Cuando pensamos en la gente que suele realizar ataques informáticos, lo primero que nos viene a la mente suele ser un experto informático capaz de descifrar la mejor de las contraseñas o aprovecharse de vulnerabilidades desconocidas para el común de los mortales. Pero por lo general, para robarte la cuenta de Facebook o Gmail ni siquiera hay que tener grandes conocimientos informáticos, vale con esperar a que tú se la des amablemente.
Es lo que se conoce como la ingeniería social, una técnica de ataque muy utilizada debido a su alto nivel de eficacia. Parte de la base de que las personas somos el eslabón más débil de un sistema de seguridad, y ya sea mediante labia o automatismos intenta engañarnos para que acabemos relevando datos clave para comprometer nuestros sistemas.
Muchos atacantes deciden estudiar informática para acceder a los sistemas aprovechándose de los bugs de un software, pero hay quienes prefieren especializarse en engañar y manipulara los propios usuarios. Para ello no hacen falta ni vulnerabilidades ni hackeos increíbles, sino conocer muy bien la mente humana y la forma de pensar de tu víctima, y aprovecharlo para que te de los datos necesarios para acceder a su ordenador, a los servidores de su empresa o por qué no, a sus correos electrónicos o cuentas de redes sociales.
Imagínate que para proteger una cuenta habilitas como pregunta secreta cual es el nombre de tu primera mascota. Pues bien, aplicando la ingeniería social, un atacante que ya haya intentado acceder a tu cuenta y sepa cual es la pregunta puede intentar ganarse tu confianza y llegar disimuladamente hasta la respuesta. Después de todo, una conversación sobre mascotas no tiene por qué hacerte sospechar de que te vayan a hackear una cuenta personal.
Otros atacantes simplemente recurren a la vía rápida del phishing para engañarte haciéndose pasar por un servicio, y enviarte un correo con un enlace fraudulento mediante el que intentar que escribas tu contraseña. Imagínate que te envío un correo electrónico diciéndote que soy el señor Paypal, que he detectado un error y que necesito que te identifiques inmediatamente mediante un enlace que adjunto, y que lleva a una web falsa en la que guardar todo lo que escribes.
El atacante puede jugar con las emociones
Para profundizar un poco más en el mundo de la ingeniería social hemos estado hablando con un experto con más de 11 años de experiencia en el mundo de la seguridad informática. Se trata de Josep Albors, director de comunicación y responsable del laboratorio de ESET España, y que también colabora con la Guardia Civil y el Ejercito de Tierra en la formación de nuevos agentes en materia de seguridad informática.
Josep nos cuenta que la ingeniería social es un riesgo que deberíamos tomarnos en serio, porque apunta al eslabón más débil en la mayoría de situaciones: el ser humano. “El atacante puede jugar con las emociones de la víctima“, nos cuenta, “o incluso averiguar información personal de la misma a partir de publicaciones en redes sociales para intentar convencerla de que le proporcione información o le permita saltarse sistemas de seguridad establecidos”
Las personas más vulnerables a este tipo de ataques, nos explica, son aquellas que manejan información confidencial o pueden permitir el acceso a datos confidenciales. “No hace falta siquiera que sea el CEO de una empresa, puesto que muchos negocios no establecen barreras de acceso a datos y sistemas importantes y no son pocos los empleados que pueden acceder a ellos, aun sin saberlo”.
Hablando con Josep también aprendemos que hay varios tipos de ataques comunes. Por una parte están los que intentan engañar a los usuarios para que abran un fichero o pulsen sobre un enlace haciéndose pasar por algunos servicios muy utilizados, mientras que por la otra también está el que se conoce como “Fraude del CEO”.
“En él los delincuentes apuntan a cargos directivos, obtienen información privada de los mismos de fuentes abiertas o espiándoles en persona, y llegan a suplantar a proveedores de esa empresa para conseguir que se hagan transferencias a números de cuentas gestionados por ellos”.
