Powered By Blogger

sábado, 8 de octubre de 2011

ULTIMO TEMA (PRIMERA UNIDAD)

PHISING

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.

Historia del phishing
Origen de la palabra
El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher.También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.
La primera mención del término phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600,[6] aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker "2600 Magazine".[7] El término phishing fue adoptado por quienes intentaban "pescar" cuentas de miembros de AOL.

Phishing en AOL
Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener cuentas para usar los servicios de esa compañía a través de números de tarjetas de crédito válidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e incluso meses. En 1995 AOL tomó medidas para prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL.

El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software falsificado. Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial,[8] el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell.
En 1997 AOL reforzó su política respecto al phishing y los warez fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que decidieron añadir en su sistema de mensajería instantánea, una línea de texto que indicaba: "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación"). Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en phishing, normalmente antes de que la víctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema de mensajería instantáneo de AOL (AIM), debido a que no podían ser expulsados del servidor de AIM. El cierre obligado de la escena de warez en AOL causó que muchos phishers dejaran el servicio, y en consecuencia la práctica.[]
Intentos recientes de phishing
Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima.[10] En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente pesca con arpón). Los sitios de Internet con fines sociales también se han convertido en objetivos para los phishers, dado que mucha de la información provista en estos sitios puede ser utilizada en el robo de identidad. Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques phishing en redes sociales finales de 2006 un gusano informático se apropió de algunas páginas del sitio web MySpace logrando redireccionar los enlaces de modo que apuntaran a una página web diseñada para robar información de ingreso de los usuarios.
Técnicas de phishing
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com/ejemplo. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla[15] e Internet Explorer.[16] Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing[] o ataques homógrafos,[] ningún ataque conocido de phishing lo ha utilizado.

Lavado de dinero producto del phishing
Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de e-mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.
Fases
  • En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria.
  • Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (PHISHING) o con ataques específicos.
  • El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).
  • Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión.
Daños causados por el phishing
Una gráfica muestra el incremento en los reportes de phishing desde octubre de 2004 hasta junio de 2005.
Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.
Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares estadounidenses. Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran víctimas.[] El Reino Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad de dinero reportado que perdió el Reino Unido a causa de esta práctica fue de aproximadamente £12 millones de libras esterlinas.[
Anti-Phishing
Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como objetivo evitarlo.
Respuestas organizativas
Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques phishing. Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un experimento realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a los que se les envió un e-mail falso fueron engañados y procedieron a dar información personal.

PHARMING

Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.
Origen de la palabra
La palabra pharming deriva del término farm (granja en inglés) y está relacionada con el término phishing, utilizado para nombrar la técnica de ingeniería social que, mediante suplantación de correos electrónicos o páginas web, intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta contraseñas.
El origen de la palabra se halla en que una vez que el atacante ha conseguido acceso a un servidor DNS o varios servidores (granja de servidores o DNS), se dice que ha hecho un pharming.
Controversia en el uso del término
En una conferencia organizada por el Antiphishing Working Group, Phillip Hallam-Baker definió este término como "un neologismo de mercadotecnia diseñado para convencer a banqueros y empresarios de comprar nuevos equipos o accesorios de seguridad".
Método de funcionamiento del pharming
Todos los ordenadores conectados a internet tienen una dirección IP única, que consiste en 4 octetos (4 grupos de 8 dígitos binarios) de 0 a 255 separados por un punto (ej: 127.0.0.1). Estas direcciones IP son comparables a las direcciones postales de las casas, o al número de los teléfonos.
Debido a la dificultad que supondría para los usuarios tener que recordar esas direcciones IP, surgieron los Nombres de Dominio, que van asociados a las direcciones IP del mismo modo que los nombres de las personas van asociados a sus números de teléfono en una guía telefónica.
Los ataques mediante pharming pueden realizarse de dos formas: directamente a los servidores DNS, con lo que todos los usuarios se verían afectados, o bien atacando a ordenadores concretos, mediante la modificación del fichero "hosts" presente en cualquier equipo que funcione bajo Microsoft Windows o sistemas Unix.
La técnica de pharming se utiliza normalmente para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios.
Casos reales de pharming
  • En julio de 2001, varios servidores ISP de Irlanda fueron atacados mediante pharming, y no se resolvió hasta pasados más de 5 días. Muchas empresas irlandesas se vieron afectadas. El joven alicantino menor de edad que respondía al nick DragonKing fue detenido año y medio más tarde.
  • En enero de 2005, el nombre de dominio de un ISP de Nueva York, fue redirigido a un sitio web en Australia.
  • Hushmail, un proveedor de Secure e-mail, fue atacado mediante pharming el 24 de abril de 2005.
  • En marzo de 2005, el Senador Estadounidense Patrick Leahy introdujo un artículo de ley Anti-phishing, que proponía una condena de cinco años de prisión y una sanción económica a los individuos que realizasen ataques de phishing o utilizasen información obtenida mediante fraude online como phishing y pharming.
Anti-Pharming
Anti-Pharming es el término usado para referirse a las técnicas utilizadas para combatir el pharming.
Algunos de los métodos tradicionales para combatir el pharming son la utilización de software especializado, la protección DNS y el uso de addons para los exploradores web, como por ejemplo toolbars.
El software especializado suele utilizarse en los servidores de grandes compañías para proteger a sus usuarios y empleados de posibles ataques de pharming y phishing, mientras que el uso de addons en los exploradores web permite a los usuarios domésticos protegerse de esta técnica.
La protección DNS permite evitar que los propios servidores DNS sean vulnerados para realizar ataques pharming. Los filtros anti-spam normalmente no protegen a los usuarios contra esta técnica.

