Quién es quién?

Ingeniería social

Introducción

En el ámbito de los Sistemas de Información, la ingeniería social consiste en el arte de embaucar o manipular a otras personas con el objetivo de sacar beneficio propio de dicha situación. Bien sea haciéndoles revelar información privada, o que de manera inadvertida ejecuten software en un sistema que eventualmente comprometa alguna de las dimensiones habituales de la Seguridad de la Información (confidencialidad, integridad, disponibilidad, trazabilidad y no repudio).

La Seguridad de la Información de un sistema entendida desde el punto de vista holístico, es tan alta, como la de su componente más débil. Por diversas causas, el ser humano suele desempeñar este último papel, y por tanto ser el objetivo primordial de los ataques de usuarios o entidades maliciosas.

La ingeniería social es una técnica que puede llevarse a cabo en cualquier fase de un ataque, es decir, durante la búsqueda de vulnerabilidades, o para ejecutar la explotación en sí misma. Existen diversas familias de técnicas que pueden emplearse para ello:

  • Pasivas: consisten habitualmente en la mera observación de un usuario para recabar información confidencial (por ejemplo “shoulder surfing”).
  • No presenciales (haciendo uso del email, correo ordinario, teléfono, fax).
  • Presenciales no agresivas (conversando con desconocidos, haciendo uso de técnicas de vigilancia, seguimiento, empleo de acreditaciones falsas o tácticas de desinformación para conseguir un objetivo).
  • Presenciales agresivas (suplantación de identidad, chantaje o extorsión, despersonalización mediante sustancias tóxicas como alcohol o drogas, y/o presión psicológica).

En el trabajo de Salahdine, F. & Kaabouch, N., se describen las principales tipologías de ataques de ingeniería social que predominan actualmente. Son más de 20, entre las que destacaría quizás el pishing, smishing, vishing, y ransomware.

De entre todas las variantes, las más ampliamente utilizadas son aquellas que se pueden ejecutar remotamente, por varios motivos:

  • La facilidad de comisión de este tipo de ataques. En general, su dificultad técnica es baja con las herramientas actuales.
  • Su componente internacional. Las víctimas se encuentran ubicadas en cualquier lugar del globo.
  • La falsa sensación de impunidad asociada a la lejanía física con respecto a las víctimas potenciales. Al ser ejecutados desde países con legislaciones más permisivas o medios técnicos de rastreo inferiores, complica las labores de investigación por parte de las autoridades competentes (Interpol, Europol, etc).

Dentro del subconjunto de ataques de ingeniería social realizados de manera remota, actualmente uno de los más conocidos, es la técnica de phishing.

Ésta consiste en suplantar la identidad legítima de un tercero, para que un usuario realice una acción de manera inadvertida que favorezca al atacante. Generalmente se lleva a cabo mediante correo electrónico, por ser un mecanismo muy simple, barato, y normalizado para la gran mayoría de usuarios (casi la totalidad de las personas con conexión a Internet hoy en día poseen al menos una identidad de correo electrónico).

El objetivo será engañar al usuario para, desde redirigirle a un formulario en el que obtener credenciales de acceso a servicios o bancarias, hasta vulnerar el propio sistema mediante la instalación de malware, keyloggers, exfiltrar información o infectar otros sistemas en la misma red, etc.

Otra de las variantes del phishing, por ejemplo, son las técnicas como el mobile phishing (bar spoofing), que se aprovecha de barras plegadas en las que no se ve la URL falsa en los navegadores para móvil. Los punycodechars ASCII similares a los de la URL original, el QRL jacking de los famosos códigos QR, o los ataques basados en la interpretación del HTML por parte de los navegadores.

Impacto

Según el informe ISTR 2019 de Symantec, el número de usuarios que recibieron intentos solamente de phishing en el año anterior, fue de casi un 30%. Y en los ataques dirigidos, el vector de ataque principal (65% de los casos), fue el empleo de esta técnica para el robo de credenciales.

