18:57 30/04/02
 

INGENIERÍA SOCIAL: MENTIRAS EN LA RED
 

Mercè Molist
Otoño de 2001 en el proveedor America Online. Alguien llama al servicio de ayuda y está una hora hablando con un operador. Durante la conversación menciona, de paso, que quiere vender su coche. El técnico se muestra interesado y el hacker le envía una foto. Al abrirla, se ejecuta un programa que crea una conexión pirata, traspasando el cortafuegos de la compañía. Así, el intruso accede a la red interna y a las cuentas de 200 clientes.

La mentira ha adquirido nuevo nombre y dimensión en Internet, donde el riesgo para quien engaña es menor que cara a cara. Las estrategias se han complicado, "ingenierizado", en un terreno fértil que iguala los datos al dinero como objeto de deseo. Profesionales del tocomocho, espías industriales, 'crackers', escritores de virus, bromistas y, en general, la estructura abierta y confiada de la red han convertido a la Ingeniería Social (IS) en el crimen más difícil de combatir.

Su uso para la introducción de "troyanos" (programas que simulan ser otra cosa mientras a escondidas ejecutan las órdenes del atacante) es la punta del iceberg. El caso masivo más conocido fue el gusano "I Love You". Y cada semana aparecen nuevas ideas que, como aquella, se aprovechan de la ignorancia, buena fe y psicología de la gente para que ejecute algo que le llega en un mensaje, creyendo que será una carta de amor o una imagen divertida de "Operación Triunfo".

El Centro de Respuesta a Emergencias (CERT) norteamericano difundía recientemente su enésima alerta contra los "troyanos" que circulan por el chat, usando técnicas de IS: se ofrece a la víctima un archivo. Ésta lo abre y, sin saberlo, envía sus datos al atacante o le permite tomar control del ordenador. Según el CERT, gozan de buena salud técnicas veteranas  como mandar un mensaje automático a toda la gente conectada a una red de chat: "Está infectado con un virus, le sugiero que vaya a mivirus.es y se instale el antivirus o le echaremos".

Una variante son los avisos de falsos virus por correo, llamados "hoaxes", entre los que destacan los "virus manuales", al estilo "sulfnbk.exe", que alerta contra un programa con este nombre, que debe borrarse si se detecta en el ordenador. En realidad, es un archivo legítimo del sistema Windows. Una versión socarrona es el "virus gallego", con este mensaje: "Como los gallegos no tenemos experiencia en programación, este virus trabaja basado en un sistema de honor. Por favor: borre todos los archivos de su disco duro manualmente y envíe este mensaje a todos los miembros de su lista de correo".
 

Enredos bíblicos
Pero la IS va más allá y se hace arte en manos de algunos hackers elegidos. En la Brenz's Social Engineering Page, se remontan al Genésis: "Jacob quería una información de su padre, sobre sus derechos de nacimiento. El padre quería darlos a su hermano. Jacob simuló ser el hermano y confundió al padre, consiguiendo los derechos". El menos bíblico Kevin Mitnick fue, según Brenz, un gran hacker de la mentira: "Hacía la mayor parte de su trabajo usando ingeniería social. Sólo el último 15% era con ordenador. Engañar a secretarias, correo falso, saltar muros... Todo era válido y funcionaba".

La IS se usa, básicamente, para conseguir acceso a sistemas. En la época de las BBSs, para llamar sin pagar. Después, el chat fue campo abonado para el robo de códigos de entrada a Internet. No hay revista "underground" que no le haya dedicado algún artículo. Como "Raregazz": "Hay varias formas de IS: conseguir datos de alguien y llamar a su proveedor diciendo que has perdido la contraseña, o llamar al usuario diciendo que eres el proveedor. Un buen método es pedir la dirección a novatos y enviarles un correo diciendo que eres el administrador y necesitas sus datos".

El diccionario "Jargon File" define la IS como: "Término usado entre "crackers" y "samurais" para las técnicas que se aprovechan de las debilidades de las personas y no de los programas, con el objetivo de conseguir sus contraseñas u otra información que comprometa la seguridad del sistema. Un truco clásico es telefonear a la víctima diciendo que eres un técnico con un problema urgente". Al ser este mundo desconocido para la mayoría, es fácil creer lo que diga un falso experto.

