Ingeniería social
Curioso término que escuche hace mucho mientras hacía un proyecto que incluía la seguridad de una gran empresa. El tema de la seguridad en lo que a sistemas de información se refiere es muy curioso. La mayor parte de la gente piensa en los piratas y hackers como gente extremadamente inteligente y con conocimientos técnicos muy sofisticados. Pero no se trata, ni mucho menos, de conocimientos técnicos. En la vida real no se dan esas escenas de ciencia ficción de las películas. De hecho, en la inmensa mayoría de las ocasiones los piratas no son precisamente unos técnicos expertos sino más bien unos “gamberros cibernéticos”. Hay un proverbio (no se si es chino, árabe o de Tolosa) que dice: “cualquier tonto puede tirar una piedra a un rio y mil sabios no pueden sacarla”.
Hay muchas formas de entrar en un sistema. El primero, más obvio y en determinados sitios como España el más fácil de utilizar es simplemente entrar porque nadie lo ha protegido. Es la piratería derivada de la dejadez. Un ejemplo de esto son las nuevas redes inalámbricas (WiFi). Si hacéis el experimento de ir con un portátil por la calle podéis comprobar la cantidad de redes inalámbricas que simplemente están abiertas (osea a la que se puede conectar uno sin problema). Otro ejemplo son los routers ADSL que ponen telefónica. A todos le pone el mismo usuario y contraseña. No creo que llegue al 10% los que sepan que esa cajita tiene un login y un password y que pueden joderte bien si alguien entra ahí y seguramente menos del 5% se molesta en cambiarlo.
Otra forma sencilla es aprovechar lagunas de muchos sistemas. Antiguamente, cuando se daba de alta un usuario la cuenta de acceso estaba abierta hasta que alguien entraba. Era entonces cuando el sistema te pedía tu contraseña para las siguientes veces. En las grandes empresas, y teniendo la lista de usuarios, raro era el día que no había un par de cuentas abiertas.
Pero mis métodos preferidos de los utilizados por los piratas es la ingeniería social. Estos métodos se basan simplemente en aprovechar el hecho de que “todos somos iguales” y aunque nos gusta pensar que somos únicos repetimos las mismas costumbres y, además, somos particularmente simples y confiados. El más obvio es el de buscar una contraseña simple de entre unas cuentas posibilidades. Un ejemplo. En Inglaterra se hizo un estudio y seis de cada mil usuarios tenían la contraseña “1234”. Eso puede parecer poco pero implica que en una empresa mediana o grande es muy probable que haya dos, tres o diez personas que utilicen esa clave. Otro estudio que se hizo en una agencia de seguridad americana dio como resultado que utilizando unas mil palabras y combinaciones obtuvieron acceso en el 40% de las cuentas.
Otra técnica que se suele utilizar y que puede considerarse ingeniería social son el “phishing” (la pesca) y que suele consistir en, directamente, pedir los datos con cualquier excusa. Últimamente se da mucho un tipo bastante burdo que consiste en pedir los datos de tu cuenta via mail o llevarte a una página igualita que la de tu banco donde una vez que metas tu usuario y contraseña se almacena. Pero una de las formas más geniales de “phishing” es la que realizaba un hacker en Inglaterra. Y digo geniales porque es simple y funciona.
El tío en cuestión se metía en las oficinas de la empresa que quería hachear (cualquier que trabaje en una empresa de este tipo sabe que no es muy difícil hacer esto) y se llevaba una tarjetita donde decía “técnico informático” y utilizaba una técnica sofisticadísima. Simplemente llegaba, decía que le habían llamado y que había algún problema, o que tenía que instalar una impresora, te pedía sentarse en tu ordenador y, sin inmutarse te pedía la clave. Todo el que haya trabajado en una empresa grande sabe que los informáticos siempre están revoloteando haciendo cosas raras (eso me decían a mi) y si te piden la clave tu se la das y punto (yo lo he hecho cien veces, sin mala fé eh?)
