HACKING INGENIERIA SOCIAL Creo que no es injusto decir que en cualquier sistema, el elemento más vulnerable es el factor humano. Puede que esta norma solo se cumple en sistemas que superen un determinado grado de complejidad, pero en cualquier caso, en materia de seguridad, para cualquier atacante es un buen flanco de ataque y hay que considerarlo. La violencia, el error fortuito o sistemático o el engaño son los principales factores de debilidad en los elementos humanos de los sistemas que pueden provocar brechas en la seguridad o correcto funcionamiento de los mismos. En cuanto a las Tecnologías de la información se refiere, podemos poner como ejemplo de la violencia la posibilidad de que un componente humano de un sistema se vea sometido a cualquier tipo de extorsión para desvelar sus claves de acceso a un sistema o actuar de forma desleal. El error fortuito o sistemático puede ser provocado al actuar de forma errónea, dejando 'abierto' un sistema que debería estar 'cerrado' o incurriendo en prácticas viciadas, como el uso de canales de comunicación inseguros, elección de claves débiles, uso de software inapropiado o soportes infectados...Pero en esta ocasión quisiera centrarme en el engaño, una táctica militar probablemente tan antigua como la propia guerra y que forma parte de ejemplos clásicos que se estudian desde el primer curso en cualquier academia militar desde hace cientos de años. En en lenguaje de los hackers, el uso de la mentira mediante las relaciones sociales, es decir, engañar a alguien para que nos revele información se llama "ingeniería social" y es una técnica y un término usado desde los mismos inicios del hacking, aunque reconozco que no he podido encontrarlo ni en el Jargon-1 (el diccionario original de la jerga de los hackers) ni en posteriores recopilaciones de este documento histórico. Para los puristas, no es ingeniería social aquello que no implica iteración humana. Los caballos de Troya y otras intrusiones que pueden inducir a error no son ingeniería social, aunque las fronteras entre la falsedad, la mentira y el engaño son difusas. En su Historia del hacking español publicada en la red como "Hack Story", Mercé Molist asocia la aparición de esta técnica en España a los primeros grupos importantes de hackers y proporciona una interesante referencia al trabajo de "LeSteR ThE TeAcHeR", "Ingeniería Social 1.0" donde se menciona a uno de los primeros y misterioso hacker español que utilizaba esta técnica: "Agnus Young". La acción de ingeniería social típica consiste en llamar a alguien para haciéndose pasar por el servicio técnico o alguien del departamento de informática de la compañía pedirle información sobre su ordenador, alegando que es necesario para repararlo, actualizarlo o hacer "una comprobación", estas posibilidades incluyen el uso de la autoridad que proporciona la jerarquía y también puede darse a la inversa: hacerse pasar por un usuario que ha perdido sus claves, aunque hoy en día los técnicos y responsables de redes se han convertido en blancos mucho menos vulnerables debido a su mayor formación en seguridad y su conocimiento de estas técnicas. Un famoso hacker, convertido tras su paso por la cárcel en consultor de seguridad, Kevin Mitnick ha expresado que la efectividad de la ingeniería social se basa en cuatro principios: 1) Todos queremos ayudar. 2) El primer movimiento es siempre de confianza hacia el otro. 3) No nos gusta decir No. 4) A todos nos gusta que nos alaben. ¿Como podemos evitar ser blanco de estas técnicas?. En un interesante documento publicado en OUCH!, Alissa Torres expone una serie de medidas para evitar ser víctima de los maliciosos seductores. Yo me he permitido inspirarme en sus recomendaciones y propugnar estas tres reglas: 1) Seguir las normas de seguridad. Especialmente en cuanto a la discreción y el uso de canales seguros. Y sobre todo no compartiendo nuestras claves de acceso, que por algo son "secretas". 2) Ser discreto. No divulgar detalles de nuestro trabajo ni en redes sociales ni entre amigos, ni siquiera en familia. El que no sabe algo, no puede revelarlo. Pequeños detalles, aparentemente insignificantes, pueden ayudar a un asaltante. 3) Verifica la información. Si alguien de la organización te llama, di que colgarás y le llamarás para verificar la llamada. Para autorizar cualquier acceso físico a tu ordenador, comprueba antes con el servicio técnico o el administrador del sistema que la acción está autorizada. Los administradores tienen sus cuentas de acceso, no necesitan la tuya. Si tu clave se ve expuesta, incluso ante compañeros de trabajo, ¡cámbiala! . Puede que a muchos les parezca que estas medidas son propias de paranoicos, pero lo cierto es que un poco de paranoia da muchísima más seguridad que una pizca de confianza y sobre todo, muchísimos menos problemas. http://delicious.com/rpla/raa856a 718 Internet y nuevas tecnologías ROBERTO PLÁ Coronel de Aviación http://robertopla.net/ REVISTA DE AERONÁUTICA Y ASTRONÁUTICA / Julio-Agosot 2016
REVISTA_DE_AERONAUTICA_Y_ASTRONAUTICA_855
To see the actual publication please follow the link above