La definición del mexicano Martín Humberto Hoz es más precisa: "Inducción a la comisión de actos que favorecen un ataque. Que la víctima haga algo, diga algo o deje de hacer algo". Entre los clásicos, el ejecutivo que ha perdido la contraseña y quiere acceder urgentemente a su cuenta; llamar a una empresa, haciéndose pasar por vendedor, para conocer datos sobre su red; espiar por la espalda cuando alguien teclea; buscar información desechada en la basura o conseguir trabajo en la empresa.
 

"Intenta ser una mujer"
Esta "ciencia de hacer que la gente cumpla tus deseos" está muy bien considerada entre los "hackers" como método seguro y rápido de obtener información.  Conocimientos técnicos y psicológicos son el principal requisito. Y, según los manuales: "Ser profesional, conocer al enemigo, no meterse con gente más lista, crear una ilusión en la víctima, ser amable, confidente, persuasivo, hacerle creer que tiene el control de la situación, mantener la calma, planear la escapada con antelación e intentar ser una mujer".

El ataque puede consistir en una pregunta directa o crear una situación para que la víctima relaje sus defensas y adopte la actitud psicológica deseada, como querer quedar bien o cumplir una obligación moral. El teléfono e Internet son los medios mayoritarios. El de mayor riesgo,  el mundo real, cuando la persona se desplaza al sitio,  disfrazada de técnico, empleado o inocente paseante. Un ataque suele consistir en series encadenadas de IS, que suman información a la obtenida con programas de reconocimiento en Internet.

Como dice Lester, maestro de hackers, aún hay clases: "El timo de la estampita y la ingeniería social no tienen mucho que ver porque ésta se basa en amplios conocimientos de psicología aplicada y de las tecnologías sobre las que se quiere obtener información. En las empresas donde se desarrollan proyectos reservados, la calificación técnica necesaria, para entender la información que se quiere obtener y para ser considerado un igual al que respetar, es muy alta. Las operaciones de este nivel pueden llevar meses de cuidada planificación".
 

Altos vuelos
Entre los golpes maestros destaca la Ingeniería Social Inversa: "Las tres partes del ataque son: sabotaje, anuncio y asistencia. El hacker sabotea la red causando un problema. Después, anuncia de alguna forma a la empresa que tiene la solución y, cuando le llaman para que lo arregle, recolecta la información que busca entre los empleados", explica un artículo de "SecurityFocus". El tiempo de preparación de estos ataques es mucho mayor, pero también su efectividad a la hora de conseguir información y no dejar huellas.

Francisco Marco Fernández, director de la oficina en Barcelona de la agencia de detectives Método 3, recuerda algunos casos: "Uno de los primeros fraudes que investigó la Policía Tecnológica fue de este tipo, acabó como un burdo chantaje de 500.000 pesetas para arreglar el problema. Las acusaciones a las multinacionales de programas antivirus de crear virus para luego paliarlos no deja de ser también la misma técnica".

En el CERT de la Universitat Politècnica de Catalunya (UPC) conocen también la IS: "Es muy peligrosa si se tiene la suficiente cara. Usualmente se practica a bajo nivel, es muy popular como herramienta fácil para acceder a una máquina en cuestión de minutos. En los ataques espectaculares, cuando no sabes cómo lo han hecho, es que han usado ingeniería social". Fernando Vega, director de consultoría de seguridad de SIA, añade: "Es una herramienta fundamental en todo ataque bien organizado, pero no la principal".

Según el director de Método 3, "el 80% de ataques tienen un alto contenido de IS. El más frecuente, que hemos investigado, es la entrada inconsentida en el ordenador de un alto directivo. Pocos días antes su esposa había contestado una encuesta donde le preguntaban los nombres y edades de los hijos. La contraseña era la combinación de un nombre y la fecha de nacimiento del hijo mayor. También es común hacerse pasar por el proveedor de mantenimiento de una empresa, en un control rutinario remoto, y pedir las contraseñas a las secretarias".
 

El factor humano
En el congreso "Access All Areas" de 1997, un conferenciante aseguraba: "Aunque se dice que el único ordenador seguro es el que está desenchufado, los amantes de la ingeniería social gustan responder que siempre se puede convencer a alguien para que lo enchufe. El factor humano es el eslabón más débil de la seguridad informática. Y no hay un sólo ordenador en el mundo que no dependa de un ser humano, es una vulnerabilidad universal e independiente de la plataforma tecnológica".

