Introducción
¿Qué es Ingeniería Social?
¿Cómo se hace Ingeniería Social?

1. Suplantación de identidad o Phishing
2. Spear Phishing
3. Simple embaucamiento
4. Envío de archivos adjuntos en el correo electrónico
5. Recolección de hábitos de las víctimas potenciales
6. Revisión de desperdicios o basura
7. Vishing

¿Hasta dónde es ético hacer Ingeniería Social?
Proliferación de Redes Sociales y sus implicaciones en la Ingeniería Social
¿Cómo se evita la Ingeniería Social?
Conclusiones
Referencias

Realmente la Ingeniería Social no es una nueva disciplina ni nada por el estilo. Existe y se viene aplicando desde el principio de la humanidad.  Donde hay embaucadores y timadores, y donde hay incautos e ingenuos, hay Ingeniería Social. Es muy escuchada la expresión de “Todos los días sale un tonto a la calle.  El que lo agarre es de él.”

La idea de estas líneas es ofrecer una idea acerca de lo que es la Ingeniería Social, indicar cómo se lleva a cabo la Ingeniería Social, cómo se pueden evitar los ataques a través de la Ingeniería Social, las consecuencias de las apariciones de las llamadas Redes Sociales, y el discutir hasta dónde es ético hacer Ingeniería Social.

Una de las medidas más efectivas para contrarrestar las acciones de la Ingeniería Social, es el conocimiento. Por lo tanto, mientras más se conozca, mejor se estará preparado para no caer en las manos de los Ingenieros Sociales.

Pues esas personas han sido víctimas de la llamada “Ingeniería Social”.

Alvin Toffler

Alvin Toffler (en sus obras “La Tercera Ola” o “The Third Wave” y “Cambio de Poder” o “Powershift”, publicadas en 1980 y 1990 respectivamente) habla de las “Olas” o “Eras” de la humanidad, comenzando por la 1ra Ola, donde el poder descansa en quien tiene la fuerza (o grandes ejércitos). Con el advenimiento de la Revolución Industrial llega la 2da Ola, donde quien tiene dinero tiene el poder. En los tiempos modernos, en la llamada 3ra Ola, se dice que quien posee la información tiene el poder.

Y esto último se corrobora al ver que muchas de las personas influyentes actualmente, son personas ligadas a los medios de comunicación, donde precisamente la materia prima con la que trabajan en la información. Podemos citar por ejemplo a Bill Gates (EEUU), Carlos Slim (México), Ted Turner (EEUU), Silvio Berlusconi (Italia), entre otros.

Cambio del Poder a través de las Olas.

¿Y qué tiene que ver eso con la Ingeniería Social? ¿Qué es Ingeniería Social?

Se puede hacer una recopilación de varias definiciones que ayudará a dar una idea más amplia acerca de la “Ingeniería Social”:

• Técnica especializada o empírica del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían.[1]
• Es el conjunto de conocimientos y habilidades que se requieren para manipular a las personas de tal forma que lleven a cabo una acción que normalmente no harían.[2]
• Todo artilugio, tretas y técnicas más elaboradas a través del engaño de las personas en revelar contraseñas u otra información, más que la obtención de dicha información a través de las debilidades propias de una implementación y mantenimiento de un sistema.[3]
• Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.[4]
• Son técnicas basadas en engaños que se emplean para dirigir la conducta de una persona u obtener información sensible.[5]
• Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que ésta sé de cuenta de que está revelando “información sensible”.[6]

Haciendo un análisis, se puede apreciar, entre las definiciones presentadas hay una serie de elementos comunes, que se pueden identificar:

• La presencia de un “Ingeniero Social” o de la persona que busca la información
• La presencia de una persona incauta o inocente, que ofrece la información
• Herramientas, instrumentos y técnicas para encontrar la información
• Un objetivo definido que se pretende alcanzar (ya sea obtener lucro o perjudicar y causar daño)

Kevin Mitnick

Y precisamente, el terreno fértil para poder llevar a cabo una Ingeniería Social viene dado por algunos principios señalados por Kevin Mitnick [7], a la sazón uno de los llamados padres de de la Ingeniería Social:

•    Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
•    No nos gusta decir No.
•    A todos nos gusta que nos alaben.

