Ingeniería social
From Hack Story
Con el término ingeniería social se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.
No existe una limitación en cuanto al tipo de información y tampoco en la utilización posterior de la información obtenida. Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin embargo, el origen del término tiene que ver con las actividades de obtención de información de tipo técnico utilizadas por hackers.
Un hecho importante es que el acto de ingeniería social acaba en el momento en que se ha conseguido la información buscada. Las acciones que esa información pueda facilitar o favorecer no se enmarcan bajo este término. En muchos casos los ingenieros sociales no tocan un ordenador ni acceden a sistemas, pero sin su colaboración otros no tendrían la posibilidad de hacerlo.
Contents |
¿Por qué el "caballo de Troya" no es Ingeniería Social?
Existe una tendencia que trata la ingeniería social como una forma de engaño, equiparable al caballo de Troya o a cualquier forma de timo, como el de la estampita.
Tendremos en cuenta 2 factores al respecto: en primer lugar, en el caso de la IS puede no haber engaño de ningún tipo. Una persona le pide a otra su contraseña o cualquier otra información en un entorno de confianza y la otra se la da sin presión ni engaño alguno. Luego el mito de que la IS se basa en un engaño, no es correcto en todos los casos.
Y segundo: suele existir un componente técnico o tecnológico. El timo de la estampita y la ingeniería social no tienen mucho que ver porque ésta se basa en amplios conocimientos de psicología aplicada y de las tecnologías sobre las que se quiere obtener información.
Por ejemplo: en el mundo del underground, de los hackers, las relaciones se basan en el respeto. Son mundos bastante cerrados de gente que en algunos casos pueden realizar actividades ilegales. Para poder acceder a él hay que tener tantos conocimientos como ellos y así ser considerado como un "igual". Además deberán aportarse conocimientos a compartir que de forma clara permitan ganarse el respeto de estos grupos. Sólo de esta forma se tendrá acceso a determinadas informaciones.
Esto mismo ocurre en el mundo de las empresas de alta tecnología en las que se desarrollan proyectos reservados, donde la calificación técnica necesaria para entender la información que se quiere obtener es muy alta. Las operaciones de ingeniería social de este nivel pueden llevar meses de cuidada planificación y de evaluación de muchos parámetros, van más allá de una actuación puntual basada en una llamada con más o menos gracia o picardía.
Muchas veces, el Ingeniero Social simplemente observa el entorno y aprovecha datos que están a la vista cuando el sentido común indica que deberían guardarse en un lugar seguro. Es el caso de un servidor de una delegación de la Agencia Tributaria española cuya contraseña está puesta en un “post-it” en su pantalla. Sólo hay que tener capacidad de observación de este tipo de detalles.
¿Qué tiene que ver la Ingeniería Social con la seguridad informática?
La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:
- Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
- La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
- La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias.
- El control del acceso físico a los sistemas.
- La elección de un hardware y de un software que no de problemas.
- La correcta formación de los usuarios del sistema.
- El desarrollo de planes de contingencia.
Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.
Técnicas de Ingeniería Social
Tres tipos, según el nivel de interacción del ingeniero social:
- Técnicas Pasivas:
- Observación
- Técnicas no presenciales:
- Recuperar la contraseña
- Ingeniería Social y Mail
- IRC u otros chats
- Teléfono
- Carta y fax
- Técnicas presenciales no agresivas:
- Buscando en La basura
- Mirando por encima del hombro
- Seguimiento de personas y vehículos
- Vigilancia de Edificios
- Inducción
- Entrada en Hospitales
- Acreditaciones
- Ingeniería social en situaciones de crisis
- Ingeniería social en aviones y trenes de alta velocidad
- Agendas y teléfonos móviles
- Desinformación
- Métodos agresivos
- Suplantación de personalidad
- Chantaje o extorsión
- Despersonalización
- Presión psicológica
Cuándo nace la Ingeniería Social en España
Corre el año 1986/87, se empiezan a instalar algunos sistemas BBS en Madrid, Barcelona, Zaragoza. No había acceso a Internet mas allá de las universidades (en estas sólo el profesorado tenía acceso, es el nacimiento de RedIris) y de las conexiones UUCP que, más tarde, montaría la compañía Goya Servicios Telemáticos y que eran carísimas para la mayoría de usuarios. No existía Web, únicamente News, Mail y los protocolos de búsqueda de información tipo gopher o archie. Los servidores estaban instalados sobre todo en USA.
Lo que uno podía encontrar en una BBS de aquella época eran ficheros agrupados por temas y mensajes que corrían de unos usuarios a otros, utilizando la base de lo que después sería la red Fidonet u otras basadas en la misma tecnología.
