Cómo protegerse del ingeniero social: consejos y técnicas para evitar ser manipulado.

Todos tenemos imágenes estereotipadas del hacker. Esa persona pálida, con sobrepeso, súper geek y con pocas habilidades sociales y pobre higiene. Son los jóvenes que imaginamos tecleando en sus teclados hasta altas horas de la madrugada intentando descifrar tus códigos, romper tus cifrados y derribar tus servidores. Los estereotipos no nos benefician en nada, y tu línea de defensa contra ellos es aún peor.

Índice de Contenido
  1. Stereotipos de hackers
    1. Socio-Crackers
    2. Techno-Crackers
    3. Politico-Crackers
  2. ¿Qué es la ingeniería social?
  3. Las tácticas de su oficio
  4. Cómo evitarlo
    1. Políticas
    2. Paranoia
    3. Verificación
    4. Entrenamiento
  5. Conclusión

Stereotipos de hackers

Los verdaderos crackers (usaremos este término en lugar del más aceptado socialmente "hacker") tienen un conjunto de habilidades aún más peligroso que un conocimiento divino de TCP/IP, root kit y una suscripción a 2600. La mayoría de los crackers se dividen en tres categorías: Socio-Crackers, Techno-Crackers o Politico-Crackers.

Socio-Crackers

Estos hackers hacen lo que hacen por el reconocimiento de sus pares. Es una guerra territorial en el mundo .com y todos quieren ser élite. Los ataques que realiza este grupo son relativamente comunes, desde la desfiguración (o el derribo) de sitios web hasta ataques destinados a avergonzar a sus compañeros o personas destacadas.

Techno-Crackers

Estos hackers hacen lo que hacen porque se sienten tecnológicamente superiores al resto. A menudo, los hackers de la categoría social pretenden ser miembros de la categoría tecnológica, pero solo porque todos los demás lo son (eso es una broma, ya ves). Los ataques de este grupo son filosóficamente diferentes a los de la primera categoría. En lugar de ser motivados por sus pares, estos crackers están motivados por un deseo ardiente de avanzar en la tecnología. Buenos ejemplos de este grupo son aquellos que hackean sistemas de seguridad militar (o software de Microsoft) para mostrar vulnerabilidades en sistemas considerados seguros.

Politico-Crackers

Esta categoría es posiblemente la más peligrosa. Son grupos de personas que se levantan para luchar contra dificultades políticas u opresión y lo hacen con los únicos medios que tienen: la tecnología. Un ejemplo reciente de esta categoría sería la retaliación china contra Estados Unidos por el incidente del avión espía estadounidense.

Si alguno de los grupos anteriores encaja en el estereotipo, sería el primero. Pero incluso en ese caso, hay una remota posibilidad de que tu sitio de comercio electrónico (el que acaba de quedar inutilizable) haya sido derribado por un prodigio de la tecnología de 15 años llamado Melvin. Lo más probable es que haya sido un ingeniero social.

Actualizaciones semanales de parches y virus para Windows

¿Qué es la ingeniería social?

Sencillamente, la ingeniería social es la capacidad de manipular a la sociedad (o a sus miembros) para obtener lo que deseas. Los ingenieros sociales no trabajan desde el exterior, ni desde el interior, trabajan desde la periferia.

En la película "Hackers" del año 1995, hay una escena simple en la que el protagonista, Crash Override, llama a un oficial de seguridad de una compañía y se hace pasar por un ejecutivo importante que necesita recuperar un archivo de su computadora de oficina. Para hacerlo, el ejecutivo necesita el número de teléfono del módem para ingresar. El guardia de seguridad, que ni siquiera tiene conocimientos básicos de tecnología, le da a Crash Override el número de teléfono, dándole acceso gratuito a la red interna.

Esto fue en Hollywood y en la época de ideas tecnológicas de principios y mediados de los años 90. Sin embargo, ilustra una debilidad muy común en las políticas de seguridad de una empresa, los empleados. Las personas son maleables, especialmente en manos hábiles del ingeniero social.

