#MundoHacker: Los 6 principios básicos de la ingeniería social

La semana que viene estaba invitado a participar en el hangout sobre Ingeniería social preparado por los chicos de HangoutOn (ES/enlace roto), que han retrasado para cuando “se alineen varios astros y podamos agendarlo” (palabras textuales :)). Al final van a acabar odiándome, porque no es la primera vez que me invitan y por uno u otro motivo justo ese día no puedo…

social-engeneering

En este caso, coincide de lleno con la RootedCon (y de hecho con el fin del Mobile World Congress, que al final y por exigencias de guión volveré a no asistir pese a que tengo acreditación de analista), en la que voy en representación de SocialBrains, y por ende, tendré poco tiempo para “labores externas” al trabajo. Así que como soy una persona aplicada, y mi intención era tenerlo preparado para tal fecha, al menos dejo por aquí este capítulo de la serie #MundoHacker sobre el tema a tratar: La ingeniería social.

Y es curioso, porque a pesar de haber un sin fin de artículos en el que hablo de la ingeniería social, no había aún ninguno en el que solo hablase de este conjunto de técnicas hacking. Así pues, comencemos.

¿Qué es la ingeniería social?

Buena pregunta. Podríamos definirla como el conjunto de técnicas o estrategias sociales utilizadas de forma premeditada por un usuario para obtener algún tipo de ventaja respecto a otro u otros. Es decir, que de ingeniería tiene más bien poco. De hecho se acerca más a la psicología social o la sociología de ventas.

Y es importante señalar este punto, ya que para llevar a cabo ataques de ingeniería social, no tienes porqué tener conocimientos técnicos de ningún tipo.

¿Qué supone esto? Pues que en la práctica no hay ningún sistema informático que nos pueda prevenir de un ataque de este estilo. Como mucho, y a lo sumo, la implantación de directivas de seguridad (ISO o la normativa que más le guste) que eviten que el eslabón más débil de la cadena (el trabajador/cliente/usuario) tenga los permisos y conocimientos suficientes como para caer en un engaño (o al menos para minimizar las consecuencias asociadas a él).

Además, podemos considerar que hay dos grandes grupos dentro de la ingeniería social:

  • Hunting: Son aquellos ataques que buscan obtener información específica del objetivo con la menor exposición directa posible. Con el menor contacto. En la práctica hablamos de ataques de ingeniería social enfocados a obtener X dato (normalmente credenciales de acceso a un servicio o cuenta, activación o desactivación de alguna configuración que puede complicar el objetivo final o como apoyo a un ataque mayor, dirigido y persistente), de forma que el atacante se pone en contacto de alguna manera con la víctima, y la insta a realizar una acción cuyo desenlace es el pretendido inicialmente. Y el mejor ejemplo son las campañas de phishing por email, en el que únicamente se suele tener contacto directo con el cibercriminal una sola vez (el email que te envía haciéndose pasar por una entidad o conocido, habitualmente para que insertes tus datos en una supuesta web legítima).
  • Farming: Pues justo lo contrario. En el hunting lo que se busca es una exposición mínima. Obtener algo y desaparecer. Con el farming el objetivo es mantener el engaño el mayor tiempo posible, para exprimir al máximo el conocimiento, recursos o posición de la víctima. Para ello, se suele recurrir a granjas de identidades, que por lo general han sido robadas con anterioridad. Esa novia rusa que se enamora de ti después de haberte visto por alguna red social, ese príncipe nigeriano sin descendencia que casualmente te ha elegido entre los miles de millones de personas de todo el mundo para que heredes su numerosa fortuna… eso sí, después de pagar unos mínimos costes de aduana/retenciones fiscales/seguros,… ¿Le suena de algo?

Porque sí, hablar de ingeniería social es hablar de phishing. Que no siempre tienen porqué ir juntos, pero se llevan genial. El primero te engaña; el segundo se aprovecha de ello. Al final tienes la herramienta de crimen perfecta, que salta cualquier defensa perimetral de cualquier sistema operativo, y ataca al más indefenso, el Human OS.

¿Cuales son los 6 principios básicos de la ingeniería social?

Como toda materia, tiene algunos elementos básicos con los que un criminal juega para ganarse el respeto o confianza suficiente y engañar a la víctima. Y casualmente se parecen mucho a los principios básicos de las ventas ¿Por qué será G.G?

