el nombre de mquina a la que pertenecen. Esto, que nos puede parecer una gran tontera, por desgracia no lo es, y se utiliza ms de lo que muchos administradores o responsables de seguridad piensan; y no slo en entornos `privados' o con un control de acceso restringido, como pueda ser una sala de operaciones de un centro de clculo, sino en lugares a los que cualquiera puede llegar sin ninguna acreditacin: personalmente, hace unos aos pude leer claramente `post-it' pegados a los monitores de los PCs utilizados por el personal de informacin de unos grandes almacenes de Valencia, en los que aparecan el nombre de usuario, la clave y el telfono de varios sistemas de la empresa; cualquiera que se acercase al mostrador poda leer y memorizar esta informacin sin problemas.

El shoulder surfing no siempre se ve beneficiado por la ingenuidad de los simples usuarios de un equipo; en determinadas ocasiones son los propios programadores (gente que tericamente ha de saber algo ms sobre seguridad que el personal de administracin o de atencin al pblico) los que disean aplicaciones muy susceptibles de sufrir ataques de este tipo. Por ejemplo, en ciertas aplicaciones especialmente algunas que se ejecutan sobre MS Windows, y que son ms o menos antiguas - muestran claramente en pantalla las contraseas al ser tecleadas. Cualquiera situado cerca de una persona que las est utilizando puede leer claramente esa clave; un perfecto ejemplo de lo que NO se debe hacer nunca.

Masquerading

El ataque denominado masquerading o mascarada consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informtico o su entorno; esta suplantacin puede realizarse electrnicamente - un usuario utiliza para acceder a una mquina un login y password que no le pertenecen - o en persona.

La mascarada no es un ataque habitual en entornos normales; en estos, o bien existen reas de acceso semipblico, donde un atacante no tiene que hacer nada especial para conseguir acceso - y por tanto no cabe hablar de masquerading - o bien reas de acceso restringido pero controlado por el propio personal de la organizacin, como despachos o laboratorios. En este caso un ataque va mascarada no suele ser efectivo, ya que es muy fcil detectar al intruso (otro tema sera si realmente se toma alguna medida al detectarlo o simplemente se le deja seguir, ah ya entrara en juego la formacin de los usuarios) por tratarse de reas dentro de las cuales todo el personal `habitual' se conoce. El masquerading es ms habitual en entornos donde existen controles de acceso fsico, y donde un intruso puede `engaar' al dispositivo - o persona - que realiza el control, por ejemplo con una tarjeta de identificacin robada que un lector acepta o con un carn falsificado que un guardia de seguridad da por bueno.

Una variante del masquerading lo constituye el ataque denominado piggybacking, que consiste simplemente en seguir a un usuario autorizado hasta un rea restringida y acceder a la misma gracias a la autorizacin otorgada a dicho usuario. Contra esto se deben aplicar las mismas medidas que contra la mascarada fsica: controles de acceso estrictos, y convenientemente verificados. Los ejemplos depiggybacking son muy habituales: desde un atacante que se viste con un mono de trabajo y que carga con un pesado equipo informtico en la puerta de una sala de operaciones, para que justo cuando un usuario autorizado llegue le abra dicha puerta y le permita el acceso por delante del guardia de seguridad, hasta la clsica ancdota que todos los auditores explican como suya, sobre el reconocedor de tarjetas inteligentes que abre la puerta de una sala pero que una vez abierta no se preocupa en contar cuantas personas la atraviesan, podramos estar durante das dando ejemplos de ataques exitosos utilizando la tcnica del piggybacking.

Snooping

El snooping tiene como objetivo obtener informacin de una red a la que estn conectados sin modificarla, similar al sniffing (packet sniffer). Adems de interceptar el trfico de red, el atacante accede a documentos, mensajes de correo electrnico y otra informacin privada guardada en el sistema, guardando en la mayora de los casos esta informacin en su equipo. Aunque el resultado es en muchos aspectos similar al sniffing, tcnicamente poco tiene que ver con ste: en ningn momento se capturan datos que circulan por la red, la tarjeta no trabaja en modo promiscuo (es ms, ni siquiera es necesario una interfaz de red), etc; simplemente, la informacin que un usuario introduce en un terminal es clonada en otro, permitiendo tanto la entrada como la salida de datos a travs de ambos. En algunas versiones de Linux existe un programa denominado ttysnoop capaz de registrar en tiempo real todo lo que un usuario teclea en una terminal, tanto fsica como virtual.

