Ciberdelincuencia: el boom de la ingeniería social

Noviembre 2016



El primer semestre del 2010 fue marcado por varios ataques informáticos dirigidos contra las empresas a través de las técnicas de "ingeniería social". Aunque sin ser nueva, esta forma de ciberdelincuencia cobra cada vez más importancia como lo confirma los diferentes estudios recientes y como lo muestra el caso de "Hacker Croll" quien pudo infiltrarse en las cuentas de la plataforma de microblogging Twitter. A diferencia de otras técnicas de ciberdelincuencia, la ingeniería social explota ante todo el factor humano y no una falla informática (incluso si los dos pueden ser combinados), por ejemplo: la obtención de la contraseñas en base a la información recolectada en las redes sociales, la ingeniería social tiene varias facetas. A continuación, un análisis de este nuevo componente de ciberdelincuencia que tiene una tendencia de crecimiento y está correlacionado a las herramientas web2.0

La ingeniería social: una amenaza creciente que explota el factor humano


En la décima quinta edición de su reporte anual del análisis de la actividad de la ciberdelincuencia, Symantec advirtió, al inicio de año, sobre la sofisticación creciente de las técnicas de ciberdelincuencia heredadas de la "ingeniería social". Como consecuencia, multiplicación de casos de usurpación de identidad, lo que provoca pérdidas de información importantes de las empresas. Estas técnicas tienen un costo muy reducido de llevarlas a cabo ya que no se necesita ninguna fuerte inversión. Los métodos de la ingeniería social se incrementan especialmente en un periodo de crisis económica donde los ciberdelincuentes pretenden asegurar ante todo el ROI (retorno de inversión) de sus actividades. Esta técnica ingeniosa está muy alejada de las proezas a las que los hacker realizan habitualmente. Al contrario de los métodos de infiltración muy complejos en los que manipulan código informático, la ingeniería social se basa en "el factor humano", en la intuición (ejemplo: adivinar la contraseña) y en trucos destinados a ganar la confianza de un usuario, ya sea para incitarlo a ejecutar un programa malicioso, para que revele datos importantes o simplemente para usurpar su identidad.

Los ataques de ingeniería social se enfocan cada vez más en las empresas


El reporte anual de Symantec resalta que los ciberdelincuentes se enfocan cada vez más en las empresas. Estos ciberataques amenazan especialmente la propiedad intelectual vinculada a los proyectos en las que las empresas están trabajando. Los mails son siempre puertas de entrada preferidas. A inicios de año, el caballo de Troya llamado "Hydraq" (que continua activo) utilizó e-mails de ingeniería social enfocados en un individuo o en un pequeño grupo de funcionarios para infectar los ordenadores. Si el Hacker logra engañar al usuario a través de su mail de apariencia legítima, es decir si logra hacerle abrir un hipervínculo o archivo adjunto, Hydraq puede infectar el ordenador y permitir al hacker tomar el control a distancia.

Un fenómeno vinculado al crecimiento de las redes sociales


El reporte de Symantec revela, una noticia muy interesante, que los hackers explotan la abundancia de información personal disponible en las redes sociales para dirigir sus ataques sobre los individuos claves en las empresas elegidas. La correlación entre ingeniería social y el crecimiento de las redes sociales es significativa, un hecho confirmado recientemente por un nuevo reporte publicado por Symantec.

El caso "Hacker Croll" y la usurpación de identidad en las redes sociales


El caso "Hacker Croll" ilustra la forma como las técnicas de ingeniería social pueden permitir infiltrarse en las redes sociales, en este caso en la red social Twitter. A inicios de año, un francés de 25 años de edad, logró, sin ningún conocimiento especial de informática, varias "hazañas" como usurpar las cuentas de Twitter de celebridades como Barack Obama y Britney Spears y especialmente introducirse en las cuentas de correo de los empleados de la plataforma de microblogging para sustraer documentos confidenciales sobre el futuro de la empresa. Logró obtener la contraseña de los empleados de Twitter mediante la opción de "recuperación" de contraseña de la cuenta de correo de Yahoo y Google de los funcionarios para luego usurparlas. Un ataque a través de las cuentas de correo personales de los empleados que plantean necesariamente la pregunta de su utilización mixta (trabajo/ uso personal) en la empresa.

"Aprender a frustrar las técnicas de ingeniería social"


Un estudio publicado a inicios de año por la BMV Engineering College, una universidad de Indiana, resume los nuevos desafíos planteados por las técnicas de ingeniería social en seguridad informática. Según los autores, "es una de las amenazas más graves en contra de la seguridad de las redes informáticas". Las técnicas y la filosofía subyacentes son muy antiguas, como lo ilustra la historia del Caballo de Troya en la mitología griega. Es un tipo de ataque muy peligroso en la medida en que ningún software o hardware puede defenderse de manera eficaz. La ingeniería social tiene que ver con la psicología, en otras palabras son los usuarios que tienen que aprender a desenmascarar y frustrar sus técnicas.

BitDefender alerta contra el exceso de confianza en las redes sociales


El aspecto psicológico es el centro de los ataques empleados por la ingeniería social. El editor de programas de seguridad demostró recientemente en un estudio realizado en base a 2.000 usuarios regulares de plataformas comunitarias, "lo fácil que es ganar la confianza de los usuarios" en las redes sociales y los riesgos de filtración de información que son la consecuencia directa. La prueba realizada por BitDefender consistió en enviar una "solicitud de amistad" a los "examinados" y luego determinar el tipo de detalles que revelan. El resultado es muy sorprendente porque muestra que el 86% de los usuarios que aceptaron la solicitud de amistad del sujeto de prueba (en este caso una mujer), trabajan en la industria informática, del cual el 31% trabaja específicamente en la seguridad informática. Para el 53% de la personas entrevistadas, la razón por la que aceptaron esta solicitud fue la "cara bonita" de la amiga de prueba. Según la prueba, después de media hora de utilización de las redes sociales, el 10% de los usuarios que habían aceptado la solicitud de amistad comenzaron a proporcionar información personal como su dirección y número de teléfono. Dos horas después, el 73% revelaban una serie de informaciones confidenciales como su lugar de trabajo, la estrategia de la empresa o incluso datos sobre programas o productos tecnológicos todavía no comercializados.

El 96% de empleados víctimas de la ingeniería social en una prueba realizada por Defcon


Otra prueba, realizada durante la conferencia Defcon en julio, permitió evaluar el riesgo de divulgación de información por parte de los funcionarios de la empresa, sometidos a los procedimientos de ingeniería social. Unos 135 trabajadores de 17 grandes empresas como la Coca-Cola, Ford, Pepsi, Cisco, Wal-Mart, fueron testeados en este "concurso de hackers". Los resultados son interesantes ya que el 96% de ellos, contactados por teléfono o correo electrónico revelaron informaciones confidenciales como versión del sistema operativo, programas antivirus y navegadores utilizados en la empresa, etc. Una de las técnicas para llevar a cabo este fraude consistía en que los hackers fingían ser auditores o consultores. Anécdota o dato interesante es que los 5 empleados que rechazaron proporcionar información eran todas mujeres.

Saber más


CASE STUDY ON SOCIAL ENGINEERING
TECHNIQUES FOR PERSUASION




Consulta también :
El documento «Ciberdelincuencia: el boom de la ingeniería social» de CCM (es.ccm.net) se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo siempre y cuando respetes las condiciones de dicha licencia y des crédito a CCM.