Charla en Flisol 2016 sobre Ingeniería Social

Seguridad Informática

 

25 de Abril del 2016

Un breve resumen de lo que fue la charla que realicé el pasado 23 de Abril en Flisol 2016 Rancagua sobre Ingeniería Social y seguridad informática. 

Hablemos sobre Ingeniería Social

Flisol 2016

Primero que todo agradecer al equipo de Flisol, Grupo RedIT y AIEP Rancagua por la oportunidad de participar. Además, agradecer a Don Marcos León, con quien compartí escenario y que expuso sobre temas relacionados con metadatos y extracción de información con técnicas OSINT, además de apoyarme en una dinámica que realizamos para ejemplificar la obtención de información por vía telefónica.

La presentación

El objetivo de la charla era invitar a los participantes a tomar conciencia de que sus datos muchas veces están expuestos y pueden ser utilizados para facilitar la realización de ataques dirigidos con técnicas de ingeniería social.

Como mencionaba, hicimos una actuación mediante la cual mostraba cómo obtener los datos personales de Marcos: Simulamos una llamada mediante la cual yo lograba obtener la contraseña de su correo y por consecuencia acceder a información privada de su correo corporativo. Para esto previamente ingresé a la página de su empresa, ubiqué su correo y le envié un mensaje solicitando más información sobre un tema en particular. En su respuesta venía su número telefónico. Posteriormente busque información sobre el hosting donde estaba ubicada la página corporativa, busqué algún nombre de esa empresa y en la llamada me hice pasar por dicho personaje donde entre otras cosas le mencionaba que ibamos a hacer unas mejoras en la seguridad de su correo electrónico, además de regalarle un aumento en el espacio disponible. Marcos simulaba que confiaba en mi y por lo tanto yo lograba obtener el preciado password de su correo. Con esto podría acceder y buscar información relevante como usuarios y contraseñas, otros contactos de la empresa o incluso utilizar este correo para impersonar a Marcos y solicitar información confidencial. 

La ingeniería social

Como una primera aproximación, podemos definirla como los métodos y técnicas que se aprovechan de la confianza de los usuarios para obtener datos, acceder a sistemas o redes sobre los cuales no pueden tener acceso. Es decir vulneran el principio de la Confidencialidad de datos.

 Para poder utilizar la ingeniería social sobre una víctima, deben considerarse varios aspectos:

  • Primero, el hecho de que el usuario común no ha sido instruido y por lo tanto es susceptible a este tipo de ataques. Sabemos que el usuarios es generalmente el eslabón más débil de la cadena y por lo tanto el que los ciberdelincuentes más probablemente atacarán.
  • Por otro lado, la sobre exposición de información de las personas hace que la búsqueda por parte de un ciberdelincuente se haga más sencilla. Cualquier dato o información puede ser relacionada y utilizada para obtener la confianza del usuario.

Nuevamente repito, lo que desean los ciberdelincuentes es que la víctima confíe en ellos. Y muchas veces la víctima no es el objetivo final del ataque sino un paso más para un objetivo más grande. El vector de ataque puede ser desde un sencillo correo electrónico, una llamada telefónica, un SMS e incluso persona a persona.

Cómo protegerse de éste tipo de ataques

Dejo algunos tips que ayudarán al usuario común y a las empresas a poder tomar medidas para protegerse de este tipo de ataques:

  1. Empresas, capaciten a su personal. El usuario común NO sabe sobre peligros en la red.
  2. Usuario de internet, no confíes en cualquiera, si algo parece ligeramente sospechoso, entonces míralo con mayor atención o pide ayuda.
  3. Algo que dije en la charla: Internet es como andar de noche en la calle, debes tener el doble o triple de cuidado que en el día y no implica que para estar 100% seguro te debas quedar en la casa encerrado.
  4. De preferencia no conectarse a una red pública y si es 100% necesario, utiliza una VPN. Se pueden obtener datos espiando la red a la que estás conectado y después esa misma información utilizarla en tu contra.
  5. Revisa la entrada que tenemos con recomendaciones  sobre navegación segura por internet.
  6. Sentido común! Es imposible que te hayas ganado la lotería en USA si nunca has jugado o que seas el heredero de la fortuna de el rey de Zimbabwe si ni siquiera sabes que existía ese país. No, tampoco una hermosa rusa quiere casarte contigo porque vio tu perfil de facebook.

Espero de verdad que esta información les ayude a estar más protegidos ante los ataques de ingeniería social y como siempre invitarlos a tomar conciencia sobre los peligros de internet.

 

Azuax.