UnLugar - Blog personal de Pablo Beca

La ingeniería social: una herramienta para hackers

Todos aquellos que alguna vez nos quisimos meter en el mundo del hacking nos encontramos con un término conocido como: Ingeniería Social.

Dentro del contexto de seguridad informática, básicamente se trata de una práctica para obtener información confidencial a través de la manipulación de los usuarios legítimos. Es decir que, a través de una mentira o un engaño, pueden inducirte a que les entregues (voluntariamente o no) información confidencial, desde la contraseña de casilla de correo electrónico, bancos, acceso a sistemas, etc.

El ingeniero social tiene que tener una mente muy creativa para idear métodos, que en la medida que se van haciendo conocidos, dejan de servir o ya no son tan efectivos. Estos días estaba leyendo en Hispasec un artículo que habla acerca de como usar las memorias USB para infectar sistemas, obtener contraseñas, etc.

La gente a menudo es demasiado incosciente con la tecnología y no tiene idea de lo perjuicio que podría traer una infección o meter algo en la computadora. Muchos te dicen: si total tiene antivirus.. pero ese no es el caso. El antivirus no es capaz de detectar todos los virus, mucho menos si se hizo un programa destinado a infectar un sistema específico. Puede que los métodos heurísticos ayuden, pero no son de fiar. No hay nada mejor que la prevención y ser un poco paranoico.

La cosa es que Steve Stasiukonis fue contratado por una empresa para hacer una auditoría de seguridad. Se le pidió que hiciera hincapié en el tema de la ingeniería social, y ver de que forma podía acceder a información crítica. El problema es que los empleados ya sabían que iba a ir un auditor a la empresa, por lo tanto, todos se van a poner a la defensiva.

Así que Steve ideo cambio la vieja estrategia de hace preguntas para intentar obtener información que pueda comprometer la seguridad informática de la empresa por otra más ingeniosa: uso 20 memorias USB en las que introdujo un troyano (un tipo de virus informático) y las “tiró” en diferentes lugares de la empresa concurridos por los distintos empleados.

La curiosidad (una de las principales armas de la ingeniería social) hizo que muchos usaran estos dispositivos y los conectaran a las computadoras de la empresa. El resultado: de los 20 dispositivos, 15 fueron conectados, y consecuentemente 15 sistemas fueron infectados con el troyano.

Otro caso muy similar, es el de una empresa llamada “The Training Camp (TTC)” que hizo un experimento muy interesante: entregaron varios CD’s que tenían información de una promoción especial, que se iba regalando a ejecutivos de varias empresas. El CD tenía un programa especialmente diseñado para informar a TTC quién de la empresa había usado el CD.

Y más alarmante aún: en la “InfoSecurity Europe 2003 conference” se dieron a conocer cifras que realmente dan miedo: el 95% de los hombres y el 80% de las mujeres revelaron sus contraseñas a cambio de un bolígrafo barato.

Como estas historias hay millones. Desde casos tan típicos como leí en mis primeros artículos de hacking que telefónicamente te contactabas con la víctima para pedirle la contraseña de acceso a su cuenta porqué estás verificando algo, hasta casos más modernos como el phishing: en ambos se trabaja con la sustitución de la identidad.

Como verán, la creatividad es fundamental a la hora de diseñar un buen ataque a una empresa. La ingeniería social tiene aliados como la curiosidad, y el a fan de ayudar y ser protagonista. Explotando estas cualidades humanas es muy fácil manipular y meternos adonde no necesariamente nos corresponde.

No es necesario ser un experto en sistemas operativos, redes, protocolos y demás cosas para “hackear” una empresa, solo basta con un poco de imaginación para inducir un comportamiento deseado en nuestra víctima. Y lo demás, es historia.