Aparte de esos principios, se pueden identificar otros factores que ayudan al Ingeniero Social en su “labor”:

•    En sistemas de información o en redes, el eslabón más débil de la cadena siempre es el usuario
•    El miedo y la codicia
•    La inocencia y la credulidad

Ahora bien, ¿quiénes hacen Ingeniería Social?

En teoría cualquier persona, pero se han identificado varios grupos que llevan a cabo la actividad, como lo son:

• Detectives privados
• Miembros de organismos policiales y/o de inteligencia gubernamental o comercial
• Delincuentes organizados
• Hackers[i] y Crackers[ii] (delincuentes organizados, pero orientados hacia la Tecnología de Información)
• Personas curiosas que sientan el deseo de obtener información acerca de otras personas

Caricatura "Piso para Cuatro". (Haga clic para agrandar)

Algunas de las formas conocidas de hacer Ingeniería Social son:

1. Suplantación de identidad o Phishing
2. Spear Phishing
3. Simple embaucamiento
4. Envío de archivos adjuntos en el correo electrónico
5. Recolección de hábitos de las víctimas potenciales
6. Revisión de desperdicios o basura
7. Vishing

[i] Se dedican a entrar en cuentas y/o portales sin autorización, por la satisfacción de haberlo hecho, sin tener finalidad dañina o destructiva

[ii] Se dedican a alterar la información y realizar ataques a otros sistemas con una finalidad dañina o destructiva

De hecho, Kevin Mitnick se hizo famoso por su Phishing telefónico, con el cual pudo obtener información sensible de numerosos usuarios, mediante llamadas telefónicas realizadas.

Una de las primeras variantes del Phishing se conoce como “Estafa Nigeriana”, que a su vez tiene al menos cinco (5) tipos:

1.    La clásica estafa nigeriana o africana, en la que una supuesta autoridad gubernamental, bancaria o petrolera africana solicita al destinatario los datos de su cuenta bancaria con el objeto de transferir a ella grandes sumas de dinero que desean sacar del país, por supuesto a cambio de una sustanciosa comisión. Caso de aceptar y tras una serie de contactos por correo electrónico e incluso por fax o teléfono, en un momento dado se solicita al incauto algún desembolso con el que poder hacer frente a gastos inesperados e incluso sobornos. Por supuesto ni las cantidades adelantadas serán nunca restituidas, ni se recibirán jamás los beneficios prometidos.
2.    En el timo de la lotería, el mensaje indica que el destinatario ha obtenido un premio de la lotería, aún cuando no haya participado en sorteo alguno. A partir de aquí la mecánica es similar al caso anterior, tras sucesivos contactos se acaba solicitando algún tipo de desembolso al efecto de sufragar los gastos ocasionados por algún ineludible trámite.
3.    El Tío de América, consiste en un mensaje de correo electrónico en el que los supuestos albaceas de un desconocido y adinerado pariente anuncian su fallecimiento y notifican al destinatario su inclusión entre los beneficiarios del testamento. Como en los otros casos, en algún momento del proceso los timadores acabarán solicitando que el incauto afronte algún tipo de gasto. Es de reseñar que en este caso se utilizan técnicas de ingeniería social, ya que el apellido del difunto se hace coincidir con el del destinatario.
4.    El prisionero español o peruano. Este timo tiene un origen muy anterior a los previos, a comienzos del siglo XX. En esta versión, uno de los timadores, el confidente, contacta con la víctima para explicarle que está en contacto con una persona muy famosa e influyente que está encerrada en una cárcel española (o según versiones más modernas, de algún país africano) bajo una identidad falsa. No puede revelar su identidad para obtener su libertad, ya que esa acción tendría repercusiones muy graves, y le ha pedido al confidente que consiga suficiente dinero para pagar su defensa o fianza. El confidente ofrece a la víctima la oportunidad de aportar parte del dinero, a cambio de una recompensa extremadamente generosa cuando el prisionero salga libre. Sin embargo, una vez entregado el dinero, surgen más complicaciones que requieren más dinero, hasta que la víctima ya no puede o quiere aportar más. En ese momento se acaba el timo y el confidente desaparece.
5.    La venta del teléfono móvil (celular) en eBay. En este fraude, los timadores localizan a usuarios particulares de eBay que tengan a la venta teléfonos móviles. Ofrecen una puja muy alta en el último momento, ganando así la subasta. A continuación se ponen en contacto con el vendedor para explicarle que desean enviar el móvil a un supuesto hijo que está trabajando como misionero en Nigeria pero que el pago se efectúe mediante Paypal, por lo que necesitan conocer la cuenta del vendedor para depositar el dinero. A continuación envían un falso mensaje con las cabeceras falsificadas para que parezca que proviene de Paypal, confirmando que el pago se ha realizado. Si el vendedor intenta comprobarlo desde el enlace que se da en el mensaje será reenviado a una web falsa con la apariencia de ser de Paypal, donde se les explica que, por motivos de seguridad, el pago, aunque ha sido realizado, no será transferido a su cuenta hasta que no se realice el envío. Obviamente, si envía el móvil al comprador, nunca recibirá el dinero. [13]