Los ataques de ingeniería social no van a desaparecer, sino que tienden a ir a más. Según el Anti-Phishing Working Group (2020):

  • Los impulsores de estos ataques (los llamados ingenieros sociales), se centran en aquellos aspectos que son más susceptibles de resultar atractivos a las personas (actualmente, lo relativo a la COVID-19, instituciones sanitarias, o prestaciones por desempleo, por ejemplo).
  • El crecimiento de websites maliciosos de phishing entre enero’20 y marzo’20, ha sido del 9.6%.
  • El crecimiento de la actividad de phishing en un país con gran afectación pandémica como Brasil en Q1 de 2020, ha sido del 24%.
  • Los servicios objetivo predilecto de los hackers, son webmail y soluciones Software-as-a-Service, tipo Google Suite u Office 365 (de uso masivo por la sociedad, y que alberga gran cantidad de información confidencial de los individuos), suponiendo un tercio del total del universo de targets.

Por otra parte, si nos focalizamos en los perjuicios económicos que pueden causar las brechas de seguridad asociadas a este tipo de ataques (al margen de problemas reputacionales o regulatorios asociados a eventuales sanciones), vemos en el reporte anual de Coste del Cibercrimen (Accenture, 2019), que el phishing + malware (éste último puede ser incluido en adjuntos en los emails fraudulentos), representan el problema principal.

En su libro El Arte del Engaño (Mitnick, 2002), el popular hacker estadounidense hace referencia en su introducción a esta realidad, en algunos de sus párrafos:

Una compañía puede tener la mejor tecnología de seguridad que el dinero puede comprar, entrenar tan bien a su plantilla que cierran bajo llave todos sus secretos cuando se van a casa de noche, y contratar a vigilantes de seguridad de la mejor firma del sector.

Aun así, esa compañía sigue siendo totalmente vulnerable.

Los individuos pueden seguir todas las mejores prácticas y recomendaciones de los expertos en Ciberseguridad, instalar sistemáticamente todos los productos de seguridad recomendados, y ser absolutamente diligentes en la configuración adecuada de sus sistemas y la aplicación de todos los parches de seguridad sugeridos.

Esos individuos son todavía completamente vulnerables.

(…)

¿Por qué? Porque el factor humano es verdaderamente el punto débil de la seguridad.

Como indica el conocido consultor de seguridad Bruce Schneier, “La seguridad no es un producto, es un proceso”. Además, no es un problema tecnológico, sino de gestión y de personas.

Mientras que los fabricantes desarrollan sin cesar nuevas tecnologías de seguridad, que dificultan la explotación de vulnerabilidades técnicas, los atacantes se enfocan cada vez más en las personas. Vulnerar un firewall humano es con frecuencia muy sencillo, no requiere inversión más allá del coste de una llamada telefónica, e implica un riesgo mínimo.

He de decir que el libro de Mitnick merece la pena. El cómo conseguir mediante el engaño, vía telefónica, que te hagan llegar una copia del plan de negocio de una compañía rival, es genial. Kevin es un personaje polémico, con una vida muy azarosa e incluso antecedentes penales, pero indudablemente es un tipo muy bueno en lo suyo.

Psicología

Como siempre se comenta, el usuario es el eslabón más débil de la cadena de seguridad.

Mitnick referencia en su libro la investigación de Robert B. Cialdini en Scientific American en 2001, que presenta seis sesgos en la naturaleza humana en los que ingenieros sociales se apoyarán para conseguir el engaño:

  • Autoridad. Las personas tienden a acceder a peticiones realizadas por personas con un rango de autoridad elevado. Por ello, probablemente realicen lo que el hacker les solicita, si consigue simular que la petición proviene de un conocido de mayor rango.
  • Afinidad. Tendemos a complacer a terceros con los que hay cierta afinidad (comparte gustos, aficiones, criterios o actitudes con nosotros). El atacante puede haber hecho una investigación previa para conocernos mejor, y aprovechar esta debilidad mimetizando ser alguien que conecta con nuestra forma de ser.
  • Reciprocidad. Cuando se nos ha prometido o dado algo que consideramos de valor, nos inclinamos a corresponder en la misma medida. Incluso cuando no habíamos solicitado nada de antemano.
  • Consistencia. Una vez que nos comprometemos públicamente a realizar alguna acción, intentamos ser consistentes con ella para no dar imagen de poca fiabilidad hacia terceros.
  • Validación social. Tendemos a complacer a terceros cuando ello es lo que se espera de nosotros, porque otras personas actúan (o nos hacen creer que lo hacen), del mismo modo.
  • Escasez. Tendemos a realizar acciones más compulsivas cuando se nos indica que algo tiene existencias limitadas, o que una oferta sólo está disponible temporalmente (por ejemplo).

