Sobre Ingeniería Social, Phishing y Otras Yerbas

Por: zippejo

Muchas veces en nuestra vida profesional se nos presentan diversos retos de seguridad informática como es el caso de la constante lucha contra hackers y crackers que quieren adueñarse de nuestros servidores. Sin embargo el mayor peligro reside en el eslabón más débil de la cadena: el usuario.

Escrito por:Juan Pablo Bustos

A simple vista pareciera ser que el mayor riesgo que corren nuestras implementaciones y sistemas puede residir en un firewall mal configurado, una contraseña demasiado sencilla o quizás el último backdoor descubierto por un equipo de hackers de Indonesia que amenaza con conseguir privilegios de superusuario; pero luego de un análisis un poco más profundo caemos en la cuenta de que hay factores externos al sistema en sí que plantean vulnerabilidades tales como la revelación de contraseñas, acceso a recursos de información y porque no a recursos de procesamiento (un terminal perdido siempre causará algún impacto negativo en la organización).

Recuerdo que alguna vez un profesor nos planteó casos reales donde los usuarios del sistema pegaban una serie «post-it» en el marco de su monitor con contraseñas de acceso y rutas para acceder a los documentos, o que en su defecto utilizaban la función de «guardar contraseña» en equipos de uso compartido.

Para no entrar en mayor detalle de los típicos descuidos con los que podemos toparnos a la hora de realizar una auditoría o un relevamiento quisiera centrarme en un riesgo sensiblemente menos inocente, la ingenería social y más puntualmente en el phishing.

Wikipedia define a la ingeniería social como: «La práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.»

Desde la misma definición podemos deducir que no se trata ni del aprovechamiento de un exploit, ni tampoco ningúna técnica para saltar las barreras virtuales que separan a una persona malintencionada de nuestro sistema, sino más bien, el fruto del ingenio para hacer que nuestros «inocentes» usuarios simplemente develen la tan preciada información.

Y es en éste punto donde algún lector escéptico pensará que no le parece posible que se pueda plantear un riesgo real, digno de abordaje, del cual se desprenda una vulnerabilidad de la seguridad informática de nuestros sistemas.

Por lo que a los números me remito, según un estudio en 2007 sólo en estados unidos se perdieron más de 3 billones de dólares (si, billones) a causa del phishing, habiendo sido ebay y paypal las principales víctimas de suplantación de identidad. (fuente).

Más allá de la elocuencia de la cifra, las amenazas causadas por éste tipo de prácticas son hoy en día uno de los factores de riesgo más importantes tanto en los ámbitos corporativos como privados.

Quisiera profundizar un poco más el tema del phishing a raíz de una noticia que hoy cobró relevancia en los medios en Argentina.

Para comenzar el concepto de phishing se deriva del vocablo anglosajón «fishing» (pescar), cuya metáfora nos remite a «picar el anzuelo». Básicamente se establece una comunicación electrónica ya sea por mail o mensajería instantánea, donde una organización de nuestra confianza (llámese nuestro banco, la universidad o la empresa que nos brinda el servicio de catering) nos solicita algún dato en particular para llevar a cabo una determinada acción.

Uno de los casos más emblemáticos del phishing fue el AOL en los 90’s donde básicamente nuestros nunca bien intencionados «ingenieros sociales» increpaban a los usuarios a revelar los datos de sus tarjetas de crédito.

De allí es que se deriva la famosa frase que muchas veces vemos en por ejemplo en MSN Messenger que dicta «Nunca revele sus datos personales, ni de su cuenta bancaria» (parece mentira, pero como otro profesor siempre decía: «hay cosas que son tan obvias, que periódicamente es bueno recordarlas»).

Volviendo al caso que hoy me inspiró a redactar éstas líneas, el asunto fue el siguiente: en Buenos Aires existe un sistema de cámaras fotográficas que detecta a un infractor cuando este pasa por ejemplo por un semáforo en rojo, a la multa originada por el mismo se la denomina fotomulta.

Al parecer una persona con mucho tiempo libre, o en su defecto con fines criminales, se le ocurrió enviar una serie de correos electrónicos indicándole al receptor que el mismo registraba una deuda generada por una fotomulta, e invitándolo a consultar las fotos correspondientes bajo la amenaza que de no regularizar su situación, el mismo figuraría en un registro de morosos (denominado Veráz).

Hasta aquí no generaría mayor suspicacia, salvo por el detalle que los links apuntaban a un archivo con extensión .pdf.exe el cual no estaba alojado siquiera en el dominio de donde el mail fue emitido.

PELIGRO-LLEGAN-CORREOS-DEUDAS-FOTOMULTAS_CLAIMA20111012_0075_19

Una vez que la víctima descargaba el archivo, al parecer se instalaba en el sistema operativo un troyano, el cual enviaba información de contraseñas guardadas y demás cosas interesantes a su creador, al menos así fue tipificado en los medios (pueden consultar la noticia aquí ).

Para redondear éste tema, está comprobado que la ingeniería social y sus variantes son un riesgo real que debe ser tenido en cuenta a la hora de la planificación de la seguridad de nuestros sistemas e implementaciones, y la única manera de combatirlo más allá de el más sofisticado firewall o el más novedoso antivirus es el de la capacitación a los usuarios de nuestros sistemas y a las nunca bien recibidas auditorías in situ.

Por cierto, pueden enviarme los datos de su tarjeta de crédito a… digo, después la seguimos 😛

Salu2!

Comparte este artículo con tus amigos