Dicho en otras palabras, si eres el dueño de una empresa alguien podría estar cotilleando tus redes sociales o espiándote en persona. Con algunos de los datos que consiga obtener sobre tu persona se intentará hacer pasar por ti para darle a tus proveedores una dirección bancaria fraudulenta. Con ella, en vez de pagarte a ti le estarían pagando directamente al suplantador.
Piensa en la información que compartes en redes sociales, seguro que entre ella está tu nombre, apellidos o nombre de tu empresa. Uno también se puede fijar en cómo escribes en redes sociales para ser más convincente a la hora de imitarte. Ya sólo hace falta un proveedor con la suficiente confianza como para creerse lo que le dice alguien que dice ser tu.
Cómo saber cuándo nos la quieren jugar
Pero claro, vivimos en una era en la que todos los días estamos conociendo personas nuevas y estableciendo amistades en las redes sociales. Por lo tanto, ¿cómo podemos saber si esa persona que acabamos de conocer está intentando sacarnos información mediante la ingeniería social en vez de simplemente saber más sobre nosotros?
“Depende de lo buena que sea la persona a la hora de utilizar la ingeniería social puede llegar a ser bastante difícil llegar a darse cuenta de que nos están intentando sacar información”, nos comenta Josep Albors. “Lo mejor es analizar cada una de las respuestas que damos y pensar si podrían ser utilizadas en nuestra contra o en la de nuestra empresa”.
En resumen, lo que nos quiere decir es que seamos cautos cuando estemos conociendo a personas nuevas, un clásico de los tiempos de la vida offline. Tenemos que ser conscientes de qué tipo de información compartimos y cual puede ser utilizada en nuestra contra. No deberíamos herir sentimientos previniendo, porque lo lógico es que cualquier persona entienda que no le contemos nuestra vida las primeras veces que hablamos.
Otro de los métodos clásicos utilizados por los atacantes es el phishing mediante ingeniería social. Nos pueden enviar SMS, correos electrónicos o una URL a una web aparentemente real, pero que es sólo una copia de la original diseñada específicamente para engañarnos y obtener nuestros datos. ¿Cómo podemos diferenciarlas?
Albors nos cuenta que lo primero que nos debería hacer sospechar es que sea un mensaje que no esperamos. Si alguna vez te encuentras pensando que es raro que tu banco o una web se ponga en contacto contigo por este medio para un tema que nunca habíais tratado así, mejor desconfiar. Y cuidado con abrirlos por pura curiosidad, porque puede jugarnos malas pasadas.
“Algunos consejos que podríamos ofrecer es desconfiar de los ficheros adjuntos, especialmente si son ejecutables (la minoría) o vienen comprimidos y utilizan una extensión poco frecuente (js, vbs, hta, etc.)”, nos explica, “además de revisar los enlaces que nos proporcionan, puesto que suelen estar acortados o suplantar alguna web original (phising)”.
Nuestro hacker de cabecera también nos explica que existen varias herramientas como el framework Metasploit o el SET (Social-Engineering Toolkit), diseñadas para automatizar estos ataques. También nos advierte de que otro método utilizado es el abandonar USBs con contenidos que puedan ser de interés para la víctima e inciten a abrir el fichero.
“Por ejemplo, dejar un pendrive abandonado en una oficina con una hoja de cálculo Excel con el sugerente título ‘Relación despidos 2017′”, nos cuenta. “Estoy seguro que muchos deshabilitarían las medidas de seguridad que incorpora MS Office por defecto, y que no permiten la ejecución de Macros maliciosas, con tal de ver su contenido”.
¿Entonces cual sería el principal consejo para quien se quiera proteger? Es la última pregunta que le hacemos a Josep. “Que ande siempre atento y no se confíe”, responde. Nunca se sabe cuándo podemos estar siendo víctimas de un ataque de ingeniería social, salvo que estemos especialmente entrenados, y esa persona tan simpática que acabamos de conocer en la cola de embarque de un avión puede estar queriendo sacarnos información que no deberíamos compartir.