Pero el tipo de técnica de ingeniería social que más me llama la atención son la nueva versión del timo de la estampita. Como todo timo se basa en explotar la maldad del timado. Y es que un timador es un ingeniero social con todas las de la ley (nuevas definiciones para lo mismo de siempre). En este caso te envían un mensaje explicándote claramente como puedes piratear el correo de otra persona. Pero eso sí, normalmente para hacerlo de alguna forma tienes que enviar tu cuenta y tu clave a un supuesto “robot” que te devolverá a tu cuenta la clave del correo que buscas.
Ayer me enviaron un correo de estas características y envié un mail a la cuenta en cuestión diciendo (tu crees que soy tonto chaval?). Hoy recibí una respuesta de esa mail que decía.. “tu no se pero tontos los hay a cientos”.
Ahora me queda por pensar en que hubiese hecho si de verdad pensará que me iban a dar la contraseña de otra persona. ¿La hubiera pedido?. Interesante auto-discusión me espera.
Hay muchas formas de entrar en un sistema. El primero, más obvio y en determinados sitios como España el más fácil de utilizar es simplemente entrar porque nadie lo ha protegido. Es la piratería derivada de la dejadez. Un ejemplo de esto son las nuevas redes inalámbricas (WiFi). Si hacéis el experimento de ir con un portátil por la calle podéis comprobar la cantidad de redes inalámbricas que simplemente están abiertas (osea a la que se puede conectar uno sin problema). Otro ejemplo son los routers ADSL que ponen telefónica. A todos le pone el mismo usuario y contraseña. No creo que llegue al 10% los que sepan que esa cajita tiene un login y un password y que pueden joderte bien si alguien entra ahí y seguramente menos del 5% se molesta en cambiarlo.
Otra forma sencilla es aprovechar lagunas de muchos sistemas. Antiguamente, cuando se daba de alta un usuario la cuenta de acceso estaba abierta hasta que alguien entraba. Era entonces cuando el sistema te pedía tu contraseña para las siguientes veces. En las grandes empresas, y teniendo la lista de usuarios, raro era el día que no había un par de cuentas abiertas.
Pero mis métodos preferidos de los utilizados por los piratas es la ingeniería social. Estos métodos se basan simplemente en aprovechar el hecho de que “todos somos iguales” y aunque nos gusta pensar que somos únicos repetimos las mismas costumbres y, además, somos particularmente simples y confiados. El más obvio es el de buscar una contraseña simple de entre unas cuentas posibilidades. Un ejemplo. En Inglaterra se hizo un estudio y seis de cada mil usuarios tenían la contraseña “1234”. Eso puede parecer poco pero implica que en una empresa mediana o grande es muy probable que haya dos, tres o diez personas que utilicen esa clave. Otro estudio que se hizo en una agencia de seguridad americana dio como resultado que utilizando unas mil palabras y combinaciones obtuvieron acceso en el 40% de las cuentas.
Otra técnica que se suele utilizar y que puede considerarse ingeniería social son el “phishing” (la pesca) y que suele consistir en, directamente, pedir los datos con cualquier excusa. Últimamente se da mucho un tipo bastante burdo que consiste en pedir los datos de tu cuenta via mail o llevarte a una página igualita que la de tu banco donde una vez que metas tu usuario y contraseña se almacena. Pero una de las formas más geniales de “phishing” es la que realizaba un hacker en Inglaterra. Y digo geniales porque es simple y funciona.
El tío en cuestión se metía en las oficinas de la empresa que quería hachear (cualquier que trabaje en una empresa de este tipo sabe que no es muy difícil hacer esto) y se llevaba una tarjetita donde decía “técnico informático” y utilizaba una técnica sofisticadísima. Simplemente llegaba, decía que le habían llamado y que había algún problema, o que tenía que instalar una impresora, te pedía sentarse en tu ordenador y, sin inmutarse te pedía la clave. Todo el que haya trabajado en una empresa grande sabe que los informáticos siempre están revoloteando haciendo cosas raras (eso me decían a mi) y si te piden la clave tu se la das y punto (yo lo he hecho cien veces, sin mala fé eh?)
Pero el tipo de técnica de ingeniería social que más me llama la atención son la nueva versión del timo de la estampita. Como todo timo se basa en explotar la maldad del timado. Y es que un timador es un ingeniero social con todas las de la ley (nuevas definiciones para lo mismo de siempre). En este caso te envían un mensaje explicándote claramente como puedes piratear el correo de otra persona. Pero eso sí, normalmente para hacerlo de alguna forma tienes que enviar tu cuenta y tu clave a un supuesto “robot” que te devolverá a tu cuenta la clave del correo que buscas.
Ayer me enviaron un correo de estas características y envié un mail a la cuenta en cuestión diciendo (tu crees que soy tonto chaval?). Hoy recibí una respuesta de esa mail que decía.. “tu no se pero tontos los hay a cientos”.
Ahora me queda por pensar en que hubiese hecho si de verdad pensará que me iban a dar la contraseña de otra persona. ¿La hubiera pedido?. Interesante auto-discusión me espera.
Comentario:
"...y si te piden la clave tu se la das y punto" . Yo lo he hecho varias veces, pero sólo por medidas preventivas, que conste.
Besos
Besos
Comentario:
A mí tampoco me ha pasado nunca nada de eso, aun asi no dejo de pensar ¿para qué quiere alguien la cuenta de correo de alguien que desconoce? porque de algún conocido todavía puedo entenderlo....
Me gustan estos articulos tan "tecnicos". Besitos.
Me gustan estos articulos tan "tecnicos". Besitos.
Comentario:
Nunca me ha pasado lo de que me inviten a dar mi contraseña a cambio de que me den la de no se quien. Porque la verdad es que no estoy interesada en obtener la de nadie. (Yo suelo utilizar otras técnicas de ingeniería social cuando quiero conseguir alguna información).
Pero si me pasara, creo que les seguiría el juego. Me crearía una cuenta y una contraseña nueva solo para ellos y les escribiría dándosela para ver lo que me enviaban y para que servía.
Pero si me pasara, creo que les seguiría el juego. Me crearía una cuenta y una contraseña nueva solo para ellos y les escribiría dándosela para ver lo que me enviaban y para que servía.
Comentario:
Yo estuve un tiempo metida en alguna que otra comunidad de msn, y ocurría como aquí se formaban grupitos de gente que discutían, contaban y hacían maldades de este tipo. En las comunidades msn necesitas entrar con tu cuenta de hotmail y aquí es donde "pescaban" los datos personales de las nuevas incorporaciones para gastarles la novatada. En fin me pescaron la cuenta al poco de entrar y escribieron en mi nombre algo que yo nunca llegué a leer porque lo borraron inmediatamente. El caso es que el escrito era bueno, muy bueno, pero chocaba frontalmente con mi forma de ser y me gané un apodo que ya no hubo forma de quitármelo de encima (me llamaban monjita).
Comentario:
Un día leí un artículo sobre la seguridad de las redes inalámbricas. El artículo era demasiado técnico para mí, pero me dejó fascinada que el artículo tuviese 950 comentarios.
Lo primero que pensé: "cuánta gente entendida hay por aquí"...
Empecé a leer los comentarios y 948 eran de gente que, sin haberse leído el artículo, creía que te estaban dando pistas de cómo conseguir la contraseña de una cuenta de correo ajena.
De los 948 comentarios 930 aseguraban que "era de vida o muerte" conseguir la contraseña de una cuenta de correo y que necesitaban ayuda....
Algunos contaban unas historias alucinantes con el fin de que algún alma caritativa les enseñase a meterse en una cuenta privada...
Me pareció fascinante... "cuánto presunto cornudo hay por aquí" pensé.
Besos
Lo primero que pensé: "cuánta gente entendida hay por aquí"...
Empecé a leer los comentarios y 948 eran de gente que, sin haberse leído el artículo, creía que te estaban dando pistas de cómo conseguir la contraseña de una cuenta de correo ajena.
De los 948 comentarios 930 aseguraban que "era de vida o muerte" conseguir la contraseña de una cuenta de correo y que necesitaban ayuda....
Algunos contaban unas historias alucinantes con el fin de que algún alma caritativa les enseñase a meterse en una cuenta privada...
Me pareció fascinante... "cuánto presunto cornudo hay por aquí" pensé.
Besos