El snooping se puede realizar por simple curiosidad, pero tambin se realiza con fines de espionaje y robo de informacin o software.

Los casos ms resonantes de este tipo de ataques fueron: el robo de un archivo con ms de 1.700 nmeros de tarjetas de crdito desde una compaa de msica mundialmente famosa, y la difusin ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la violacin de derechos humanos en algunos pases europeos en estado de guerra.

Sniffing

Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, tambin se puede dar en la red de redes: Internet.

Esto se hace mediante aplicaciones que actan sobre todos los sistemas que componen el trfico de una red, as como la interactuacin con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior anlisis (contraseas, mensajes de correo electrnico, datos bancarios, etc.).

Por ello, cada vez es ms importante enviar encriptada la informacin. Por ejemplo, los mensajes de correo electrnico y archivos delicados deben enviarse encriptados con PGP o GnuPG. La transferencia de archivos mediante FTP, debe evitarse en lo posible, utilizando SSH.

Cmo funcionan los Sniffers?

El modo ms sencillo de comprender su funcionamiento, es examinndola forma en que funciona un sniffer en una red Ethernet. Se aplican los mismos principios para otras arquitecturas de red.

Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el trfico que est dentro del umbral de audicin del sistema de escucha. Y no slo el trfico que vaya dirigido a una tarjeta de red, sino a la direccin de difusin de la red 255.255.255.255 (osea a todas partes).

Para ello, el sniffer tiene que conseguir que la tarjeta entre en modo "promiscuo", en el que -como indica la propia palabra- recibir todos los paquetes que se desplazan por la red. As pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuacin el software puede capturar y analizar cualquier trfico que pase por ese segmento.

Esto limita el alcance del sniffer, pues en este caso no podr captar el trfico externo a la red (osea, ms all de los routers y dispositivos similares), y dependiendo de donde este conectado en la Intranet, podr acceder a ms datos y ms importantes que en

otro lugar. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratgicos.

Baiting

Los hackers pueden dejar olvidados CD, DVD o dispositivos USB con software malicioso, con la esperanza de que los usuarios de una organizacin los inserten en sus computadoras. Normalmente se dejarn en el estacionamiento o en cualquier lugar cercano a las oficinas de la empresa que se est atacando y pueden incluso contener etiquetas llamativas para incitar su revisin: Lista anual de bonos o Informacin confidencial.

MECANISMOS PARA CONTRARRESTAR LA INGENIERA SOCIAL

La mejor manera de protegerse contra las tcnicas de ingeniera social es utilizando el sentido comn y no divulgando informacin que podra poner en peligro la seguridad de los activos informticos. Ante ataques basados en ingeniera social, cualquier persona y organizacin se encuentran expuestos, y la mejor forma de contrarrestarlo es conociendo los mtodos de ingeniera que se aplicarn, es decir, en el mbito tecnolgico se conoce como Ingeniera Inversa. La ingeniera inversa es el conjunto de tcnicas y procedimientos utilizados para descubrir el diseo de un producto o proceso. En este sentido, escubrir cules son las tcnicas empleadas por los atacantes, difundirlas y prepararse para enfrentar nuevas tcnicas de ataques es el mejor mecanismo de proteccin. Para poder establecer mecanismos formales, debe implementarse un plan de Ingeniera Social Inversa, tomando en consideracin tanto los ataques directos a personas como tambin los ataques a travs de las computadoras. Acontinuacin se explican los principios en cada uno de ellos:

En la Ingeniera social basada en personas:

Se presentan algunos elementos a considerar:

Conocer los procesos de ingeniera social, sus principios, sus tcnicas, la manipulacin y la explotacin de los sentimientos y emociones de las personas. De esta forma se podr anticipar a los riesgos de los ataques. Informar a las personas sobre ests tcnicas y de cmo pueden ser presa de la ingeniera social, mostrar ejemplos para concientizar. Crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones. Los atacantes que usan la ingeniera social prefieren cambiar de vctima cuando se enfrentan a la resistencia educada. Sin importar el tipo de informacin solicitada, se aconseja que se investigue la identidad de otra persona al solicitar informacin precisa, verificar la informacin proporcionada y preguntarse que importancia tiene la informacin requerida.

