INFORC ECUADOR® - Soluciones y análisis en riesgos e informática

(Nuevo) - "Hoy en día, solamente son necesarias malas intenciones y una conexión a Internet para sembrar el caos u obtener otros intereses". ¿Como prevenir este fenómeno?. Contáctenos.

ESET Online Scanner - Antivirus en línea gratis con la tecnología de ESET NOD32

Recopilación de noticias, artículos de interés, recursos y comentarios sobre internet y seguridad. clic aquí

Suscríbase hoy mismo a nuestro RENOVADO boletín. Click aquí.

“La violencia crea más problemas sociales que los que resuelve. “

Martin Luther King

ECUADOR
	Policía Nacional
	Defensa civil
	Bomberos - Quito
	Hospital Metropolitano
	Cruz Roja
	Ministerio de Defensa Nacional
	Dirección de Movilización
	INAMHI
	Diario La Hora
	Kre@tivex
	Ecuador Inmediato
	Black Box Ecuador
	Cámara de Comercio Ecuatoriano Canadiense
INTERNACIONALES
	Directorio - MundoPC.NET
	Noticias AFP
	Diario Las Américas
	El Nacional (Venezuela)
	El Comercio (Perú)
	El País (España)
	Guardian Unlimited (UK)
	BBC Mundo
	New York Times
	National Post (Canadá)
	El Tiempo (Colombia)
	SEGU-INFO.com.ar
	Cyber Sitte (Colombia)
	Fondo de Prevención Vial (Colombia)
	Dynamic Korea

Correo Interno

Stats

Quito - Ecuador.

Ingenieria Social

El termino de "Ingeniería Social" aplicado al tema de la seguridad informática en general, es utilizado para describir una serie de procedimientos o metodologías especificas (Por lo general involucradas con la manipulación de personas), que servirían por ejemplo a un atacante para obtener información vital sobre el sistema a atacar.

Los ataques mediante técnicas de "Ingeniería Social" suelen gozar de un alto grado de eficacia. En muchos de los casos, la misma está dada por el poco tiempo dedicado o la poca importancia que se le da en las empresas y en los departamentos de IT a este problema.

Conceptualmente la "Ingeniería Social" no es considerada un ataque en si misma. Sucede que al ser la Información de la víctima, un elemento básico a utilizar en la intrusión de sistemas, cualquier técnica que ayude a su obtención debería ser considerada seriamente.

La Información recolectada por medio de la utilización de alguna de las "Técnicas de Ingeniería Social" por lo general es utilizada para:

Realizar Compras con Medios de Terceros
Por ejemplo alguien que conozca mucho acerca de usted (Sus datos personales, tarjeta de crédito, dirección, etc.) podría utilizar la Información obtenida para comprar vía Internet o telefónicamente.

Acceder a Internet Gratuitamente
Esto se lograría en caso de que parte de la Información obtenida de un usuario particular, comprenda su nombre de usuario y password de acceso a la red.

Acceder a Instalaciones Restringidas
En el caso de que la Información obtenida sea por ejemplo los datos personales, y laborales del empleado de determinada planta industrial conociendo estos datos un atacante podría imprimir una tarjeta como la que normalmente utilizan los operarios de limpieza, para acceder a por ejemplo la sala de servidores de la administración con la cual ya habría logrado ni más ni menos que acceso físico.

Información tal como: números de teléfonos de módems, nombres de usuario, passwords, tipos de sistemas operativos, marca y modelo de los routers, marca y modelo de los switches, rango de direcciones IP, nombres de servidores o dominios, etc., son elementos sumamente útiles al momento de decidir el tipo de ataque a utilizar en la victima.

Los métodos utilizados relacionados con la "Ingeniería Social" pueden ser de lo más variados y dependen en gran parte de la inventiva que posea el atacante. Herramientas tales como un teléfono para realizar llamadas o la propia utilización del correo postal común son instrumentos validos para obtener Información de una víctima potencial. Tampoco se descarta la utilización de mails con dominios falsos, los cuales son una herramienta excepcional para quienes buscan perpetrar ataques masivos.

Descripción de un ataque telefónico.
A continuación le propongo un escenario mediante el cual podremos representar un ataque típico de "Ingeniería Social", el cual creo será de utilidad para entender lo comentado hasta este punto.

Victima: Empresa de productos alimenticios. Aproximadamente 280 empleados en su sitio central. 5 Personas de soporte técnico de sistemas.
Fecha: Día de Pago a proveedores (Por ejemplo).
Objetivo: Obtener los datos mínimos necesarios para realizar una intrusión.
Táctica: Pasar por un empleado de Help Desk.
Paso 1: Conseguir algún teléfono de la corporación. Para este primer contacto es fácil identificar alguno de los teléfonos de atención al cliente provistos en cualquiera de sus productos (Bolsas, envases, cajas, etc.).
Paso 2: Comunicarse a este teléfono y argumentando ser un proveedor que reclama un pago, solicitar el teléfono del sector de pagos.
Paso 3: Habiendo obtenido el teléfono de uno de los sectores de la empresa del cual se cree participaran usuarios con acceso a la red, el atacante podría utilizar un argumento tan simple como el que se muestra a continuación:

-Usuario : Hola?
-Atacante: (Denotando prisa y fastidio) Si, buenos días habla Marcelo de acá de sistemas...
-Usuario: Marcelo?... de sistemas?
-Atacante: Sifcon voz segura), tienes algún problema con tu usuario de red? porque acá figura que hay algún problema!.
-Usuario: Mira que yo sepa no.
-Atacante: Bueno puede ser un error nuestro, a ver... dime tu...nombre de usuario... o tu dirección de mail...
-Usuario: Si., ehh.. es., "agonzalez"...
-Atacante: mmm, seguro... a ver... agonzalez... agonzalez... aha si acá estas ok, ahora dame tu actual contraseña asíla cambiamos por una nueva para no tener mas problemas.
-Usuario: Si... es "marina".
-Atacante: Ok, gracias hasta luego...
[Fin del Dialogo]

Lo expresado en el dialogo anterior puede sonar extraño y bastante estúpido pero créame que existe un alto porcentaje de probabilidades de que un atacante con un dialogo similar alcance el objetivo que se propone. Si usted es un oficial de seguridad informática, debería probar esto ya mismo.

Bueno, demás esta decir que conociendo el usuario y password de un empleado del sistema victima, las cosas serán mucho mas fácil para el atacante.

Autor de artículo: Hernan Marcelo Racciatti

Condiciones Generales de Uso y Aceptación del Website