Me parece que se me había pasado comentaros pero…
A principios de la década pasada apareció en nuestras pantallas una interesante película, basada en la novela homónima, titulada Takedown. En ella nos relataba la historia de uno de los hackers más conocidos a nivel mundial, Kevin Mitnick, también conocido por su nick “The Condor”. Su vector de ataque favorito era la ingeniería social, y la verdad es que los resultados obtenidos fueron tan satisfactorios que lo elevaron al Olimpo de los hackers.
Muchos os estaréis preguntando en que consiste exactamente este tipo de ataque, y aunque existen muchas artimañas dentro del gran abanico de la ingeniería social, me voy a centrar en explicar de forma sencilla y breve dos tipos de técnicas:
- Traditional Social Engineering: Un hacker se hace pasar por un usuario, siendo éste la víctima del ataque, que por alguna razón misteriosa ha tenido la mala suerte de, por ejemplo, perder su contraseña justo cuando iba a enviar un documento importantísimo a un socio. Aprovechándose de la buena fe, poca profesionalidad o como queramos llamarlo de la persona encargada, logra obtener el password de una forma rápida, alegando que es necesario hacer ese envío lo antes posible porque es crucial para la compañía. Siguiendo patrones similares, puede no solo llegar a lograr una contraseña, sino grandes cantidades de datos. Evidentemente, no hacen ataques parecidos a la misma persona continuamente ya que antes o después acabaría sospechando algo.
- Reverse Social Engineering: En este caso, como bien indica su nombre, el juego es el inverso. El hacker se hace pasar por una persona que puede solucionar los problemas informáticos que puede tener la víctima. Se gana su confianza haciéndose pasar por alguien familiar, como podría ser alguien con previa relación con la compañía. Suele ser común que el problema que la víctima quiere solucionar haya sido causado por el propio hacker previamente. Por tanto, una vez el usuario le da acceso a la red o equipos (escritorio remoto…), él soluciona la incidencia sin ninguna dificultad y de regalo se lleva toda la información valiosa que haya podido conseguir. Finalmente, la victima queda contenta porque el error no persiste, y no se da cuenta de qué es lo que realmente ha ocurrido allí.
Estas técnicas se suelen llevar a cabo a través de correos electrónicos o el propio teléfono, pero muchas veces no llega a ser necesario embaucar a nadie, ya que actualmente gran cantidad de información de las personas se encuentra completamente “pública” en la red. Ya sea de una forma clara, como mediante metadatos en diferentes servicios, se puede lograr un perfil bastante detallado de una persona sin demasiado esfuerzo personal ni computacional.
Existen muchas herramientas que ayudan a realizar este tipo de ataques, algunas de las más conocidas son Maltego de Paterva o Social-Engineering Toolkit (SET) de TrustedSec. La primera de las herramientas se basa principalmente en la obtención de la información que permitirá al atacante generar ese entorno de confianza previamente mencionado, mientras la segunda tiene una funcionalidad más centrada en los propios ataques que se pueden realizar utilizando dichos datos.
A modo de conclusión, simplemente comentaros que, como podéis intuir, la mejor manera de impedir este tipo de ataques no es una herramienta o programa milagroso, sino una buena concienciación sobre el tema. El usuario es el eslabón más débil en la cadena de la seguridad, así que estar atentos y no os dejéis engañar.
El que avisa no es traidor.