  1. Reciprocidad: Los humanos somos por naturaleza recíprocos con nuestros actos. Si alguien nos ofrece algo, tendemos a ofrecerle también algo nosotros. Si alguien nos trata mal, estaremos más susceptibles a pagarle con la misma moneda. Un “instinto” social muy arraigado en nuestra naturaleza, y por ende, fácilmente manipulable. La próxima vez que alguien le ofrezca un trabajo de ensueño desde su casa en el que solo tiene que meter dinero de una cuenta a otra y se queda un % por cada transacción, desconfíe. Si es tan sencillo de hacer, ¿por qué no lo hacen ellos?
  2. Urgencia: Un clásico entre los clásicos. ¡Aproveche esta oferta! ¡Hasta fin de existencias! ¡Durante los próximos cinco minutos…! Es uno de los mantras habituales de las ventas, en este caso extrapolado al cibercrimen. La mayoría de los ataques de ingeniería social, sobre todo los de hunting, enganchan a las víctimas por medio de la urgencia. Tienes 24 horas para enviarme X datos del banco o Hacienda te pondrá la consabida multa. Comparte ahora mismo este artículo entre todos tus contactos de Facebook y ganaras 100 de oro para gastar en esta aplicación… ¿seguimos?
  3. Consistencia: Somos animales de costumbres. Si hemos dado nuestra palabra (y la acción no nos va a ocasionar un grave trastorno), tendemos más a cumplir que a no hacerlo. El caso de ingeniería social más habitual utilizando este principio es aquel en el que un miembro del equipo técnico de un servicio (o de una empresa) le pide que realice X labores habituales. Aunque una de ellas sea “rara de cojones”, como ya se ha comprometido la acabará haciendo junto al resto. Y el criminal ya tendrá seguramente acceso a los servicios de la compañía en su nombre.
  4. Confianza: Nuestras escasas defensas bajan cuando nuestro interlocutor nos cae bien o está alineado con nuestros intereses. Por no hablar de nuevo de la novia rusa, no es raro que altos directivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno, corporaciones, política, militar,…) sean “seducidos” por supuestos perfiles semejantes (no tienen porqué ser del sexo opuesto, aunque tiende a ayudar) que se ganan su confianza lo suficiente como para que tengan un descuido y puedan aprovecharse de él. A continuación es cuando esa chica morena, ejecutiva de cuentas de X institución, se transforma en un maromo del este que le extorsiona con desvelar contenido inapropiado enviado la noche anterior sino cumple al milímetro sus exigencias.
  5. Autoridad: Si el becario le pide las credenciales de acceso de un servicio, seguramente lo mire con desconfianza. Pero si quien lo hace es el jefe, la cosa cambia. La usurpación de identidad juega un papel decisivo, bien sea real (robo del perfil digital del jefe) o aparentada (clonado de perfiles o emails muy parecidos).
  6. Validación social: Como seres sociales que somos, buscamos la aprobación del colectivo. Por tanto, si en un email alguien nos pide específicamente que hagamos algo raro, es posible que nos lo pensemos. Pero si en esa misma conversación hay varios conocidos más (por ejemplo trabajadores de la misma compañía), y ninguno rechista, entenderemos que no hay ningún problema y acataremos las normas, vengan de quien vengan.

¿Cómo podemos defendernos de la ingeniería social?

La pregunta del millón. Y la respuesta es que no hay un método infalible. Cualquiera, absolutamente cualquiera, es susceptible de caer en un ataque de ingeniería social. Da igual que sea el panadero de la esquina, o Edward Snowden. Si el ataque es lo suficientemente meticuloso, lo suficientemente sofisticado, cualquier persona va a caer.

Ahora bien, afortunadamente la mayoría de ataques son toscos, impersonales y masivos. Y aquí no hay excusa que valga. Ahora que ya conocemos los 6 principios básicos de la ingeniería social, se trata de contrarrestarlos.

Javier Perea, Director Regional de Intel Security España, decía recientemente en un estudio:

“Las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. Especialmente porque el objetivo son las personas, no solo el sistema. En este sentido, la forma más eficaz de protegerse frente a estas amenazas es estar informado, y las empresas deben impulsar la educación en materia de seguridad, con el fin de mitigar los riesgos.”

Añadiría además el usar el sentido común en todos y cada uno de los supuestos diarios en los que nos encontremos. Como ya sabe, si algo huele mal, posiblemente es que esté podrido.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias