Hackeando tu mente, la magia de la ingeniería social

BinaryMindHackingMe parece que se me había pasado comentaros pero…

A principios de la década pasada apareció en nuestras pantallas una interesante película, basada en la novela homónima, titulada Takedown. En ella nos relataba la historia de uno de los hackers más conocidos a nivel mundial, Kevin Mitnick, también conocido por su nick “The Condor”. Su vector de ataque favorito era la ingeniería social, y la verdad es que los resultados obtenidos fueron tan satisfactorios que lo elevaron al Olimpo de los hackers.

Muchos os estaréis preguntando en que consiste exactamente este tipo de ataque, y aunque existen muchas artimañas dentro del gran abanico de la ingeniería social, me voy a centrar en explicar de forma sencilla y breve dos tipos de técnicas:

  • Traditional Social Engineering: Un hacker se hace pasar por un usuario, siendo éste la víctima del ataque, que por alguna razón misteriosa ha tenido la mala suerte de, por ejemplo, perder su contraseña justo cuando iba a enviar un documento importantísimo a un socio. Aprovechándose de la buena fe, poca profesionalidad o como queramos llamarlo de la persona encargada, logra obtener el password de una forma rápida, alegando que es necesario hacer ese envío lo antes posible porque es crucial para la compañía. Siguiendo patrones similares, puede no solo llegar a lograr una contraseña, sino grandes cantidades de datos. Evidentemente, no hacen ataques parecidos a la misma persona continuamente ya que antes o después acabaría sospechando algo.
  • Reverse Social Engineering: En este caso, como bien indica su nombre, el juego es el inverso. El hacker se hace pasar por una persona que puede solucionar los problemas informáticos que puede tener la víctima. Se gana su confianza haciéndose pasar por alguien familiar, como podría ser alguien con previa relación con la compañía. Suele ser común que el problema que la víctima quiere solucionar haya sido causado por el propio hacker previamente. Por tanto, una vez el usuario le da acceso a la red o equipos (escritorio remoto…), él soluciona la incidencia sin ninguna dificultad y de regalo se lleva toda la información valiosa que haya podido conseguir. Finalmente, la victima queda contenta porque el error no persiste, y no se da cuenta de qué es lo que realmente ha ocurrido allí.

Estas técnicas se suelen llevar a cabo a través de correos electrónicos o el propio teléfono, pero muchas veces no llega a ser necesario embaucar a nadie, ya que actualmente gran cantidad de información de las personas se encuentra completamente “pública” en la red. Ya sea de una forma clara, como mediante metadatos en diferentes servicios, se puede lograr un perfil bastante detallado de una persona sin demasiado esfuerzo personal ni computacional.

Existen muchas herramientas que ayudan a realizar este tipo de ataques, algunas de las más conocidas son Maltego de Paterva o Social-Engineering Toolkit (SET) de TrustedSec. La primera de las herramientas se basa principalmente en la obtención de la información que permitirá al atacante generar ese entorno de confianza previamente mencionado, mientras la segunda tiene una funcionalidad más centrada en los propios ataques que se pueden realizar utilizando dichos datos.

A modo de conclusión, simplemente comentaros que, como podéis intuir, la mejor manera de impedir este tipo de ataques no es una herramienta o programa milagroso, sino una buena concienciación sobre el tema. El usuario es el eslabón más débil en la cadena de la seguridad, así que estar atentos y no os dejéis engañar.

El que avisa no es traidor.

Iskander Sanchez-Rola
Acerca de
Founder/Content Director
Expertise: Web Security, Privacy, Reverse Engineering, Malware
iskander-sanchez-rola.github.io
0 Comentarios en “Hackeando tu mente, la magia de la ingeniería social
1 Pings/Trackbacks para "Hackeando tu mente, la magia de la ingeniería social"
  1. […] Hemos intentado acertar el gordo de la lotería con Machine Learning,  y también hemos intentado hackear los bombos. Pero el número de variables es demasiado grande y nosotros somos mas del mundo digital. Así que nos retiramos para reflexionar, que tenemos 365 días para mejorar el modelo y buscar posibles ataques de ingeniería social. […]

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.