ROBO DE IDENTIDAD 
       
El robo de identidad se da cuando un atacante, por medios informáticos o personales, obtiene su información personal y la utiliza ilegalmente.
El robo de identidad es el delito de más rápido crecimiento en el mundo. Hasta no hace mucho tiempo, cuando un ladrón nos robaba la billetera o porta documentos, el dinero era lo único que pretendía. Eso está cambiando, ahora lo más valioso es el número de su documento, tarjeta de crédito, de débito, cheques y cualquier otro documento que contenga sus datos personales.
En el transcurso de un día normal, usted divulga esta información al hacer transacciones en persona, por teléfono y online para efectuar la compra de productos y servicios. Si esta información confidencial cae en manos de un delincuente, podría utilizarse para robarle su identidad financiera y realizar muchas de las actividades en nombre suyo.
Nadie esta a salvo de este delito ni podemos tener la certeza de que nunca le robarán su identidad, lo importante es conocer los métodos existentes para reducir las probabilidades de que usted se convierta en una víctima y qué medidas puede tomar si llegara a ocurrir.
Lamentablemente, la mayoría de las personas no se enteran que han sido víctimas de robo de identidad hasta que solicitan un crédito y se los niegan, quieren contratar el servicio de telefonía celular y no pueden y en la mayoría de los casos, cuando aparecen cobros sospechosos en los resúmenes de las tarjetas de crédito.
Con el desarrollo de las nuevas tecnologías, el robo de identidad se ha convertido en la modalidad delictiva que más ha crecido en los últimos años.

Métodos utilizados

Existen varios métodos para obtener datos de su información personal:
  • Phishing y correos falsos: esta técnica permite pasar a un atacante por una organización, banco o empresa verdaderos para obtener información que garantice acceso a algún recurso que usted utilice en esa organización, banco o empresa.
  • Personal: cualquier persona maliciosa podría obtener información que escuchó o vio de parte suya que le garantice acceso a algún recurso valioso.
  • Ataque organizado: cualquier atacante podría intentar superar la seguridad de un banco, empresa o organización para obtener información personal de los clientes para luego accesar a algún recurso de esa empresa, organización o banco.

El robo de identidad es también uno de los delitos mas comunes en internet y es el que más crece a medida que la tecnología se hace cada vez más masiva. Consiste en la obtención y utilización de datos confidenciales de los usuarios, generalmente para cometer fraudes económicos. Se calcula que en el mundo los afectados llegan aproximadamente a los 25 millones. La mayoría de las veces este delito es advertido cuando ya se ha consumado, por ej. cuando nos llegan los débitos de compras que no hicimos en los resúmenes de las tarjetas de crédito o nos envían información sobre préstamos, créditos o productos que nunca solicitamos.
Si en la mayoría de los países ocurre como en la argentina, donde los delitos informáticos son de difícil penalización, tanto por las lagunas legales que presentan, porque no existen penas específicas y porque las técnicas y tecnología apropiadas para detectarlos están ausentes o son desconocidas para la justicia. Una iniciativa legislativa de hace un par de años propone equiparar la violación de un e-mail a la de una carta de papel, delito que está penado con 15 días a seis meses de prisión, pero los jueces federales no consienten la idea de penar a alguien por hackear un e-mail, y para demostrar la dificultad investigativa dio como ejemplo el hecho de que para saber quién es el titular de una cuenta de Hotmail, hay que mandar un exhorto a Estados Unidos.
Si tenemos en cuenta además que ni aún los mejores sistemas de control evitan que el fraude informático se lleve a cabo, que sólo la mitad de los fraudes son descubiertos por estos sistemas o por auditores internos o externos y que la mayoría de los fraudes es detectado por accidente o por denuncias de terceros, entonces lo único que nos queda es la prevención.

