Curso de Cyber Seguridad 5ta parte, ingeniería social.
En esta nueva entrega de nuestro curso de cyber seguridad vamos a empezar a ver cómo se las arreglan los cyber delincuentes para “saltearse” las defensas que las organizaciones ponen en sus sistemas. Para entender como esto pasa es importante entender que dado que estas actividades son tan redituables, los delincuentes están dispuestos a realizar importantes inversiones.
Hay varias formas de ingresar a los sistemas informáticos de una empresa, en general el objetivo es dar lugar a un ataque del tipo ATP.
En una nota anterior les explicábamos que una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, que son realizados por humanos (no por programas automáticos).
Estos esfuerzos están dirigidos a penetrar la seguridad informática de una entidad específica y en general lo logran.
El término ‘persistente’ sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua. El término ‘amenaza’ indica la participación humana para orquestar el ataque.
Para lograr llegar a esta situación, los atacantes tienen que lograr al menos un objetivo, y este es colocar una pieza de malware en una terminal o servidor del sistema.
El malware es un termino que sale de las palabras en inglés “malicious software” ( código maligno, software malicioso), es un simplemente un software o programa informatico que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario.
El malware se puede usar con infinidad de propósitos, desde mostrar publicidad no deseada, hasta para robar un banco. Este software se puede desarrollar para uso propio y a medida, o puede ser genérico y comprarse online o en lo que ha dado a llamar la “darknet”.
Colocar ese Malware dentro de los sistemas del objetivo es el verdadero desafío para los hackers. Para lograrlo han desarrollado técnicas conocidas como “ingeniería social”.
La ingeniería social abarca varios niveles de sofisticación, pero antes de entrar en ellos entendamos de que se trata. Bien es sabido que una cadena se rompe siempre por su eslabón más débil, y lo mismo sucede con los sistemas informáticos.
Cuando una infraestructura está bien protegida es muy posible que estos eslabones sean usuarios descuidados o ingenuos.
Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica usan investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o en sistemas de información que les permitan realizar algún acto que perjudique o exponga a estos sistemas.
En su nivel mas elemental, un ingeniero social usará el teléfono o Internet para engañar a la gente, fingiendo ser por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente.
Todos recibimos via mail casi todos los solicitudes falsas de renovación de passwords que solicitan respuestas y datos confidenciales.
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña con propósitos legítimos como reactivar una cuenta, o la amenaza de que su cuenta ha sido comprometida y debe “renovar” su password con lo que no hace otra cosa que dárselo al delincuente. (A este tipo de ataques se los llama phishing.)
Un nivel mas elaborado de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos “íntimas” de alguna persona famosa o algún softweare “gratis” (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso.
Este código puede hacer cosas como usar la máquina de la víctima (o su cuenta de email) para enviar cantidades masivas de spam o darle acceso al hacker a controlar dicha computadora con lo que si esta computadora esta dentro de la organización el hacker tendrá su pase libre a los sistemas deseados.
Muchas empresas, bancos e incluso oficinas de gobiernos van tranquilas pensando que tienen sistemas que neutralizan estos ataques, pero no cuentan con que empleados o gerentes llevan y traen laptops, tabletas y teléfonos de sus hogares a la oficina.
De este modos ataques sofisticados apuntan a personas especificas cuando están en sus casas desprevenidos y sin la protección de estos sistemas, y esperan en “silencio” hasta que estos equipos infectados vuelven a conectarse dentro de la organización … el resto lo podemos leer meses después en los periódicos.
Muchos usuarios, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque, en especial si piensan que viene de alguien de su confianza.
Todos nos creemos muy inteligentes y pensamos que esto no nos pasara a nosotros, pero es importante entender que los delincuentes dedican tiempo y esfuerzos importantes cuando preparan la forma de que nosotros “hagamos click” donde no debemos.
Solo por dar un ejemplo entre miles, hace podo recibimos un mail que de forma clara era spam. En este caso el link para “eliminar la suscripción” llevaba a un sitio que activaba un código malicioso de este tipo.
Es imposible mantener la guardia en alto el 100% del tiempo, los delincuentes lo saben, y es por eso que la ingeniería social funciona tan bien.
Es imposible mantener la guardia en alto el 100% del tiempo, los delincuentes lo saben, y es por eso que la ingeniería social funciona tan bien.
Continuaremos con mas en la próxima entrega.
Te gusta latamisrael.com?
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.