Los ingenieros sociales son personas rápidas de pensamiento y habilidosas para manipular a quienes intentan engañar. Toma, por ejemplo, al artista del cambio justo. Una vez estaba trabajando en una tienda minorista de software cuando fui completamente engañado por un artista del cambio justo. Al principio, simplemente quería comprar un paquete de baterías, luego quería cambiar un billete de veinte, y al final me faltaban $180 en el cajón. Soy un actor profesionalmente entrenado con años de experiencia en comunicación e improvisación, ¡pero este hombre que se comunicaba como si apenas tuviera educación secundaria me manipuló para que le diera $182 de cambio por una compra de $2! No lo vi venir y tampoco lo harán usted o sus empleados.

Las tácticas de su oficio

Una de las formas más comunes en que un ingeniero social obtendrá acceso a cosas que no debería tener es mediante el uso de "autoridad adoptada". Simplemente convenciendo a la víctima de que él o ella es alguien de autoridad (dentro de una corporación, soporte técnico, policía local o incluso el FBI), un hacker obtiene acceso instantáneo (y fácil) a datos confidenciales.

La autoridad adoptada también se puede lograr a través de correo electrónico o grupos de correo donde el hacker, una vez más, se hace pasar por soporte técnico (u otro puesto de autoridad). Al enviar una advertencia de seguridad por correo electrónico, con instrucciones cuidadosamente redactadas que ayudan a obtener acceso a sistemas, a un grupo de noticias o al personal de TI de una empresa, el hacker ni siquiera necesita mostrar una insignia de autoridad para manipular a las víctimas y obtener lo que necesita.

Cómo instalar y configurar Snort en un sistema Linux para la detección de intrusiones

Otra herramienta del ingeniero social es la suplantación de identidad. Aunque generalmente reservada para Hollywood, también ocurre en la realidad. Por supuesto, esta forma de suplantación de identidad no implica un disfraz físico tipo James Bond; generalmente ocurre en forma de correo electrónico. Un hacker con suficientes habilidades puede falsificar direcciones de correo electrónico con bastante facilidad. Todos hemos visto el correo electrónico estándar de Bill Gates prometiendo miles de dólares a todos los que reenvíen el correo electrónico a todos en su bandeja de entrada. La dirección de origen parece legítima ([email protected]), pero piénsalo, ¿qué posibilidades hay de que el Sr. Gates realmente envíe un correo electrónico como este? Este es un ejemplo (aunque pobre) de falsificación de identidad. Imagina que eres un empleado corporativo con una cuenta de usuario y una contraseña en la red de la compañía, y recibes un correo electrónico que aparentemente es del CEO de la empresa, que te pide que envíes tu nombre de usuario y contraseña porque él o ella no puede ingresar a la red. ¿Podría suceder? Claro que sí. ¿Deberías responder con tu nombre de usuario y contraseña? ¡De ninguna manera! Si lo haces, es muy probable que hayas sido víctima de ingeniería social.

Las amenazas o las ganancias personales también son tácticas utilizadas por los ingenieros sociales. En el pasado, este tipo de ingeniería era menos probable, pero con el aumento de la violencia en la sociedad actual, son bastante posibles. Este tipo de ingeniería no siempre se clasifica como amenazante, por supuesto. Por ejemplo, un supuesto miembro del departamento de nómina que necesita tu número de Seguro Social porque el sistema está fuera de servicio y sin ese número tu cheque no se procesará a tiempo. ¿Con qué frecuencia cuestionarías a contabilidad, especialmente cuando tu cheque está en juego?

Hacer que te compadezcas del ingeniero social es una de las tácticas más sucias, pero más exitosas, del oficio. Un "nuevo" empleado ingresa al departamento de TI diciendo que recién comenzó y que ya tiene plazos, pero el jefe se ha ido por el día y el empleado no tiene acceso a la red. Cualquier miembro del personal de TI con corazón puede estar inclinado a crear esa cuenta y ponerla en funcionamiento, sin saber que acaba de abrir la caja fuerte para el viejo y astuto Louie.