FRAUDE POR INTERNET

En ingles existen varios términos que se utilizan para nombrar a este tipo de acciones o criminales que se dedican a hacer fraudes por Internet. Términos como “Scanner”, “Phishing” o “Cybersquatting” son ya muy comunes en la industria de Internet. Y si no los conoces o no estas preparado para detectarlos, serías capaz de distinguir entre un e-mail verdadero y un correo electrónico fraudulento?
El uso mas común que le damos a Internet es el de la búsqueda de información, la segunda acción mas común, es la de enviar y recibir correos electrónicos, por eso es que este medio es uno de los favoritos de los llamados “scanner” para tratar de robar información confidencial de números de cuentas de bancos, claves de acceso y en los Estados Unidos los números de seguro social.
Los “Pishers” se hacen cada vez más astutos y resulta difícil decir quien es en verdad legítimo y quien falso. Estos criminales trataran de robar tu información haciéndose pasar por instituciones serias, enmascarando su falsa identidad tras varias estrategias que son fáciles de distinguir si pones atención en como evitarlas.
Todos recibimos “spam”, es decir, correos electrónicos no deseados. Algunos son legítimos de empresas tratando de venderte alguno de sus productos o servicios, pero otros, pueden ser obra de estos individuos que solo tratan de roban tu información personal.
Los “Phishing emails” o correos fraudulentos generalmente incluyen logotipos de empresas serias que son robados de sus paginas web y colocados en los correos trampa, haciendo difícil detectar cuando son correos fraudulentos.
Los fraudes por correo electrónico son más comunes de lo que piensas. Cuando recibes este tipo de mails, generalmente estarán bien maquillados para que parezcan reales u oficiales, intentaran llevarte a un sitio web aparentemente legitimo, cuando en realidad es solo un sitio fantasma o “spoofed” que intentara robar tus números de cuenta, el nombre del cuenta habiente y claves de acceso (password).
Cuando eres profesionista o experto en alguna área de tu interés, generalmente sabes hacer bien tu trabajo. De la misma forma, las ladrones que se dedican a hacer fraudes por Internet suelen ser expertos en su área, en esta ocasión te proporcionamos información de como operan este tipo de personajes e intentan diariamente hacerte presa de sus fechorías.
Para tu protección, toma en cuenta estos prácticos consejos que te permitirán estar un paso delante de los ladrones de Internet.

1. Los ladrones buscan información y dinero.

Generalmente intentaran hacerse pasar por instituciones que manejan dinero, como Bancos o sitios web como PayPal para tratar de robar tu información personal y cometer sus delitos. Recuerda que estos correos fraudulentos pueden contener logos oficiales para aparentar ser legítimos.
Estos e-mail “enmascaran” o “camufla jean” los enlaces a donde intentaran llevarte. La mejor manera de asegurarte a donde te llevará un enlace, es pasar el mouse por encima de dicho enlace, en la mayoría de los navegadores web, el enlace destino es mostrado en la barra de estado al fondo del navegador, si el enlace destino es diferente o no coincide con el de la empresa que supuestamente te ha enviado el mail, no hagas clic sobre él. Aquí la muestra en imágenes de 2 intentos de fraude por correo electrónico.
Es la misma estrategia de fraudes por internet. Logotipo oficial de la Wells Fargo, advertencia a cerca de los fraudes por correo electrónico, etc, etc. Como podrás ver, nuevamente los enlaces NO te llevaran a la pagina oficial de la Wells Fargo (www.wellsfargo.com) sino nuevamente a un lugar totalmente distinto para tratar de robar tu información personal. Cuando entres a este sitio clonado o falso intentaran robar nuevamente tus datos personales.

2. ¿Cual es la urgencia?

Si usted no responde en las próximas 24 horas, su cuenta será cancelada”, “Termine su sesión”, “Su cuenta requiere atención inmediata”.
Cualquier mensaje que tenga un sentido de urgencia deberá ser considerado como sospechoso, y si crees que es un mensaje legitimo, lo mas sencillo es llamar por teléfono a la empresa o institución que te pide la información para asegurarte que son ellos quienes lo solicitan o visita directamente el sitio web de dicha empresa, banco o institución para asegurarte que el enlace sea directo, es decir www.”Tubanco”.com

3. Las instituciones financieras no piden tus datos personales por correo electrónico.

Datos de usuario, contraseñas, números de seguro social o cualquier información confidencial no se solicita por mail. Como prevención, solo proporciona tus datos personales cuando tú inicies la comunicación y no cuando alguien te los solicite, o acude directamente a las oficinas de la institución para proporcionar o modificar tus datos personales.

.4. Ganaste la lotería en Internet. Urge que proporciones tus datos

Ganaste la lotería online, la lotería de Yahoo, la lotería de MSN, la lotería de tu abuelita, en fin, diariamente me llegan este tipo de correos electrónicos diciéndome que soy el ganador de la lotería. Si en verdad fuera cierto, ya no necesitaría trabajar de por vida, solo disfrutar de mis premios diarios de la lotería online. No lo creen así?
Los ladrones son astutos y van adquiriendo destreza cada vez mas para realizar sus fechorías, necesitas estar a la defensiva. Tomate un momento para entender estos consejos y saber de que manera estos individuos pueden estafarte, así estarás mejor preparado para afrontarlos cuando llegue el momento.
Como medidas adicionales. Utiliza los filtros anti-spam en tus cuentas de correo si es que los tienes para reducir los riesgos de fraudes por internet, mas vale desconfiar que aprender una mala lección, no proporciones tus datos personales tampoco por teléfono a nadie. Instala un buen antivirus, ya que también los hackers y gusanos pueden robar tu información personal por medio de los virus.

INGENIERÍA SOCIAL (SEGURIDAD INFORMÁTICA)

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam).
Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?
La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.
Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:
  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir No.
  4. A todos nos gusta que nos alaben.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)