Espera, ¿hay herramientas de ingeniería social?
Convencer a una persona para que te revele sus datos, aún siendo sorprendentemente efectivo, no deja de ser tedioso y de requerir bastante tiempo. Razón por la que muchos atacantes prefieren tirar la caña del phishing y esperar a que los incautos piquen, algo para lo que como hemos visto llevan años existiendo herramientas varias.
Una de las más populares es el Social-Engineering Toolkit o SET. Se trata de una única recopilación de herramientas para realizar ataques avanzados contra el elemento humano. Esto puede ser útil tanto para crackers como para empresarios que quieren testar la seguridad de su empresa y cómo se comportan sus empresarios ante estas amenazas.
Entre otras cosas, esta herramienta permite diseñar y crear ataques de phishing mediante correos electrónicos que se le envían a la víctima. También permite utilizar múltiples ataques basados en la Web para comprometer la seguridad de la posible víctima, como por ejemplo clonar páginas como Facebook alojándolas en nuestro servidor para obtener los datos que rellene quien entre.
A su vez, la aplicación permite simplificar la creación de ficheros .exe maliciosos, o realizar ataques masivos enviando correos electrónicos a múltiples víctimas personalizando los mensajes. Entre sus funciones el SET también ofrece la posibilidad de crear medios infectados con metasploits que utilizan el archivo autorun.inf.
Como conclusión podemos decir que efectivamente nosotros somos el mayor punto débil de nuestra seguridad, y que los atacantes no sólo lo saben, sino que llevan años aprovechándose de ello. Por lo tanto toca tomar conciencia de estos peligros y estar atentos, sobre todo tratando de no revelarle a un desconocido información sensible y estando atento a las posibles estafas mediante correos electrónicos o mensajes de móvil.
Imágenes | Yolanda, alvaroreguly, Amy
Cuando pensamos en la gente que suele realizar ataques informáticos, lo primero que nos viene a la mente suele ser un experto informático capaz de descifrar la mejor de las contraseñas o aprovecharse de vulnerabilidades desconocidas para el común de los mortales. Pero por lo general, para robarte la cuenta de Facebook o Gmail ni siquiera hay que tener grandes conocimientos informáticos, vale con esperar a que tú se la des amablemente.
Es lo que se conoce como la ingeniería social, una técnica de ataque muy utilizada debido a su alto nivel de eficacia. Parte de la base de que las personas somos el eslabón más débil de un sistema de seguridad, y ya sea mediante labia o automatismos intenta engañarnos para que acabemos relevando datos clave para comprometer nuestros sistemas.
Muchos atacantes deciden estudiar informática para acceder a los sistemas aprovechándose de los bugs de un software, pero hay quienes prefieren especializarse en engañar y manipulara los propios usuarios. Para ello no hacen falta ni vulnerabilidades ni hackeos increíbles, sino conocer muy bien la mente humana y la forma de pensar de tu víctima, y aprovecharlo para que te de los datos necesarios para acceder a su ordenador, a los servidores de su empresa o por qué no, a sus correos electrónicos o cuentas de redes sociales.
Imagínate que para proteger una cuenta habilitas como pregunta secreta cual es el nombre de tu primera mascota. Pues bien, aplicando la ingeniería social, un atacante que ya haya intentado acceder a tu cuenta y sepa cual es la pregunta puede intentar ganarse tu confianza y llegar disimuladamente hasta la respuesta. Después de todo, una conversación sobre mascotas no tiene por qué hacerte sospechar de que te vayan a hackear una cuenta personal.
Otros atacantes simplemente recurren a la vía rápida del phishing para engañarte haciéndose pasar por un servicio, y enviarte un correo con un enlace fraudulento mediante el que intentar que escribas tu contraseña. Imagínate que te envío un correo electrónico diciéndote que soy el señor Paypal, que he detectado un error y que necesito que te identifiques inmediatamente mediante un enlace que adjunto, y que lleva a una web falsa en la que guardar todo lo que escribes.
