domingo, 17 de octubre de 2010

El gran arte de la Ingeniería Social para penetrar en los sistemas de información

Buenas a todos, en muchas ocasiones los que nos dedicamos a temas de seguridad de la información nos tenemos que plantear como penetrar en cierto sistema y nos quebramos la cabeza buscando información con herramientas como Anubis, LaFoca, o Maltego, haciendo escaneos de red con Nessus, OpenVas o GFI Languard e intentando explotar alguna vulnerabilidad con Metaexploit, cuando penetrar en un sistema puede ser tan sencillo como utilizar alguna técnica de “Ingeniería Social”.

Algunas de las técnicas de Ingeniería Social que mas se suelen utilizar a diario y que mas solemos sufrir son las siguientes:

Phising: Probablemente la que mas fama tenga por el número de veces que es usada. Consiste, normalmente, en un email, llamada telefónica, etc. en el que se trata de suplantar la identidad de otra persona o entidad para solicitar cierta información. En los últimos años se han realizado miles de intentos de phising intentando suplantar a bancos para hacerse con las credenciales de los usuarios y robarles dinero, como por ejemplo, éste que me llegó a mi cuenta de gmail a principios de año debido al “descuidado” tratamiento que hace gmail con los registros SPF:

http://elblogdecalles.blogspot.com/2010/02/intento-de-estafa-mediante-phising-los.html

Shoulder surfing: La más fácil de utilizar y la que mas rendimiento ofrece, consiste como su definición indica, en mirar por encima del hombro. Hace unos días fui con un amigo a sacar dinero en un cajero, el pasó a sacar dinero, y yo me quedé afuera esperando, pues bien, desde la calle pude ver la combinación de la tarjeta de crédito que introdujo. Lógicamente le eché la bronca. Siempre hay que intentar tapar el teclado con la otra mano para evitar las miradas de curiosos, sobretodo por las numerosas bandas de cogoteros que poblan las grandes ciudades españolas.

Esto mismo puede realizarse en ambientes empresariales, mirando a un confiado administrador mientras se loga en un sistema.

Dumpster diving: El Dumpster diving consiste en rebuscar entre la basura, para intentar buscar facturas, documentos o cualquier tipo de información que nos pueda servir. Es normal que las organizaciones se deshagan de documentación con importantes detalles como nombres, números de teléfonos, datos internos de empresas, informes desechados, por ello es recomendable que se triture toda la documentación con trituradoras antes de tirarla a la basura.

Eavesdropping. Ésta técnica consiste en afinar el oído para escuchar la información que se pasan hablando los usuarios con privilegios de un sistema, como contraseñas, etc.

PiggyBacking: Aunque es mas conocida por utilizarse en el metro, etc. también es aplicable al ámbito de la seguridad de la información y consiste en seguir a un usuario autorizado hasta una zona restringida aprovechándonos de sus privilegios. Para ello es normal disfrazarse con monos de trabajo o similares para pasar desapercibido. ¡Cuidado con las señoras de la limpieza Lengua fuera!

¿Y vosotros qué otras técnicas de Ingeniería Social conocéis?

saludos!

6 comentarios:

Seguridad de la Información dijo...

La verdad es que en estos tiempos de crisis, en la que cada día quebran empresas, las que se tienen en pie deberían no tan solo cuidar la seguridad lógica de sus activos, sino que a veces en los ámbitos que nos movemos deberíamos cuidar la seguridad física y ser más precavidos y menos "descuidados" respecto a estos temas. También deberíamos cuidar la formación de nuestros empleados respecto a temas de seguridad, porque muchas veces no se llevan a cabo las directivas de seguridad. Por cierto, siempre hay que tapar el pin en los cajeros, no por los que nos puedan ver directamente,sino que los ladrones instalan a menudo cámaras y clonadoras de tarjetas de créditos en los cajeros,por lo tanto, mucho cuidado con los ahorros!!
Ahh,por si hay algún interesado respecto a la formación de estos cursos, la Cátedra SGS-Deusto ofrece unos cursos online respecto a esta temática muy interesante y muy prácticos.

Juan Antonio Calles dijo...

Hola @Seguridad de la Información, gracias por el comentario, pero lo que si te agradecería es que para próximos comentarios no hicieses propaganda de cursos y demás servicios de SGS, ya lo has hecho mas de una vez, y he hecho un poco la vista gorda hasta ahora, pero te agradecería que lo evitases en un futuro. Conozco a gente de SGS, muy majos por cierto, pero en el blog prefiero que no haya publicidad excepto la que yo mismo haga de las empresas para las que trabajo o colaboro.

un saludo

lucascordobes dijo...

Hoy vi lo fragil que es la seguridad en algunas empresas, y lo que he visto hoy es realmente grave...
Acceso casi total a la unidad fisica del Servidor Principal, el pass es muy facil e incluso se utiliza en algunas PC de usuarios el mismo Pass... y no hablo de una empresa pequeña hablo de una empresa que maneja cifras importantes... creo que es momento de tomar conciencia de esto

Juan Antonio Calles dijo...

Lo de las contraseñas compartidas en numerosos ordenadores por desgracia es muy común y esto los hace muy débiles frente a diversos ataques como el de impersonalización.

Las empresas deberían ir tomando conciencia ya.

un saludo @lucascordobes

Seguridad de la Información dijo...

En primer lugar, siento la molestia Juan, tranquilo que no volverá a ocurrir.
Por otro lado, a veces no es necesario ni intentar robar las contraseñas, porque a veces la gente es tan perezosa que deja habilitado recordar contraseña, y podemos sin hacer nada ver su correo, o entrar en zonas personales sin hacer nada, con el consiguiente peligro.
Un saludo

Juan Antonio Calles dijo...

Ok, gracias =) Lo único que no me gustaría es formar parte del SEO de ningún organismo privado, supongo que lo entiendes.

Con respecto al cacheo de contraseñas es útil si los usuarios dejan la sesión abierta, sino nos tocará vulnerar el sistema, por ejemplo, creandonos una cuenta de administrador con la siguiente técnica que conté en el blog hace algunos meses:

http://elblogdecalles.blogspot.com/2009/12/conseguir-crear-cuenta-de-administrador.html

saludos