Estafa Nigeriana. (Haga clic para agrandar)

Caricatura de Estafa Nigeriana (haz clic para agrandar)

A pesar de parecer un correo legítimo enviado por Yahoo!, la dirección no es la correcta.

También se presenta la modalidad de Lavado de Dinero mediante el Phishing.

Empresas ficticias reclutan teletrabajadores por medio de e-mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.

Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.

Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.

Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.[14]

Los Ingenieros Sociales gustan de usurpar o suplantar identidades en cuentas de correo ya existentes. Para eso se sirven de los llamados “xploits”, que no son más que portales que envían tarjetas postales (por ejemplo de Gusanito.com) a las víctimas potenciales, y que antes de ser leídas pide que se introduzca la contraseña de la cuenta de correo. Por supuesto que esa contraseña se le envía de regreso al Ingeniero Social, quien luego toma el control del buzón de correos respectivo.

Correo recibido, con direcciones modificadas de los enlaces salientes.

Xploit (Haga clic para agrandar)

Otra variante es el Phishing bancario, en el cual se envía un correo electrónico a las víctimas potenciales, solicitando que sean actualizados sus datos personales. Por supuesto que lo dirige a una dirección falsa, donde se capturan datos sensibles de la víctima que serán usados para vaciar sus cuentas bancarias.

Phishing Bancario (Haga clic para agrandar)

Phishing Bancario (Haga clic para agrandar)

Phishing Bancario. Nótese la dirección en la barra de navegación. (Haga clic para agrandar)

Phishing Bancario (Haga clic para agrandar)

El ya mencionado Phishing telefónico, que mediante la voz agradable de un hombre o mujer, que supuestamente pertenece al equipo de soporte técnico de nuestra empresa o de nuestro proveedor de tecnología, requiere telefónicamente de información para resolver un inconveniente detectado en nuestra red.

El “spear phishing” es una variante del Phishing,  Se traduce como “pesca de arpón” porque es un ataque de Phishing dirigido a un objetivo específico.

Los timadores de “spear phishing” envían mensajes de correo electrónico que parecen auténticos a todos los empleados o miembros de una determinada empresa, organismo, organización o grupo.

Podría parecer que el mensaje procede de un jefe o de un compañero que se dirige por correo electrónico a todo el personal (por ejemplo, el encargado de administrar los sistemas informáticos) y quizá incluya peticiones de nombres de usuario o contraseñas.

