Envío de archivos adjuntos en el correo electrónico

El Ingeniero Social le envía un correo electrónico a la víctima potencial con un  troyano adjunto, enviado por una persona que le es familiar o simplemente con un interesante título al destinatario como “es divertido, pruébalo”, “mira a Anita desnuda”, etc.

El Troyano no es más que un “programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona”.[17]

También puede enviar adjunto un capturador de teclas digitadas (keyloggers). “Un keylogger (deriva del inglés: Key (Tecla) y Logger (Registrador); registrador de teclas) es una herramienta de diagnóstico utilizada en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet.”[18]

Recolección de hábitos de las víctimas potenciales

El Ingeniero Social crea perfiles ficticios y se infiltra en Redes Sociales o en Servicios de Mensajería, para poder recolectar información acerca de los hábitos de las víctimas potenciales. ¿Qué hombre se puede resistir al encanto de una escultural modelo que nos envía su sensual foto y que quiere ser nuestra amiga? Un adolescente que no reciba la atención requerida por parte de sus padres puede conseguir un “amigo incondicional” en línea, a quien le cuente todo lo que le pasa y todo lo que hace.

Son incontables los casos de secuestros y robos que se han hecho, al levantar la información necesaria obtenida de manera fácil gracias a la ingenuidad y falta de malicia de las víctimas.

---

Material complementario:

Qué son Redes Sociales. Vía Tecnología al Día.

No se debe regalar información a extraños. Vía Cryptex.

Revisión de desperdicios o basura

Revisar los desperdicios y la basura (“trashing” en inglés), es otro método popular que aplica la Ingeniería Social. Una gran cantidad de información puede ser recogida desde los colectores de desperdicios de las empresas. El “Lan Times”[19] elaboró una lista con los artículos echados en la basura que pueden representar una potencial fuga de información: libretas telefónicas, organigramas, memorandas, manuales de procedimientos, calendarios (de reuniones, eventos y vacaciones), manuales de operación de sistemas, reportes con información sensible o con las cuentas de usuarios y sus contraseñas, códigos fuentes, discos flexibles o duros, formatos con membretes y hardware obsoleto.

Estas fuentes pueden proveer de una inagotable fuente de información para un Ingeniero Social. Las libretas telefónicas le suministran los nombres y números telefónicas de potenciales víctimas o de personas por las que se puede hacer pasar. Los organigramas contienen información acerca de las personas que están en posiciones de autoridad en la organización. Los memorandas proveen de información rutinaria que puede ser usada para aparentar autenticidad. Los manuales de procedimientos muestran cuán segura (o insegura) es la organización. Los calendarios son muy provechosos, ya que muestran cuándo los empleados van a encontrarse fuera de la ciudad. Los manuales de operación de sistemas, los reportes con información sensible y otro tipo de información técnica le dan al Ingeniero Social las herramientas para entrar a la red. Finalmente,  el hardware obsoleto y los discos pueden contener información susceptible de ser recuperada.

Vishing

Una llamada para avisar que tu tarjeta se usa sin tu consentimiento puede significar una estafa. Imagina esta situación. Estás en casa viendo una película cuando recibes una llamada para avisarte que se realizaron cargos no autorizados a tu tarjeta bancaria, te dan un número telefónico para que corrobores tus datos y cuando marcas te contesta una grabación pidiendo que marques tu número de tarjeta, fecha de vencimiento y código de seguridad… Antes de hacerlo debes tener cuidado, ya que te convertirías en una víctima de fraude.
En un comunicado, la Comisión Nacionacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) de México, advirtió que existe una nueva modalidad de fraude para el robo de datos conocida como “Vishing”, un término que combina ‘voz’ y ‘phishing’. La práctica consiste en un protocolo de voz e ingeniería social para obtener información de una persona que pudiera ser estafada.  Los cibercriminales utilizan un sistema de mensajes pregrabados o una persona que llama para solicitar, en muchos casos, información financiera personal.
Recuerden que los bancos y las tarjetas de crédito jamás envían correos ni realizan llamadas telefónicas solicitando números de tarjeta, ni confirmación o actualización de datos.

