La ingeniería social es muy utilizada hoy en día por los ciberdelincuentes, ya que es realmente efectiva explotando vulnerabilidades y no estamos hablando de servicios y sistemas operativos, sino de algo mucho más importante: “vulnerabilidades humanas”.
Definición
El origen del término Ingeniería Social se remonta a fines del siglo 19, y dista mucho de lo que hoy conocemos como tal, desde entonces podemos encontrar varias definiciones del mismo. En nuestras charlas y seminarios nos gusta definirlo como: “ El Arte de Engañar al Usuario” o “ Human Hacking”, si bien lo acotamos únicamente al mundo IT, a lo largo de esta serie de posts vamos a poder apreciar que es utilizada en muchos otros entornos, tanto para el bien como para el mal.
Ya entrando en una definición un poco más formal, esta sería una de las más adecuadas:
“La ingeniería Social puede definirse como un conjunto de técnicas utilizadas para lograr que una persona, o un grupo de personas, tome una acción. Esta acción puede estar, o no, en contra de sus mejores intereses”.
Ciclo de Ataque
Todo buen Ingeniero Social seguirá una metodología, ya que la misma le dará un mayor porcentaje de éxito y para ello podrá apoyarse en las distintas fases dentro del siguiente ciclo de ataque:
- Recolección de la información
- Desarrollo de la relación
- Explotación de la relación
- Ejecución para lograr el objetivo
A continuación, detallamos cada una de dichas fases:
Recolección de la Información
Tal como dijo alguna vez Chris Hadnagy (escritor, instructor y Chief Human Hacker en Social-Engineer.com): “ Un Ingeniero Social es tan bueno como la información que tiene o que puede conseguir”.
La búsqueda de información es tan importante que se estima que el 60% del tiempo que se emplea en un ataque de Ingeniería Social se le dedica a esta tarea.
Desarrollo de la relación
Este es un punto crítico ya que la calidad de la relación construida por el atacante determinará el nivel de la cooperación de la víctima y por consecuencia aumentará el porcentaje de éxito para lograr el objetivo.
Esta etapa puede ser tan breve como el acto de ir corriendo hacia una puerta con una gran sonrisa y generar un contacto visual con la víctima, por lo que la misma mantendrá la puerta abierta para que el atacante pueda ingresar a la empresa, conectar a nivel personal por teléfono, mostrar fotos de la familia y compartir historias con la recepcionista, etc. También puede ser tan extensa como construir una relación a través de alguna red social, generalmente valiéndose para ello de un perfil falso (hombre o mujer, dependiendo de la víctima elegida)
Explotación de la relación
En esta fase, el atacante aprovecha las relaciones construidas en la fase anterior tratando de no levantar sospechas. La explotación puede tener lugar a través de la divulgación de información aparentemente sin importancia o el acceso concedido y/o transferido al atacante.
Los ejemplos de la explotación exitosa pueden incluir:
- La acción de la víctima al mantener abierta la puerta para permitir el ingreso del atacante a las instalaciones de la empresa.
- La revelación de credenciales (nombre de usuario y contraseña) a través del teléfono.
- La introducción de un Pendrive con Malware en una computadora de la empresa.
- La apertura de un archivo adjunto infectado en el correo electrónico.
- La exposición de secretos comerciales en una discusión con supuesto “pares”.
Ejecución para lograr el objetivo
Esta fase es cuando se logra el objetivo final del ataque, o por distintos motivos el ataque termina sin levantar sospechas de lo ocurrido. En general el atacante tratará de poner fin a un ataque sin cuestionar lo sucedido, ya que de otra forma levantaría sospechas en la víctima. En cambio, tratará de dejar una sensación como si hubiera hecho algo bueno por la otra persona, permitiéndole así futuras interacciones con la misma.
Aquí es también donde trata de no dejar ningún cabo suelto, borrando las huellas digitales, información en general, etc.
Una estrategia de salida bien planificada y silenciosa es el objetivo del atacante y acto final en el ataque.
Sobre esta serie
Este es el primero de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones hablaremos acerca de las diferentes técnicas y herramientas que utilizan los Ingenieros Sociales como así también de los diferentes tipos de ataques que llevan a cabo, tanto personalmente como en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
¡Nos vemos en el próximo post!
Deja un comentario