INGENIERIA SOCIAL INVERSA:

Cada vez que pensamos en problemas de seguridad se considera como parte de un

plan integral al menos tres grandes esferas: la tecnológica, la de políticas y la humana.
El área tecnológica es la que cada vez está más reforzada incluyendo toda clase de
productos desde firewall, encriptación, detectores de intrusos, antivirus, y un largo
etcétera; el área de políticas también está muy avanzado considerando niveles de
seguridad, seguridad física y lógica, modelos de administración de riesgos, esquemas
de claves privadas con renovación a corto plazo, mecanismos de autentificación y una
larga lista; la tercer esfera es en cambio la menos trabajada y en dónde se concentran
los mayores peligros.

Hay un viejo refrán que reza: “Una cadena es tan fuerte como el más débil de sus
eslabones” y sin lugar a dudas ése es el factor humano y por ello cada vez son más
los ataques a la seguridad utilizando la ingeniería social.

A través de la tecnología y de las políticas seguramente ya habrá usted, amigo lector,

puesto candados, muros, cerraduras y alarmas a lo largo y ancho de toda su
infraestructura tecnológica. Por supuesto que también está consciente de que para
cada candado hay una llave y por ello se ha esforzado en poner los más complejos,
redundantes y hasta inteligentes para que le notifiquen de cualquier intento de
violación de su perímetro de seguridad.

Después del esfuerzo se siente relativamente tranquilo porque sabe que para que un
atacante pueda penetrar sus defensas tendrá que invertir mucho tiempo, ingenio y ser
un gran experto en sistemas operativos, programación, protocolos de comunicación y
tener un sin número de habilidades adicionales. Finalmente le pone llave a todo y las
distribuye entre los usuarios y personal que lo requiere porque, finalmente, la
información necesita ser accedida.

Si piensa que un atacante se tomará la molestia de enfrentar todas sus barricadas y

violar los candados para penetrar su sistema tenga cuidado porque muy
probablemente lo que hará será simplemente pedirle al que tiene la llave que le abra la
puerta. Y si piensa que el personal no le abrirá pues piénselo dos veces, porque el
ataque más exitoso y fácil es abordando directo a la persona que tiene la llave de
entrada y según un estudio europeo realizado durante el congreso InfoSecurity Europa
en el 2003 el 90% de las personas abrirán la puerta. Los ataques a los sistemas de
seguridad a través de la ingeniería social cada vez son más frecuentes y,
lamentablemente, más efectivos.

La ingeniería social es la técnica especializada o empírica del uso de acciones

estudiadas o habilidosas que permiten manipular a las personas para que
voluntariamente realicen actos que normalmente no harían. Los ingenieros sociales
manipulan y explotan los sentimientos y emociones de las personas tales como el
miedo, la curiosidad, el sexo, la avaricia, la compasión y el deseo de agradar y de
hacer bien su trabajo. De hecho, la ingeniería social no nació en las computadoras, los
timadores, estafadores, defraudadores y otros pillos han tenido éxito durante muchos
años y ahora simplemente están encontrando en Internet territorio fértil para sus
engaños. Estos ladrones no necesitan apuntarse a los grupos de hackers ni leer
ningún manual técnico. Las personas padecen las mismas debilidades dentro y fuera
de Internet.
Ante este tipo de ataques todos estamos expuestos y la mejor forma de contrarrestarlo
es conociendo los métodos de ingeniería que aplicarán en nuestra contra, esto en TI lo
llamamos Ingeniería Inversa. La ingeniería inversa es el conjunto de técnicas y
procedimientos utilizados para descubrir el diseño de un producto o proceso. En este
sentido, descubrir cuáles son las técnicas empleadas por los pillos, difundirlas y
prepararnos para enfrentar nuevas técnicas de estafa es el mejor mecanismo de
protección.

Un plan de ingeniería social inversa incluiría las siguientes acciones:

1. Conozca los procesos de ingeniería social, sus principios, sus técnicas, la

manipulación y la explotación de los sentimientos y emociones de las
personas. De esta forma podrá anticiparse a los riesgos de los ataques. Kevin
Mitnik, actualmente el pillo de ingeniería social más famoso del mundo ha
escrito un libro llamado “The Art of Deception” y se presentará en la Ciudad de
México el próximo 16 de octubre en el Infosecurity Forum. Resultará
interesante ver cómo piensa un delincuente, ahora reformado y dedicado a la
asesoría.

2. Informe a las personas sobre estás técnicas y de cómo pueden ser presa de la
ingeniería social, muestre ejemplos y haga un esfuerzo en educación.

3. Trabaje en crear la cultura de la cautela, desconfianza y prudencia ante todas

las situaciones. Los atacantes que usan la ingeniería social prefieren cambiar
de víctima cuando se enfrentan a la resistencia educada.