Vía Alta Densidad

¿Hasta dónde es ético hacer Ingeniería Social?

Como todo en esta vida, es muy fácil justificar las razones por las cuales se puede llevar a cabo la Ingeniería Social.

Los detectives privados dirán que es la manera de ganarse la vida, obteniendo la información requerida por sus clientes. Los Miembros de los Organismos Policiales o de Inteligencia Gubernamental dirán que es necesario hacerlo para mantener o preservar la Seguridad de Estado. Los Miembros de la Inteligencia Comercial harán ver que es para la sobrevivencia de su compañía o empresa. Por supuesto que los Delincuentes Organizados hacen del delito su vida, y también es su manera de ganarse la vida. Los Hackers justifican sus acciones con el orgullo de haber obtenido la información que está restringida para la mayoría de los mortales. Y quizás los curiosos vean en la Ingeniería Social una manera “inofensiva” de llevar a cabo un pasatiempo.

Ahora bien, ¿es ético hurgar en Internet la información acerca de las demás personas, y tomar sus imágenes sin estar autorizados para ello? ¿Hasta qué punto nuestra información circula libremente en Internet?

Todo ello dependerá de los valores éticos y morales que cada quien posea.  Es difícil a veces trazar la delimitación entre lo ético y lo que no es ético.

Proliferación de Redes Sociales

A menudo se escucha decir “quien no está en Internet, no es conocido”.

De hecho, por mero ejercicio, pueden introducir su nombre en cualquier buscador de Internet, y quizás se sorprendan al ver los resultados de la búsqueda. Desde aparecer en una lista de graduandos de un Colegio, Liceo o Universidad, hasta aparecer en la demanda de divorcio, o en el acta de nacimiento del hijo. Quizás se le otorgó algún reconocimiento y la reseña del acto se publicó en alguna página web.

“Google es el principal motor de búsqueda de la red, dispone de información privada de millones de usuarios al gestionar uno de los servicios punteros de correo electrónico como es Gmail, conoce nuestras preferencias en lo que a consumo de información se refiere mediante otro servicio de gran implantación como es iGoogle el cual permite configurar a medida nuestra página de inicio.

Por si lo anterior no le parece suficiente, Google es propietario de uno de los principales, si no el principal, servicio de gestión de feeds como es Feedburner , de la principal herramienta de análisis de tráfico web Google Analitycs, de la mayor red de distribución de anuncios Adsense / Adwords y de Google Toolbar la barra mas de monitorización de tráfico mas extendida.

No hay que olvidar que también es dueña del principal servicio de alojamiento de contenido vídeo, el cada vez mas influyente You Tube, como está demostrando la actual campaña presidencial de los EE.UU.”[20]

Se escuchan expresiones refiriéndose al “Dios Google”[21], omnisciente y que todo lo sabe en la red. Otros dicen que estamos entrando en una era “orwelliana”[22] o en una era donde está presente el “Hermano Mayor” (o Big Brother) que todo lo ve y todo lo regula.

Y si se añade la proliferación de las llamadas Redes Sociales, pues se puede notar que cada día se sube más y más información personal que estará disponible para quien la pueda obtener.

Las Redes Sociales en Internet han surgido como sitios de reunión en línea, donde las personas se afilian al portal de su preferencia, y comparten experiencias, fotos, videos, chats y juegos, entre otros.  A partir del año 2003 surgen sitios como “Friendster”[23], “My Space”[24] y “Tribe”[25], que le abren el camino a otros sitios muy conocidos hoy en día, tales como Facebook[26], Badoo[27], Linkedin[28], Orkut[29], y otros más.[30]

Las herramientas que proporcionan en general las redes sociales en Internet son[31]:

• Actualización automática de la libreta de direcciones
• Perfiles visibles
• Capacidad de crear nuevos enlaces mediante servicios de presentación y otras maneras de conexión social en línea.

Y precisamente, son esos perfiles visibles los que permiten que se comparta la información personal, hasta de manera inadvertida por los propios usuarios.

