Transformation in die Cloud - welche Cloud darf es sein?
Perspective Security

Ingeniería social

26-jun-2018

La brecha a la seguridad se encuentra sentada justo enfrente del ordenador. A través de la ingeniería social los piratas informáticos engañan a los empleados para obtener acceso a los sistemas informáticos de las empresas. Una de cada tres empresas en el mundo se ve afectada por ello.
Botnetze lassen sich nur mühsam bekämpfen.
A mediados de 2016, la campaña presidencial de Hillary Clinton sufrió las consecuencias de la ingeniería social.
Su director de campaña, John Podesta, recibió un e-mail en el que se le informaba de que tenía que cambiar la contraseña de su cuenta de Google. Es real, le dijo un informático. Pero se equivocaba. El enlace le condujo a una página de inicio de Google falsa que transmitió la contraseña válida a los piratas informáticos. Así, obtuvieron acceso a miles de e-mails de Podesta que a su vez enviaron a Wikileaks para su publicación, lo que causó mucho daño a la imagen de Hillary Clinton
El Phishing, o e-mails y páginas web falsas para acceder a datos confidenciales, probablemente sea el método más conocido utilizado en la ingeniería social. La ingeniería social es el arte del engaño aplicado para hacer que la gente divulgue información confidencial o haga ciertas cosas; con mucha frecuencia es el primer paso en un ciberataque. El ataque no va dirigido a los sistemas informáticos: va dirigido a los usuarios. 
Según la asociación empresarial digital alemana Bitkom, una de cada cinco empresas en Alemania ha sido víctima de un ataque de ingeniería social entre inicios de 2015 y el principio de 2017. A nivel mundial, entre el verano de 2015 y el de 2017, hasta un tercio de las empresas se vio afectado, según un estudio de la empresa de investigación británica Loudhouse.
Ganador de SECTF en DEF CON 25
Chris Kirsch y Chris Hadnagy recrean la llamada vencedora de “the Social Engineering Capture the Flag contest” (SECTF) en DEF CON 25 (2017).

El truco del CEO en lugar del timo del abuelo

Los piratas informáticos utilizan trucos psicológicos, contando a sus víctimas historias desgarradoras, sometiéndolas a la presión temporal o intimidándolas con un comportamiento autoritario. Como canales de comunicación no solo utilizan el e-mail sino también el fax, conversaciones personales o llamadas telefónicas (vishing). El experto en seguridad Chris Kirsch mostró un ejemplo de un ataque con éxito a través del teléfono en un vídeo donde reconstruye una llamada de teléfono con una empresa real, que ganó una competición de ingeniería social en la conferencia de piratas informáticos DEF CON, de 2015.
En verano de 2017, la Oficina Federal Alemana para la Seguridad de la Información (BSI) emitió una advertencia específica sobre delincuentes que se hacían pasar por ejecutivos de una empresa e instruían a los empleados para que transfirieran grandes cantidades de dinero a cuentas bancarias extranjeras. 
Según esto, la economía alemana, en 2016, sufrió alrededor de 75 millones de euros en daños. Entre las víctimas de esta “estafa del CEO” (CEO fraud), en la que se utilizan e-mails falsos, se encuentran el proveedor automovilístico Leoni y el proveedor de aplicaciones de mensajería Snapchat. 
En el segundo caso, por ejemplo, un asistente de contabilidad elaboró una lista de salarios después de haber recibido un e-mail de phishing supuestamente de su director general (CEO en inglés).

Facebook: una fuente de datos para el pirateo informático aplicado a las personas

Cuantos más detalles haya obtenido de antemano el atacante sobre la víctima, mayores serán las probabilidades de que el engaño salga bien. Por ejemplo, en dos estudios de 2014 y 2017, investigadores de seguridad alemanes enviaron e-mails con un enlace y contenido similar a estudiantes. La única diferencia era el saludo. En el caso de e-mails personalizados, un 56 por ciento de los destinatarios abrió el enlace, mientras que solo un 20 por ciento de los que recibieron e-mails no personalizados lo hizo. Gracias a redes sociales como Facebook y Twitter, los ataques de ingeniería social hoy en día pueden estar mejor dirigidos que en el pasado.
Sin embargo, la ingeniería social también funciona sin contacto personal entre la víctima y el atacante. Por ejemplo mediante un lápiz USB. Cuando investigadores cercanos al experto en seguridad de Google Elie Bursztein dejaron 300 lápices USB por el campus de la Universidad de Illinois Urbana-Champaign en abril de 2015 a modo de experimento, alguien cogió un 48 por ciento de los mismos y abrió los archivos que contenían. Los piratas también pueden buscar en los cubos de la basura (una práctica conocida también como dumpster diving) en busca de datos confidenciales como  contraseñas o pueden contactar a algún empleado con pases de acceso especiales: a esta práctica se la denomina tailgating o piggybacking permitiendo a personal no autorizado entrar en las instalaciones de la empresa.

Concienciación de los empleados

La seguridad informática no sirve de mucho cuando los empleados no son capaces de reconocer los ataques de ingeniería social. Por lo tanto, la medida más importante es la formación de los empleados donde se les expliquen los trucos más típicos de los piratas informáticos y donde puedan practicar qué hacer en cada tipo de situación. Las sesiones únicas no sirven de gran cosa, previene la Oficina Federal Alemana para la Seguridad de la Información (BSI), y recomienda cursos de actualización periódicos. Sin embargo, según Loudhouse, aproximadamente solo una de cada dos empresas del mundo ha incluido cuestiones de seguridad en la agenda de formación para el año 2017. 
Las pruebas de penetración social son una manera de poner a prueba el éxito de la campaña de concienciación. Una persona autorizada toma el papel del ingeniero social y pone a prueba lo lejos que puede llegar utilizando los métodos de los piratas informáticos. La desventaja es que los empleados a los que se engaña se pueden sentir expuestos. Las medidas de ingeniería social forman parte, indiscutiblemente, del concepto de seguridad que las empresas tienen que presentar y aplicar para obtener el certificado ISO 27001 de acuerdo con la protección de la base informática de la BSI.
Finalmente, tiene que quedar claro que aunque los empleados puedan suponer un riesgo a la seguridad, también son un baluarte frente a los ciberataques. Según Bitkom, lo más habitual es que las empresas sepan de los ataques informáticos gracias a sus trabajadores.