Rick Nelson, en un estudio sobre el tema, añade: "Su uso es común debido a que muchas veces funciona mejor y se invierte menos tiempo que en un ataque por fuerza bruta. No importa lo seguro que sea un sistema, el conocimiento extraído manipulando a uno de sus usuarios puede hacerlo inoperable". Ira Winkler, asesor del gobierno estadounidense en Infoguerra, lo confirma: "La experiencia demuestra que más del 90% de los empleados divulgarían información bajo un ataque".

A pesar de ello, la IS es desconocida para usuarios y empresas que, según Marco, "no le dan la importancia que merecería. Se centran en la protección tecnológica y se olvidan de las personas". Coincide Óscar Conesa: "No se tiene en cuenta ni en las auditorías ni en las políticas de seguridad. Como máximo, se da un cursillo a la gente y se espera que no se dejen engañar. La única solución es una mayor educación y no fiarse ni de los de dentro". Discrepa Marco: "Cerrar las puertas es absurdo. Lo mejor es crear un manual de actuación ante estas técnicas".
 

¿Cómo saber que te engañan?
El Computer Security Institute explica en su web cómo reconocer un ataque de ingeniería social: "El interlocutor se niega a dar datos de contacto, tartamudea, nos intimida, comete pequeños errores o pide información prohibida". Alfons Cano, jefe de la Unidad de Delitos en Tecnologías de la Información de los Mossos d'Esquadra, añade un apéndice para niños: "Si alguien te pide una foto o el teléfono de buenas a primeras, o muchos dados personales, desconfía. Y no aceptes nada de quien no conoces".

Fernando Vega aporta su fórmula para empresas: "Ante ataques técnicos, lo lógico es implantar controles técnicos y revisar periódicamente que estén realizando su función. Con la ingeniería social, una buena forma de comprobar si se están realizando ataques sería recoger estadísticas de incumplimiento de procedimientos, por ejemplo el número de personas que han llamado a un "helpdesk" y a los que no se ha dado la información porque no proporcionaban todos los datos de identificación. Y concienciar a los empleados de que avisen de cualquier pregunta o actitud sospechosa".

Kevin Mitnick explicó hace dos años, ante el Senado Norteamericano, cómo violó sistemas de servicios financieros y de la administración, simplemente "hackeando" a humanos: "Llamé a empleados y utilicé ingeniería social para conocer su sistema y los comandos de acceso a información protegida de un contribuyente. Cuando me familiaricé, pude engañar a otros, usando la información  obtenida de los primeros para pretextar ser un compañero de trabajo con problemas. Tuve tanto éxito que pocas veces usé el ordenador".

Mitnick concluía: "Las empresas gastan millones de dólares en cortafuegos, cifrado y mecanismos de seguridad, y es dinero malgastado porque ninguna de estas medidas se dirige al eslabón más débil: la gente que utiliza, administra y cuida los sistemas donde está la información protegida".
 

Hoax Info
http://hoaxinfo.com
CERT: Social Engineering Atacks Via IRC
http://www.cert.org/incident_notes/IN-2002-03.html
Cómo conseguir una cuenta con ingeniería social
http://members.easyspace.com/hackuma/textos/glide.txt
Bernz's Social Engineering Page
http://packetstorm.decepticons.org/docs/social-engineering/socintro.html
Kevin Mitnick
http://www.kevinmitnick.com
esCERT
http://escert.upc.es
Método 3
http://www.metodo3.es
SIA
http://www.sia.es
SANS. Social Engineering. What is it?
http://rr.sans.org/social/social.php
Social Engineering Fundamentals
http://www.securityfocus.com/infocus/1527
Social Engineering
http://www.isr.umd.edu/gemstone/infosec/ver2/papers/socialeng.html
DMS - Social Engineering
http://hackpalace.com/hacking/social-engineering/psychology%20of%20social%20engineering.html
Social Engineering Tools
http://www4.ncsu.edu/~jkwilli2/main/soceng.html
"Underground"
http://www.underground-book.com
SET
http://www.set-ezine.net
Raregazz
http://raregazz.com.ar

Ingeniería Social II ->

<<