Notas perdidas en la web

Básicamente se denomina ingeniería social a todo artilugio, tretas y técnicas más elaboradas a través del engaño de las personas en revelar contraseñas u otra información, más que la obtención de dicha información a través de las debilidades propias de una implementación y mantenimiento de un sistema. El único medio para entender como defenderse contra esta clase de ataques es conocer los conceptos básicos que pueden ser utilizados contra usted o su compañía y que abren brechas para conseguir sus datos.

La ingeniería social se concentra en el eslabón más débil de cualquier cadena de políticas de seguridad. Se dice a menudo que la única computadora segura es aquella que nunca será encendida. El hecho que usted pudiera persuadir a alguien para que le suministre su numero de tarjeta de crédito, puede sonar como un algo poco factible, sin embargo suministra datos confidenciales diariamente en distintos medios, como el papel que arroja a la basura o el sticker adhesivo con su password (contraseña) debajo del teclado. También el factor humano es una parte esencial del juego de seguridad. No existe un sistema informático que no dependa de algún dato ingresado por un operador humano. Esto significa que esta debilidad de seguridad es universal, independiente de plataforma, el software, red o edad de equipo.

El primero y más obvio es simplemente una demanda directa, donde a un individuo se le pide completar su tarea directamente. Aunque probablemente tenga menor éxito, éste es el método más fácil y el más sincero. El individuo sabe lo que usted quiere que ellos hagan exactamente.

El segundo método es ejecutado indirectamente en una situación previamente ideada donde el individuo es simplemente una parte de la misma. El mismo puede ser persuadido porque cree en las razones suministradas. Esto involucra mucho más trabajo para la persona que hace el esfuerzo de la persuasión, y casi ciertamente se involucra obteniendo un conocimiento extenso del ' objetivo'. Esto no significa que las situaciones no tienen que ser basadas en hecho real . Cuando menos falsedades, mayor la factibilidad de que el individuo en cuestión juegue el papel que le fue designado.

Una de las herramientas esenciales usadas para la ingeniería social es una buena recolección de los hábitos de los individuos.

La ingeniería social se dirige a los individuos con menos conocimientos, dado que los argumentos y otros factores de influencia tienen que ser construidos generando una situación creíble que el individuo ejecute.

Algunos ejemplos que se pueden citar:

- La ejecución de un virus troyano por parte del usuario, adjunto a un correo electrónico enviado por una casilla que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", "mira a Anita desnuda", etc.

- La voz agradable de un hombre o mujer, que pertenece al soporte técnico de nuestra empresa o de nuestro proveedor de tecnología, que nos requiere telefónicamente de información para resolver un inconveniente detectado en nuestra red.

- El llamado de un usuario que necesita que se le asignen nuevamente su clave porque la ha cambiado durante el transcurso del día y no la recuerda.

Esto son burdos ejemplos, citados simplemente para graficar algunos conceptos anteriormente explicados. No es objetivo de este artículo un análisis profundo de este tema, sino simplemente presentar al lector un panorama general sobre los aspectos más simples que rodean al manejo de la información.

Un caso ocurrido fue que un número indeterminado de personas recibía un correo electrónico no solicitado donde se les instaba a rellenar el formulario de una página web, para ser clientes del servicio BBVAnet. Datos personales, número de tarjeta de crédito, fecha de caducidad e incluso el PIN iban a parar a la base de datos de los atacantes, cuya identidad se desconoce. Es la primera vez que este truco de ingeniería social se utiliza contra una entidad bancaria española. El Banco Bilbao Vizcaya Argentaria actuó con celeridad y, a las 24 horas, la web fraudulenta y el sitio donde se recogían los datos estaban fuera de línea.

La web mostraba el logo de BBVAnet y parecía oficial, aunque sorprendía la cantidad de datos que pedía. El mensaje no solicitado también levantaba suspicacias: empezaba con un "estimado cliente del BBVA", aunque lo recibieron no clientes, y seguía: "Le comunicamos que próximamente, usted no (sic) se podrá subscribir en Banca Online". Una errata, a juzgar por el contenido, que instaba a suscribirse a BBVAnet, mediante un formulario en http://gruposbbva.nstemp.com. La web estaba registrada en Estados Unidos, en la empresa Freeservers.com, que rápidamente la cerró. Según un experto consultado, "estaba todo hecho de forma profesional y con dedicación, ya que el código de la página que suplanta al BBVA está ofuscado. En vez de escribir el código HTML directo, está cifrado vía JavaScript y la construcción del formulario se hace en el navegador del usuario. Así, pueden saltarse los sistemas de filtrado de contenido y hace que el rastreo sea relativamente complicado". El origen del mensaje es igualmente oscuro: "Se ha enviado desde una conexión ADSL, pero viendo el nivel de complejidad de la página HTML, apostaría que se ha secuestrado una máquina con poca seguridad, para lanzar los mensajes. Me costaría mucho creer que se haya molestado tanto en ofuscar el código HTML y después utilizar para el envío una máquina fácilmente identificable y rastreable, que no disponía de ninguna medida de seguridad, ni las más básicas, permitiendo conexiones anónimas y remotas vía Internet a las unidades de disco compartidas", afirma el experto.

El banco desconoce cuántos datos se obtuvieron ni si se han realizado operaciones con ellos. Aunque esta técnica de ingeniería social es conocida en los manuales, es la primera vez que se conoce su aplicación masiva suplantando a una entidad financiera española. Algo parecido sucedía a principios de mayo en Gran Bretaña, según publicaba "eWeek": "Se están enviando mensajes fraudulentos a los clientes de First Union, donde se les pide que visiten una web e introduzcan sus nombres de usuario y contraseñas. Sólo mirar la web ya trae problemas, porque instala automáticamente un troyano en la máquina del visitante. No está claro cómo el atacante ha tenido acceso a las direcciones de correo de los clientes del banco".

Con toda esta información ¿cómo hacer a su computadora o su sistema más seguro?

Un buen primer paso es crear conciencia de la seguridad a todo quien forme parte del trabajo (aunque no tengan acceso a la computadora).

Sin embargo, la mejor defensa contra esto, como con la mayoría de las cosas, es la educación. Explicando a los empleados la importancia de la seguridad de la computadora y sus datos, advertirles que son responsables directos por su contraseña y lo que hagan con ella, es un eficaz y sabio primer paso.

Recuerde, dar ambos lados de la historia al educar a las personas sobre la seguridad de los datos. Esto no es sólo un prejuicio personal. Cuando los individuos conocen ambos lados de un argumento ellos probablemente pueden ser disuadidos y consultar ante una dudosa petición. Y si ellos están envueltos en la seguridad mínima de la computadora, su elección es probable que esté en el lado de afianzar sus datos.

La conclusión

Contrariamente a la creencia popular, es a menudo más fácil de utilizar a las personas, que explotar vulnerabilidades o malas implementaciones de un sistema. Pero toma más esfuerzo educar a los usuarios para que puedan prevenirse y descubrir los esfuerzos a la ingeniería social que afianzar la seguridad operativa con el administrador del sistema.

A los Administradores, no permita que el eslabón humano en su cadena de seguridad desgaste su trabajo.

Al lector y usuario medio, asesórese sobre políticas de seguridad para sus datos, como así también consulte si su empresa tiene implementadas tales medidas.

Fuentes: Rompe Cadenas - VSantivirus