4. No basta con poner candados, la persona que tiene la llave debe saber cuándo
y cómo usarla.

5. Invertir más presupuesto de seguridad en educación. La próxima ocasión que

elabore el presupuesto de seguridad no olvide poner recursos en capacitación,
difusión y creación de cultura aunque gaste menos en tecnología. Será más
redituable la inversión.

Aún con este plan, no hay nada seguro, como dice Mitnik “Usted puede tener la mejor
tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc.
Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin
más y tendrán todo en sus manos”.

TRASHING.

Esta conducta tiene la particularidad de haber sido considerada recientemente en

relación a los delitos informáticos. Se refiere a la obtención de información secreta o
privada que se logra por la revisión no autorizada de la basura (material o inmaterial)
descartada por una persona, en una empresa u otra entidad, con el fin de utilizarla por
medios informáticos en actividades delictivas.

Estas actividades pueden tener como objetivo la realización de espionaje, coerción o

simplemente el lucro mediante el uso ilegítimo de códigos de ingreso a sistemas
informáticos que se hayan obtenido en el análisis de la basura recolectada.
 ATAQUES DE MONITORIZACIÓN
Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo
de establecer sus vulnerabilidades y posibles formas de acceso futuro.

•Shoulder Surfing
Consiste en espiar físicamente a los usuarios para obtener el login y su password
correspondiente. El Surfing explota el error de los usuarios de dejar su login y
password anotadas cerca de la computadora (generalmente en post–it adheridos al
monitos o teclado). Cualquier intruso puede pasar por ahí, verlos y memorizarlos para
su posterior uso. Otra técnica relacionada al surfing es aquella mediante la cual se ve,
por encima del hombro, al usuario cuando teclea su nombre y password.

•Decoy (Señuelos)
Los Decoy son programas diseñados con la misma interface que otro original. En ellos
se imita la solicitud de un logeo y el usuario desprevenido lo hace. Luego, el programa
guardará esta información y dejará paso a las actividades normales del sistema. La
información recopilada será utilizada por el atacante para futuras "visitas".
Una técnica semejante es aquella que, mediante un programa se guardan todas las
teclas presionadas durante una sesión. Luego solo hará falta estudiar el archivo
generado para conocer nombres de usuarios y claves.

•Scanning (Búsqueda)
El Scaneo, como método de descubrir canales de comunicación susceptibles de ser
explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos
de escucha como sea posible, y guardar información de aquellos que sean receptivos
o de utilidad para cada necesidad en particular. Muchas utilidades de auditoría
también se basan en este paradigma.
El Scaneo de puertos pertenece a la Seguridad Informática desde que era utilizado en
los sistemas de telefonía. Dado que actualmente existen millones de números de
teléfono a los que se pueden acceder con una simple llamada, la solución lógica (para
encontrar números que puedan interesar) es intentar conectarlos a todos.
La idea básica es simple: llamar a un número y si el módem devuelve un mensaje de
conectado, grabar el número. En otro caso, la computadora cuelga el teléfono y llama
al siguiente número.
Scanear puertos implica las mismas técnicas de fuerza bruta. Se envía una serie de
paquetes para varios protocolos y se deduce que servicios están "escuchando" por las
respuestas recibidas o no recibidas.
Existen diversos tipos de Scanning según las técnicas, puertos y protocolos
explotados:

1. TCP Connect Scanning

Esta es la forma básica del scaneo de puertos TCP. Si el puerto está escuchando,
devolverá una respuesta de éxito; cualquier otro caso significará que el puerto no está
abierto o que no se puede establecer conexión con él.
Las ventajas que caracterizan esta técnica es que no necesita de privilegios
especiales y su gran velocidad.
Su principal desventaja es que este método es fácilmente detectable por el
administrador del sistema. Se verá un gran número de conexiones y mensajes de error
para los servicios en los que se ha conseguido conectar la máquina, que lanza el
scanner, y también se verá su inmediata desconexión.
2. TCP SYN Scanning
Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor
para establecerla. La aplicación del Servidor "escucha" todo lo que ingresa por los
puertos.
La identificación del Servidor se efectúa a través de la dirección IP del sistema en el
que se ejecuta y del número de puerto del que depende para la conexión. El Cliente
establece la conexión con el Servidor a través del puerto disponible para luego
intercambiar datos.
La información de control de llamada HandShake (saludo) se intercambia entre el
Cliente y el Servidor para establecer un dialogo antes de transmitir datos. Los
"paquetes" o segmentos TCP tienen banderas que indican el estado del mismo.
El protocolo TCP de Internet, sobre el que se basa la mayoría de los servicios
(incluyendo el correo electrónico, el web y el IRC) implica esta conexión entre dos
máquinas. El establecimiento de dicha conexión se realiza mediante lo que se llama
Three-Way Handshake ("conexión en tres pasos") ya que intercambian tres
segmentos.