Historia de la ingeniería social

Es interesante conocer el camino recorrido desde sus inicios, de las técnicas de ingeniería social en Ciberseguridad. En Wang, Sun & Zhu (2010), se detalla cronológicamente la evolución en este ámbito desde el último cuarto del siglo pasado.

Básicamente la historia de la ingeniería social en Ciberseguridad se puede dividir en cinco etapas:

  • Fase phreack (1974-84). En un artículo llamado More on Trashing en la revista The Hacker´s Quarterly, aparece por primera vez acuñado el término ingeniería social. Está relacionado con la información confidencial y accionable que podía encontrarse en la basura de los gigantes de las telecomunicaciones, como Bell Telephone Company. En otro artículo en la misma revista, se comenta la posibilidad de suplantar la identidad de un trabajador del sector telco para engañar a las operadoras de los centros de conmutación, y obtener información confidencial de usuarios. Posteriormente se descubre que ya existían comunidades desde aproximadamente 1974 utilizando estas técnicas de impersonación y persuasión.
  • Fase phrack (1984-1996). Se genera un híbrido entre estas tretas en el ámbito de las compañías telefónicas, que continúan, y el descubrir que mediante engaños a las personas es mucho más sencillo comprometer sistemas que, por ejemplo, rompiendo contraseñas mediante fuerza bruta (máxime con la potencia de cómputo de la época). Se utilizan técnicas como provocar un fallo de red, y llamar al “cliente” haciéndose pasar por integrante del equipo de Soporte, para sonsacarle información confidencial. La ingeniería social amplía sus técnicas y alcance potencial.
  • Fase del hack profesional (1996-2001). Se comienzan a profesionalizar los ataques, y los presenciales ganan más relevancia (trashing, shoulder surfing, talking, tailgating…). Aparecen los primeros fraudes por Internet, los troyanos, y el primer ataque de phishing en 1996, haciéndose pasar por el equipo de Soporte de AOL (América Online), para robar credenciales y datos bancarios de los usuarios. Comienzan a utilizarse técnicas de subversión psicológica, al reconocer que el usuario es, de largo, el eslabón más débil de la cadena de Seguridad.
  • Evolución multidireccional (2002-2012). Surgen trabajos como los de Mitnick & Simon (2002), el concepto ingeniería social adquiere gran relevancia, y comienzan a publicarse numerosos artículos y estudios acerca de la psicología y confianza sociales, psicología del lenguaje, emocional, y de las expresiones.
  • Ataques avanzados (2012+). La base potencial de víctimas es gigantesca debido al crecimiento de Internet y la hiperconexión, y se democratiza el acceso a tecnologías que implementan técnicas de ingeniería social. Se desarrollan herramientas que facilitan enormemente las tareas como Maltego para OSINT, Simple Phishing Toolkit, GoPhish, o Social-Engineering Toolkit (SET), que soportan múltiples vectores de ataque. Combinadas con técnicas como big data, machine learning e inteligencia artificial, posibilitan realizar ataques altamente eficientes. El uso masivo de las redes sociales agudiza el problema, multiplica la superficie de ataque y la cantidad de datos personales expuestos. La eficacia de los cibercriminales en sus ataques, es más alta que nunca.

Espero que haya resultado interesante. En un próximo post veremos propuestas de diferentes organismos para luchar contra esta lacra, así como consejos que podemos tomar a nivel práctico para mitigarla.


Suscríbete sin compromiso para recibir nuevos posts, y recibirás acceso gratuito a una Masterclass acerca de qué es la ciberseguridad, por qué es tan importante, y cómo acceder a un puesto en dicho sector. Si estás pensando en formarte en ese ámbito o reciclarte, te vendrá estupendamente.



Comparte esto con quien consideres que puede estar interesado!

Si quieres contactar por privado: oscar.iglesias@daferrasecure.com.

Gracias por leernos. Stay secure!

ETD

Deja un comentario