En estas redes, las llamadas entre los nodos las realizaban usuarios "mecenas" que corrían con el precio de esas llamadas. Los módems eran muy lentos, 1200 o 2400 bps. los mas rápidos, y las llamadas eran muy caras. Esto tenía como consecuencia que un usuario no pudiera bajarse toda la información que quería ni conectarse a demasiadas BBS, so pena de arruinarse con la factura del teléfono... o arruinar a sus padres.
Así las cosas, era difícil compartir información propia con otros usuarios y más aún conseguir información técnica interesante que sí se podía encontrar en otros lugares de Europa y Estados Unidos. Los grupos de hackers buscaban formas de abaratar las llamadas de teléfono y conectarse a otros lugares. En su mayoría menores con edades entre los 11 y los 20 años, no disponían de más ingresos que la paga del domingo.
El phreaking era casi una necesidad y había en nuestro país verdaderos magos del sistema telefónico que proveían de "soluciones" para que los demás pudieran pasar el mayor tiempo posible conectados con el menor coste. Es importante entender que si un usuario español deseaba una información de una BBS finlandesa, debía llamar a Finlandia y conectarse a dicha BBS, ya que no había redes que compartieran la información de las BBS del Underground.
Se utilizaban muchas técnicas para no pagar las llamadas, desde el uso de "blue box", que eran útiles cuando el sistema de tarificación emitía para su control tonos en la "banda vocal", esto es, en la que se transmitía la voz, hasta accesos a través de sistemas PAD (Packet Assembler Dissasembler).
Sistemas casi siempre de grandes compañías que permitían, desde una conexión de teléfono normal, conectarse a redes de paquetes como la española X.25 y a los que se accedía desde números 900 (¿Cuántos hackers de la época utilizaron el famoso PAD de la Shell Oil?) y también números de tarjetas de teléfono americanas, las llamadas “callings cards” de MCI o de AT&T, que se conseguían de forma más o menos ilegal.
Virgin Boy era un danés que, con sus 15 años, había descifrado el algoritmo de creación de los códigos de 14 dígitos de las tarjetas de AT&T y se dedicó durante años a vender dichos números al módico precio de 100 dólares USA, hasta que desapareció de las redes hacia el año 1995.
En muchos casos, para conseguir informaciones de cómo utilizar ciertas funcionalidades de una central de telefónica, o el acceso a una red, era necesario el uso de ingeniería social. Así, algunos hackers comenzaron a especializarse en esas tareas. El abanico de posibilidades se multiplicó: no sólo el sistema telefónico sinó las configuraciones de servidores, contraseñas de sistemas, datos de compañías empezaron a ser objetivo de los ingenieros sociales, que al facilitárselos a otros hackers les facilitaban en mucho sus tareas, ya que se podían dedicar a lo que realmente les interesaba, aprender sistemas.
Son los tiempos en los que nacen !Hispahack, Apòstols, AFL, KhK Conspiradores y muchos otros grupos ya extinguidos. En cada uno de ellos hay por lo menos un experto en ingeniería social, o bien buscan a especialistas en esta materia para temas concretos.
Esto supone un importante cambio sociológico pues los hackers son, en su mayoría, autodidactas que han aprendido muchísimo en la soledad de su habitación, leyendo manuales, conectándose a lugares de los que aprendían; sin embargo, es cuando comienzan a trabajar en equipo cuando sus logros se hacen mas importantes y, aunque existe el celo por la información, dentro del grupo esta se comparte de una manera fluida.
Se produce un fenómeno interesante a este respecto: la práctica de técnicas de ingeniería social para conseguir información de otros grupos de hackers.
Estos grupos crecían de 2 formas: la primera porque los componentes estaban en la misma ciudad o eran usuarios de la misma BBS y, en reuniones de usuarios de las BBS, se conocían hablando de sus temas favoritos y se ponían a trabajar juntos.
La otra era cuando en alguno de esos grupos se te invitaba a entrar porque habían leído un documento escrito por ti en alguna BBS, o algún mensaje dejado en las áreas de hackers que estaban abiertas a todo el mundo. En casi todas las BBS se abrían áreas ocultas sólo para un grupo determinado de usuarios y otras abiertas que servían un poco como cantera o filtro.[1]
Algunos ingenieros sociales españoles
Notas
- ↑ Ingeniería Social 1.0. LeStEr ThE TeAcHeR
Enlaces externos
- Ingeniería Social. Adrián Ramírez.
- Ingeniería Social: Mentiras en la red. Mercè Molist.
- Ingeniería social (Seguridad informática). Wikipedia.
- social engineering. Jargon File.