Al aceptarse un “amigo”, éste tiene acceso a los datos relacionados con lugar y fecha de nacimiento (y edad), dirección actual, lugar de estudio o de trabajo, familiares (ascendentes, descendentes, cónyuges), inmuebles y/o vehículos que posee, lugares donde pasa vacaciones, lugares donde acude a comer o a bailar, o sencillamente a tomar un trago, y en fin,  toda la información que le permitiría a un buen Ingeniero Social determinar si la persona es embaucable, o peor aún, si es secuestrable.

Entonces, si está de moda pertenecer a una Red Social, no podemos hacer caso omiso a esa tendencia tecnológica moderna (hasta mi mamá está en Facebook).

Las Redes Sociales son minas de información para un Ingeniero Social. Lo que no se debe hacer es ponerle al Ingeniero Social nuestra información en bandeja de plata.

---

[22] Por el escritor George Orwell

---

Material complementario:

Qué son Redes Sociales. Vía Tecnología al Día.

No se debe regalar información a extraños. Vía Cryptex.

¿Cómo se evita la Ingeniería Social?

“Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos.”

Kevin Mitnick.

La Ingeniería Social se orienta hacia las personas con menos conocimientos, dado que los argumentos y otros factores de influencia tienen que ser construidos generando una situación creíble que la persona ejecute.

La principal defensa contra la Ingeniería Social es educar y entrenar a los usuarios en la aplicación de políticas de seguridad y asegurarse de que éstas sean seguidas.

• Educar a las personas, en concreto a las personas que trabajan cerca de las terminales, desde los operarios, hasta personal de limpieza.
• Antes de abrir los correos analizarlos con un antivirus eficaz y debidamente actualizado, ya que cualquier mensaje de correo electrónico puede contener códigos maliciosos aunque no le acompañe el símbolo de datos adjuntos.
• Nunca ejecutar un programa de procedencia desconocida, aun cuando previamente sea verificado que no contiene virus. Dicho programa puede contener un troyano o un sniffer que reenvíe nuestra clave de acceso.
• No informar telefónicamente de las características técnicas de la red, ni nombre de personal a cargo, etc. En su lugar lo propio es remitirlos directamente al responsable del sistema.
• Asegurar un control de acceso físico al sitio donde se encuentra los ordenadores.
• Establecer políticas de seguridad a nivel de Sistema Operativo.
• Los usuarios no necesitan tener acceso a todo tipo de ficheros ya que no todos son necesarios para su trabajo habitual, por ello puede ser conveniente por parte del administrador bloquear la entrada de ficheros con extensiones “.exe”,”.vbs”, etc.
• Nunca tirar documentación técnica ni sensible a la basura, sino destruirla.
• No revelar información personal por correo electrónico ni en línea a menos que sepa por qué motivo debe hacerlo y conozca a su interlocutor. Asegúrese además de que se encuentra en un entorno seguro: es esencial para ayudarle a evitar cualquier tipo de ataque.
• Verificar previamente la veracidad de la fuente que solicite cualquier información sobre la red, su localización en tiempo y espacio y las personas que se encuentran al frente de la misma.
• En caso de existir, instalar los parches de actualización de software que publican las compañías para solucionar vulnerabilidades. De esta manera se puede hacer frente a los efectos que puede provocar la ejecución de archivos con códigos maliciosos.
• No colocar datos personales completos, ni profusión de imágenes en los portales de las Redes Sociales
• Restringir la privacidad de los perfiles en las Redes Sociales, para sólo puedan ser vistos por los amigos
• Antes de aceptar un amigo en una Red Social, confirmar que es real, que es conocido, y que es de fiar.
• Utilizar contraseñas seguras, evitando fechas de nacimiento, nombres propios, nombres de los hijos(as) o de las mascotas, nombres de los cónyuges,
• Evitar en lo posible el uso de redes peer-to-peer o P2P (redes para compartir archivos) como eMule, Kazaa, Limewire, Ares, Imesh o Gnutella porque generalmente están desprotegidos de troyanos y virus en general y éstos se expanden utilizándolas libremente para alcanzar a nuevos usuarios a los que infectar de forma especialmente sencilla.