El atacante puede jugar con las emociones
Para profundizar un poco más en el mundo de la ingeniería social hemos estado hablando con un experto con más de 11 años de experiencia en el mundo de la seguridad informática. Se trata de Josep Albors, director de comunicación y responsable del laboratorio de ESET España, y que también colabora con la Guardia Civil y el Ejercito de Tierra en la formación de nuevos agentes en materia de seguridad informática.
Josep nos cuenta que la ingeniería social es un riesgo que deberíamos tomarnos en serio, porque apunta al eslabón más débil en la mayoría de situaciones: el ser humano. “El atacante puede jugar con las emociones de la víctima“, nos cuenta, “o incluso averiguar información personal de la misma a partir de publicaciones en redes sociales para intentar convencerla de que le proporcione información o le permita saltarse sistemas de seguridad establecidos”
Las personas más vulnerables a este tipo de ataques, nos explica, son aquellas que manejan información confidencial o pueden permitir el acceso a datos confidenciales. “No hace falta siquiera que sea el CEO de una empresa, puesto que muchos negocios no establecen barreras de acceso a datos y sistemas importantes y no son pocos los empleados que pueden acceder a ellos, aun sin saberlo”.
Hablando con Josep también aprendemos que hay varios tipos de ataques comunes. Por una parte están los que intentan engañar a los usuarios para que abran un fichero o pulsen sobre un enlace haciéndose pasar por algunos servicios muy utilizados, mientras que por la otra también está el que se conoce como “Fraude del CEO”.
“En él los delincuentes apuntan a cargos directivos, obtienen información privada de los mismos de fuentes abiertas o espiándoles en persona, y llegan a suplantar a proveedores de esa empresa para conseguir que se hagan transferencias a números de cuentas gestionados por ellos”.
Dicho en otras palabras, si eres el dueño de una empresa alguien podría estar cotilleando tus redes sociales o espiándote en persona. Con algunos de los datos que consiga obtener sobre tu persona se intentará hacer pasar por ti para darle a tus proveedores una dirección bancaria fraudulenta. Con ella, en vez de pagarte a ti le estarían pagando directamente al suplantador.
Piensa en la información que compartes en redes sociales, seguro que entre ella está tu nombre, apellidos o nombre de tu empresa. Uno también se puede fijar en cómo escribes en redes sociales para ser más convincente a la hora de imitarte. Ya sólo hace falta un proveedor con la suficiente confianza como para creerse lo que le dice alguien que dice ser tu.
Cómo saber cuándo nos la quieren jugar
Pero claro, vivimos en una era en la que todos los días estamos conociendo personas nuevas y estableciendo amistades en las redes sociales. Por lo tanto, ¿cómo podemos saber si esa persona que acabamos de conocer está intentando sacarnos información mediante la ingeniería social en vez de simplemente saber más sobre nosotros?
“Depende de lo buena que sea la persona a la hora de utilizar la ingeniería social puede llegar a ser bastante difícil llegar a darse cuenta de que nos están intentando sacar información”, nos comenta Josep Albors. “Lo mejor es analizar cada una de las respuestas que damos y pensar si podrían ser utilizadas en nuestra contra o en la de nuestra empresa”.
En resumen, lo que nos quiere decir es que seamos cautos cuando estemos conociendo a personas nuevas, un clásico de los tiempos de la vida offline. Tenemos que ser conscientes de qué tipo de información compartimos y cual puede ser utilizada en nuestra contra. No deberíamos herir sentimientos previniendo, porque lo lógico es que cualquier persona entienda que no le contemos nuestra vida las primeras veces que hablamos.