Las personas que tienen responsabilidad sobre activos informticos deben conocer cul es el momento para utilizarlos, y como hacerlo de manera eficiente

Invertir ms presupuesto de seguridad en educacin. Se deben aplicar recursos en capacitacin, difusin y creacin de cultura aunque se gaste menos en tecnologa. Ser ms redituable la inversin

En la Ingeniera Social basada en computadoras:

Para detectar si un medio electrnico es legal o no, se debe tomar en cuenta los siguientes aspectos:

 Solicitud de Informacin. Ninguna empresa solicita va electrnica contraseas, nombres de usuario, nmeros de la Seguridad Social u otra informacin personal.

Urgencia. "Si no responde en un plazo de 48 horas, su cuenta se cancelar". Estos mensajes tienen un tono de urgencia cuyo objetivo es que se responda inmediatamente, casi sin pensar

Personalizacin del mensaje. Los mensajes de correo electrnico de Phishing suelen enviarse de forma masiva y, a menudo, no contienen su nombre o apellido, por lo que no van personalizados. Las empresas de las que somos clientes, conocen nuestro nombre

Otra manera de mitigar los riesgos es mediante la adquisicin de un seguro contra ataques a la seguridad. La mayora de las aseguradoras exigirn la existencia de polticas y procedimientos que minimicen el riesgo de ataques.

Algunos ejemplos de esto son las polticas de auditora interna, polticas de contraseas, polticas de recursos humanos para contratacin de nuevos empleados que incluyan revisin de antecedentes, y programas de educacin y concientizacin en seguridad, tanto para empleados como visitantes, clientes y proveedores.

La herramienta ms eficiente con la que cuentan las organizaciones para contrarrestar la ingeniera social es la concientizacin, es decir, que el usuario identifique la importancia de la actividad que realiza del valor de la informacin que maneja y el buen uso que debe llevar a cabo sobre el hardware y el software que se encuentran bajo su responsabilidad

CONCLUSIN

Hay una gran cantidad de tcnicas usadas por los ingenieros sociales, alguna de ellas involucran la tecnologa mientras que otras emplean mtodos conocidos de manipulacin humana, y los hackers se valen de estas tcticas por una multitud de razones que van desde la obtencin de nmeros de cuentas bancarias hasta el espionaje industrial.

Para mitigar los riesgos derivados de los rpidos cambios en los mtodos de ingeniera social, las organizaciones estn obligadas a adoptar una cultura de concientizacin en seguridad.

El entrenamiento provee informacin y procedimientos que los empleados necesitan para reconocer y responder adecuadamente a las amenazas de la ingeniera social, mientras que el apoyo de la gerencia permitir el desarrollo de una actitud de propiedad y responsabilidad que fomentar la participacin activa en la cultura de la seguridad.

Adicionalmente, las pruebas de ingeniera social deben ser parte integral de las pruebas de penetracin utilizadas para evaluar la postura de seguridad de una organizacin. Proteger la informacin de hackers que emplean ingeniera social es responsabilidad de cada empleado, incluso de aqullos que no usan computadoras en el desarrollo de sus funciones. Cada empleado es vulnerable.

BIBLIOGRAFA

http://es.kioskea.net/contents/attaques/ingenierie-sociale.php3 http://www.slideshare.net/GindR/ingenieria-social-1256521 http://es.scribd.com/doc/19394749/Ingenieria-social-una-amenaza-informatica http://www.slideshare.net/maxisoler/ingenieria-social-una-tecnica-no-tan-tecnicapampaseg-2010-la-pampa-argentina http://www.magazcitum.com.mx/?p=1173 http://www.policia.cl/noticias2011/mayo/31may011/nota.html http://www.monografias.com/trabajos60/ingenieria-social-spam/ingenieria-socialspam2.shtml http://es.wikipedia.org/wiki/Snooping http://www.internetmania.net/int0/int93.htm