Cómo evitarlo

Por lo que parece, debes entrenar a tus usuarios para que sean empleados insensibles y despiadados que no estén dispuestos a compartir información. Pero no es así. Hay algunas pautas muy simples que te ayudarán a mantener alejadas a aquellas personas que no deberían estar.

Políticas

No me refiero a listas de acceso ni a iptables. Me refiero a las políticas corporativas. Aunque a menudo se consideran improductivas y poco amigables, desarrollar un conjunto sólido de reglas que dicten quién tiene acceso a qué y cuánto acceso tiene cada empleado tomará tiempo y tolerancia, pero al final tendrás ingenieros sociales intentando obtener información de personas que simplemente no saben.

Hablando de políticas, ¡necesitas tenerlas! Contratar nuevos empleados debe implicar un riguroso papeleo y entrada de datos que haga que todo el personal esté consciente de su nuevo estado. Claro, el papeleo es una molestia, pero también puede salvarte y protegerte de la responsabilidad.

Tipos de autenticación en seguridad informática y redes

Paranoia

Un método muy simple de precaución es simplemente ser paranoico. Asume la política de "solo obtienes lo que necesitas para hacer lo que necesitas hacer" y no te desvíes. Asuma que las personas quieren lo que tienes y no se lo ofrezcas. Puede parecer un poco extremo y exagerado, pero al final, te salvará la piel.

Si un empleado es despedido de su puesto, asume que podría usar lo que sabe para vengarse de la compañía. Aunque puede causar más trabajo del que te gustaría, cambia las direcciones IP y las contraseñas cuando un empleado se va. Nunca asumas que el único nombre de inicio de sesión y contraseña que el empleado conocía era el suyo. Si un ex empleado tenía acceso a una base de datos o servidor de archivos, cambia las contraseñas administrativas y comunes de los servidores sospechosos. Agrega políticas de seguridad que impidan que la cuenta de correo electrónico personal del ex empleado tenga acceso a tu red interna y a la VPN.

Verificación

Otra técnica es la verificación. Esto se puede hacer de muchas formas y en todos los niveles. Desde identificaciones hasta documentos y certificados digitales, en esta era puedes verificar cualquier cosa que desees. Si alguien necesita acceso a algo, asegúrate de que tenga documentos que indiquen que debería tener acceso. Si alguien se acerca a ti diciendo que es nuevo en la empresa, ¡verifica que sea empleado de hecho! No asumas nada.

Entrenamiento

Finalmente, uno de los métodos más importantes para proteger tu empresa/personal/red contra la ingeniería social es el entrenamiento. Toma a nuestro hombre de seguridad favorito de "Hackers". El pobre hombre no tenía idea de lo que estaba sucediendo (ni siquiera sabía qué era un módem) y no tenía forma de saber que le estaba brindando acceso a un cracker de élite. Si este hombre hubiera sido entrenado adecuadamente y conociera las consecuencias de proporcionar esa información, es muy probable que no la hubiera proporcionado.

Aunque no es el uso más productivo del tiempo, enviar correos electrónicos corporativos masivos recordando a los empleados las políticas de red y computadora son buenas ideas. Informa a los usuarios sobre lo que pueden y no pueden hacer. Dales consejos semanales sobre redes y seguridad de la red. No solo se beneficiarán ellos, tú también lo harás.

Conclusión

No es posible cubrir cada microsegundo de tiempo o cada micrómetro de espacio en la industria de TI. La seguridad es un riesgo que todos conocemos y que estamos aprendiendo a odiar. Probamos firewalls, protocolos y leyes, pero parece que la contracultura siempre tiene un contraataque.

Cómo configurar un firewall en Linux de forma rápida y sencilla con Lokkit

Eres paranoico, y deberías serlo. Alguien en algún lugar quiere lo que tienes y no se detendrá ante nada para obtenerlo. Para detener a un ladrón, a veces tienes que pensar como un ladrón. Aunque a menudo es mal visto, echa un vistazo a la revista de hackers/crackers/phreakers 2600. Desde aquí puedes obtener una idea de la mente del ingeniero social y encontrarás un paso por delante de aquellos que intentan derribarte.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo protegerse del ingeniero social: consejos y técnicas para evitar ser manipulado. , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.