Otro de los métodos clásicos utilizados por los atacantes es el phishing mediante ingeniería social. Nos pueden enviar SMS, correos electrónicos o una URL a una web aparentemente real, pero que es sólo una copia de la original diseñada específicamente para engañarnos y obtener nuestros datos. ¿Cómo podemos diferenciarlas?
Albors nos cuenta que lo primero que nos debería hacer sospechar es que sea un mensaje que no esperamos. Si alguna vez te encuentras pensando que es raro que tu banco o una web se ponga en contacto contigo por este medio para un tema que nunca habíais tratado así, mejor desconfiar. Y cuidado con abrirlos por pura curiosidad, porque puede jugarnos malas pasadas.
“Algunos consejos que podríamos ofrecer es desconfiar de los ficheros adjuntos, especialmente si son ejecutables (la minoría) o vienen comprimidos y utilizan una extensión poco frecuente (js, vbs, hta, etc.)”, nos explica, “además de revisar los enlaces que nos proporcionan, puesto que suelen estar acortados o suplantar alguna web original (phising)”.
Nuestro hacker de cabecera también nos explica que existen varias herramientas como el framework Metasploit o el SET (Social-Engineering Toolkit), diseñadas para automatizar estos ataques. También nos advierte de que otro método utilizado es el abandonar USBs con contenidos que puedan ser de interés para la víctima e inciten a abrir el fichero.
“Por ejemplo, dejar un pendrive abandonado en una oficina con una hoja de cálculo Excel con el sugerente título ‘Relación despidos 2017′”, nos cuenta. “Estoy seguro que muchos deshabilitarían las medidas de seguridad que incorpora MS Office por defecto, y que no permiten la ejecución de Macros maliciosas, con tal de ver su contenido”.
¿Entonces cual sería el principal consejo para quien se quiera proteger? Es la última pregunta que le hacemos a Josep. “Que ande siempre atento y no se confíe”, responde. Nunca se sabe cuándo podemos estar siendo víctimas de un ataque de ingeniería social, salvo que estemos especialmente entrenados, y esa persona tan simpática que acabamos de conocer en la cola de embarque de un avión puede estar queriendo sacarnos información que no deberíamos compartir.
Espera, ¿hay herramientas de ingeniería social?
Convencer a una persona para que te revele sus datos, aún siendo sorprendentemente efectivo, no deja de ser tedioso y de requerir bastante tiempo. Razón por la que muchos atacantes prefieren tirar la caña del phishing y esperar a que los incautos piquen, algo para lo que como hemos visto llevan años existiendo herramientas varias.
Una de las más populares es el Social-Engineering Toolkit o SET. Se trata de una única recopilación de herramientas para realizar ataques avanzados contra el elemento humano. Esto puede ser útil tanto para crackers como para empresarios que quieren testar la seguridad de su empresa y cómo se comportan sus empresarios ante estas amenazas.
Entre otras cosas, esta herramienta permite diseñar y crear ataques de phishing mediante correos electrónicos que se le envían a la víctima. También permite utilizar múltiples ataques basados en la Web para comprometer la seguridad de la posible víctima, como por ejemplo clonar páginas como Facebook alojándolas en nuestro servidor para obtener los datos que rellene quien entre.
A su vez, la aplicación permite simplificar la creación de ficheros .exe maliciosos, o realizar ataques masivos enviando correos electrónicos a múltiples víctimas personalizando los mensajes. Entre sus funciones el SET también ofrece la posibilidad de crear medios infectados con metasploits que utilizan el archivo autorun.inf.
Como conclusión podemos decir que efectivamente nosotros somos el mayor punto débil de nuestra seguridad, y que los atacantes no sólo lo saben, sino que llevan años aprovechándose de ello. Por lo tanto toca tomar conciencia de estos peligros y estar atentos, sobre todo tratando de no revelarle a un desconocido información sensible y estando atento a las posibles estafas mediante correos electrónicos o mensajes de móvil.
Imágenes | Yolanda, alvaroreguly, Amy
Compartir esto: