Muy pocos la calificarían como método de hacking, pero realmente es una técnia que da resultados por si sola y que puede apoyar a otras muchas para lograr un objetivo. En el mundo hacking no hay programa o métodología estándar para conseguir hacer una intrusión, existen un conjunto de técnicas, métodos y herramientas que bien utilizadas pueden dar con mayor o menor posibilidades el éxito en una intrusión. El uso de esta técnica está al alcance de cualquiera ya que no se necesitan conocimientos previos para poder llevarla a cabo. Ahora bien si la está utilizando un hacker experto podrá obtener información relevante para poder lanzar sus ataques con una mayor efectivadad.
Resumen
La definición de ingeniería social es el arte de sacar información a alguien sin que la persona que está siendo «atacada» se de cuenta. Este sería el resumen corto, y en un sentido mas ámplio se utiliza también para inducir al usuario a realizar acciones que o bien le pondrán en una posición de baja seguridad o bien nos ayudará a crear una situación en la que nosotros como atacantes estamos en posicón ventajosa para lograr el objetivo que estamos persiguiendo. Esto no es algo que se aplique exclusivamente en el ámbito informático, es una técnica basada en el engaño y la confianza por parte de la víctima. Podemos ver ejemplos de aplicación de esta técnica en los trileros por ejemplo. Para los que desconocéis qué son los trileros son personas que se dedican a sacar dinero a los transeuntes mediante un sencillo «juego». El juego consiste en que ponen una bolita en la mesa y 3 cubiletes pequeños. Tapan la bolita con un cubilte y los mueven entre si varias veces a gran velocidad. Tu como jugador debes adivinar cual de los 3 cubiletes tiene la bola, pero no lo vas a lograr ya que aunque aciertes el trilero al levantar el cubilete ocultará la bola y perderás. Claro, si la persona se pone en la calle a esperar que alguien venga y apueste dinero porque sí entonces el «negocio» no le va muy bien. ¿Cómo lo mejora? aplicando un truco de ingenería social que consiste en tener un gancho que apuesta varias veces delante de la gente y «gana», en realidad no gana, el trilero le deja ganar, la gente al ver lo fácil que es ganar dinero empieza a jugar también y aquí es donde el trilero le saca los cuartos. Esta sería la esencia de este tipo de «hacking», que aunque pueda parecer un tanto básico a veces puede dar mejor resultado que la técnica mas avanzada que tengas en tu repertorio.
Si eres padre de un menor de edad que está empezando a coquetar en internet deberías poder ser capaz de ver con quien se está relaccionando, ya que por desgracia para todos sabemos que puede convertirse en el objetivo de algún adulto con malas intenciones. Al igual que a todos nos han dicho alguna vez «no hables con desconocidos» en la red ocurre lo mismo. Solo que en la red es mas dificil detectar para el crío saber si realmente está hablando con otro chaval o con alguien que se está haciendo pasar por un niño. Esta gente suele ganarse la confianza de tus hijos haciéndoloes creer que son también menores y poco a poco se los van llevando a su terreno hasta que tu hijo hará exactamente lo que el adulto pretendía desde el principio. La única forma de que puedas proteger a tu hijo de estos individuos es tener la capacidad de ver qué esta ocurriendo en el ordenador cuando tu no estás delante. Y este es uno de los objetivos de este curso sobre seguridad informática y hacking.
Si eres un empresario ten presente desde ya la siguiente frase en mente «una cadena se rompe siempre por el eslabón mas débil«. Esto es, de nada te servirá que tu red sea la más segura de la zona si tus empleados no está bien educados. Si no tienes un protocolo de actuación bien definido un atacante ducho en ingeniería social podría sacar información suficiente de tu empresa sin ser descubierto en tan solo unas horas. El siguiente es un ejemplo de ingeniería social real que se ha dado y se dará en multitud de ocasiones. Un atacante digamos que quiere acceder a las entrañas de la empresa «Inseguridad informática SL» descubre que tiene una web www.inseguridadinformaticasl.com y en ella ve que aparece el típico logo de la empresa que le ha creado la web. Ve además que que la web tiene un formlario de contacto y que no está muy protegido contra el spam. Con este escenario su objetivo será colarse en la empresa para instalar un software de control remoto (un troyano) en un ordenador de dentro de la empresa. ¿Cómo podría actuar? En primer lugar podría utilizar el formulario de contacto para ver si hay alguien al otro lado que responde a los correos que llegan. Lo que está buscando es dar con la persona que hay detrás de la web en la empresa. Una vez verifica que hay alguien ya sabe que mediante ese formulario interactúa con un empleado y esto ya aunque no lo creas es la primera vía de entrada a la empresa. Si es hábil podrá averiguar el nombre de la persona que responde a ese formulario de contacto e incluso si tiene una extensión telefónica dentro de la empresa. Ya lo ha hecho, tras unos días haciendo esta indagación ya sabe que Manolo Garrido con la extensión 001 es quien gestiona el formulario de contacto de la web. Siguiente paso, poner nervioso a Manolo. Mediante algún programa de SPAM podría hacer que le llegaran cientos de peticiones falsas mediante este formulario de contacto. Manolo no sabe bien qué está ocurriendo y se está poniendo nervioso, evidentemente no sospecha nada de que esto es parte de una estrategía de ataque mayor. En mitad de este caos el atacante podría hacer una llamada a la empresa diciendo que es alguien de la empresa que le ha hecho la página web y que le han dicho que hable con Manolo porque han detectado una incidencia (se la está jugando, porque podría ser que Manolo ya estuviera en contacto con la empresa de la web por el caos en el que está inmerso pero lo único que puede pasar es que su ataque falle y tenga que buscar otra estrategía). Lo normal sería que Manolo aún esté un poco sin saber bien que hacer, le pasan una llamada, y le dicen «te paso a Juan (nuestro atacante) es de la empresa que ha hecho la web». Ya tenemos a nuestro atacante hablando directamente con Manolo. Ahora Juan le podrá decir a Manolo que ha detectado que la web está funcionando mal y que se está generando un montón de correos porque en el ordenador de Manolo está ocurriendo el problema de turno que se le ocurra a Juan, su objetivo concertar una cita con Manolo dentro de la empresa. Juan llega a la empresa, pregunta por Manolo y le llevan a su despacho, Manolo le dice que está que no puede trabajar debido a todo lo que le está entrando y Juan le pide que le deje ver su ordenador para ver qué está ocurriendo ya que ha detectado en la web que su PC se están haciendo peticiones extrañas, mete su pendrive con su «antivirus» y acaba de hacer que el ordenador de Manolo sea controlable de forma remota desde cualquier lugar del mundo, a la par que hace esto detiene su programa que estaba haciendo SPAM, Manolo ve que realmente el problema se ha solucionado y le da las gracias a Juan. Juan vuelve a casa y ya puede conectarse al PC de Manolo, acaba de hacer una intrusión sin que Manolo sospeche lo mas mínimo. Esto es solo un ejemplo de intrusión real mediante ingenería social aplicada a empresas.
Si bien que cada vez que abrimos una cuenta de correo electrónico con el proveedor que sea nos obliga a crear una contraseña también nos suele dar un método alternativo en caso de que olvidemos la contraseña. Este método alternativo suele ser escoger una pregunta a la cual solo nosotros conozcamos la respuesta y nos sea fácil recordar. Esto tiene un problema y que muchas personas eligen preguntas del tipo: «Mi profesor favorito», «Mi equipo de futbol favorito», «Mi actor favoríto» «Nombre de mi abuela materna»… Evidentemente si pierdes tu clave, le das a recuperar contraseña olvidada y el sistema te hace cualquiera de esas preguntas las vas a poder responder sin muchos problemas. Pero precisamente este es el problema. Si un atacante descubre que tienes una pregunta de ese estilo podrá entablar una conversación contigo y sacarte el tema de forma disimulada para que tu mismo le des la respuesta. En cuanto tu le des la respuesta estará en posición de hacerse pasar por tí respondiendo correctamente a la pregunta que el sistema de recuperación de claves le está formulado. Este método no suele ser muy efectivo, pero si que es cierto que si el atacante conoce a la víctima y la pregunta es sencilla podrá hacer un par de pruebas que le llevarán menos de 5 minutos antes de descartar el método.
El objetivo en este tipo de escenarios es inducir a la víctima a descargar malware en su equipo. En función de los conocimientos informaticos de la posible víctima al atacante le será más fácil o difícil engañar a su objetivo. Un ejemplo muy común es colgar una web falsa con algún tipo de software malicioso, y después ya sea por correo electrónico, chat o cualquier medio generarle un interés a la víctima para que visite la web, si además se conoce el navegador que suele utilizar se podría prepara un exploit que con solo visitar la web se le instalara el malware. De ahí que si el atacante es capaz de hacer una página con esas características y suma la ingenería social podrá lograr su objetivo.
Como habrás podido comprobar la ingeniería social es casi siempre una técnica de apoyo a otras técnicas, y es haciendo la suma de todas como ciertos atacantes logran sus objetivos. En ciertas ocasiones buscar una vulnerabilidad en un software, red o servidor puede ser una tarea tediosa, llevarte horas y horas y nadie te garantiza tener éxito en la intrusión. Sin embargo la vulnerabilidad puede estar en la persona, es decir si la persona es vulnerable a estos ataques será el esabón más débil de la cadena y será ese eslabón el que habrá comprometido la seguridad de todo el sistema. Las redes sociales, sobre todo si tienes un perfil público pueden ser una mina de información para alguien que busca la pieza que le falta para poder poner en marcha su estrategía de ataque. Ten en cuenta esta posibilidad en tu día a día y plantéate siempre la información que estás dando y a quién.