En realidad, lo que ocurre es que la información del remitente del correo electrónico ha sido falsificada. Mientras que las estafas de suplantación de identidad (phishing) tradicionales están diseñadas para robar datos de personas, el objetivo de las de “spear phishing” consiste en obtener acceso al sistema informático de una empresa.

Si responde con un nombre de usuario o una contraseña, o si hace clic en vínculos o abre datos adjuntos de un mensaje de correo electrónico, una ventana emergente o un sitio web desarrollado para una estafa de “spear phishing“, puede convertirse en víctima de un robo de datos de identidad y poner en peligro a su organización.

Las estafas de “spear phishing” también se dirigen a personas que utilizan un determinado producto o sitio web. Los timadores utilizan toda la información de que disponen para personalizar al máximo posible la estafa de suplantación de identidad (phishing). [15]

También puede usar el truco de la tarjeta de crédito atascada en el Cajero Automático para conocer el número de dicha tarjeta y la clave secreta.

Algo que ya se ha vuelto muy común en la actualidad es la clonación de tarjetas de crédito o de débito. Se debe tener mucho cuidado y no perder de vista la tarjeta con la que se vaya a cancelar alguna compra en cualquier establecimiento.

El Ingeniero Social le envía un correo electrónico a la víctima potencial con un  troyano adjunto, enviado por una persona que le es familiar o simplemente con un interesante título al destinatario como “es divertido, pruébalo”, “mira a Anita desnuda”, etc.

El Troyano no es más que un “programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona”.[17]

También puede enviar adjunto un capturador de teclas digitadas (keyloggers). “Un keylogger (deriva del inglés: Key (Tecla) y Logger (Registrador); registrador de teclas) es una herramienta de diagnóstico utilizada en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.”[18]

El Ingeniero Social crea perfiles ficticios y se infiltra en Redes Sociales o en Servicios de Mensajería, para poder recolectar información acerca de los hábitos de las víctimas potenciales. ¿Qué hombre se puede resistir al encanto de una escultural modelo que nos envía su sensual foto y que quiere ser nuestra amiga? Un adolescente que no reciba la atención requerida por parte de sus padres puede conseguir un “amigo incondicional” en línea, a quien le cuente todo lo que le pasa y todo lo que hace.

Son incontables los casos de secuestros y robos que se han hecho, al levantar la información necesaria obtenida de manera fácil gracias a la ingenuidad y falta de malicia de las víctimas.

Qué son Redes Sociales. Vía Tecnología al Día.

No se debe regalar información a extraños. Vía Cryptex.

Revisar los desperdicios y la basura (“trashing” en inglés), es otro método popular que aplica la Ingeniería Social. Una gran cantidad de información puede ser recogida desde los colectores de desperdicios de las empresas. El “Lan Times”[19] elaboró una lista con los artículos echados en la basura que pueden representar una potencial fuga de información: libretas telefónicas, organigramas, memorandas, manuales de procedimientos, calendarios (de reuniones, eventos y vacaciones), manuales de operación de sistemas, reportes con información sensible o con las cuentas de usuarios y sus contraseñas, códigos fuentes, discos flexibles o duros, formatos con membretes y hardware obsoleto.

Estas fuentes pueden proveer de una inagotable fuente de información para un Ingeniero Social. Las libretas telefónicas le suministran los nombres y números telefónicas de potenciales víctimas o de personas por las que se puede hacer pasar. Los organigramas contienen información acerca de las personas que están en posiciones de autoridad en la organización. Los memorandas proveen de información rutinaria que puede ser usada para aparentar autenticidad. Los manuales de procedimientos muestran cuán segura (o insegura) es la organización. Los calendarios son muy provechosos, ya que muestran cuándo los empleados van a encontrarse fuera de la ciudad. Los manuales de operación de sistemas, los reportes con información sensible y otro tipo de información técnica le dan al Ingeniero Social las herramientas para entrar a la red. Finalmente,  el hardware obsoleto y los discos pueden contener información susceptible de ser recuperada.