stringtranslate.com

Ingeniería social (seguridad)

Definición de ingeniería social en términos sencillos
Alerta OPSEC

En el contexto de la seguridad de la información , la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial . Un tipo de truco de confianza con el fin de recopilar información, fraude o acceso al sistema, se diferencia de una "estafa" tradicional en el sentido de que suele ser uno de los muchos pasos de un esquema de fraude más complejo. [1] También se ha definido como "cualquier acto que influya en una persona para que realice una acción que puede o no ser lo mejor para sus intereses". [2]

La investigación realizada en 2020 ha indicado que la ingeniería social será uno de los desafíos más destacados de la próxima década. Tener competencia en ingeniería social será cada vez más importante para las organizaciones y los países, debido también al impacto en la geopolítica . La ingeniería social plantea la cuestión de si nuestras decisiones estarán informadas con precisión si nuestra información primaria está diseñada y está sesgada. [3]

Los ataques de ingeniería social han aumentado en intensidad y número, lo que consolida la necesidad de nuevas técnicas de detección y programas educativos sobre seguridad cibernética. [4]

Técnicas y términos

Todas las técnicas de ingeniería social se basan en atributos de la toma de decisiones humana conocidos como sesgos cognitivos . [5] [6]

Un ejemplo de ingeniería social es un individuo que entra a un edificio y publica un anuncio de aspecto oficial en el boletín de la empresa que dice que el número del servicio de asistencia ha cambiado. Entonces, cuando los empleados piden ayuda, el individuo les pide sus contraseñas e identificaciones, obteniendo así la capacidad de acceder a la información privada de la empresa. Otro ejemplo de ingeniería social sería que el hacker se pusiera en contacto con el objetivo en un sitio de redes sociales e iniciara una conversación con él. Poco a poco, el pirata informático se gana la confianza del objetivo y luego utiliza esa confianza para obtener acceso a información confidencial como contraseñas o detalles de cuentas bancarias. [7]

Pretexto

Pretexting (adj. pretextual ), también conocido en el Reino Unido como blagging , [8] es el acto de crear y utilizar un escenario inventado (el pretexto ) para involucrar a una víctima objetivo de una manera que aumente las posibilidades de que la víctima divulgue información o realizar acciones que serían improbables en circunstancias normales. [9] Una mentira elaborada , que a menudo implica alguna investigación o configuración previa y el uso de esta información para suplantación ( por ejemplo , fecha de nacimiento, número de Seguro Social , monto de la última factura) para establecer la legitimidad en la mente del objetivo. [10]

agujero de agua

Water holing es una estrategia de ingeniería social dirigida que aprovecha la confianza que los usuarios tienen en los sitios web que visitan regularmente. La víctima se siente segura para hacer cosas que no haría en una situación diferente. Una persona cautelosa podría, por ejemplo, evitar intencionadamente hacer clic en un enlace de un correo electrónico no solicitado, pero la misma persona no dudaría en seguir un enlace de un sitio web que visita con frecuencia. Entonces, el atacante prepara una trampa para la presa desprevenida en un abrevadero favorito. Esta estrategia se ha utilizado con éxito para obtener acceso a algunos sistemas (supuestamente) muy seguros. [11]

cebo

El cebo es como el caballo de Troya del mundo real que utiliza medios físicos y se basa en la curiosidad o la codicia de la víctima. [12] En este ataque , los atacantes dejan disquetes , CD-ROM o unidades flash USB infectados con malware en lugares donde la gente los encontrará (baños, ascensores, aceras, estacionamientos, etc.), les dan información legítima y que despiertan la curiosidad. etiquetas y esperar a las víctimas.

A menos que los controles de la computadora bloqueen las infecciones, la inserción compromete los medios de "ejecución automática" de la PC. También se pueden utilizar dispositivos hostiles. [13] Por ejemplo, un "afortunado ganador" recibe un reproductor de audio digital gratuito que compromete cualquier computadora a la que esté conectado. Una " manzana de carretera " (el término coloquial para referirse al estiércol de caballo , que sugiere la naturaleza indeseable del dispositivo) es cualquier medio extraíble con software malicioso dejado en lugares oportunistas o visibles. Puede ser un CD, un DVD o una unidad flash USB , entre otros medios. Los curiosos lo toman y lo conectan a una computadora, infectando el host y las redes conectadas. Una vez más, los piratas informáticos pueden ponerles etiquetas atractivas, como "Salarios de los empleados" o "Confidencial". [14]

En un estudio publicado en 2016, los investigadores dejaron caer 297 unidades USB en el campus de la Universidad de Illinois. Las unidades contenían archivos que enlazaban a páginas web propiedad de los investigadores. Los investigadores pudieron ver cuántas de las unidades tenían archivos abiertos, pero no cuántas estaban insertadas en una computadora sin tener un archivo abierto. De las 297 unidades que se descartaron, 290 (98%) fueron recogidas y 135 (45%) "llamadas a casa". [15]

Ley

En el derecho consuetudinario , el pretexto es una invasión de la privacidad , un agravio de apropiación. [dieciséis]

Pretexto de registros telefónicos

En diciembre de 2006, el Congreso de los Estados Unidos aprobó un proyecto de ley patrocinado por el Senado que convertía el pretexto de registros telefónicos en un delito federal con multas de hasta 250.000 dólares y diez años de prisión para los individuos (o multas de hasta 500.000 dólares para las empresas). Fue firmado por el presidente George W. Bush el 12 de enero de 2007. [17]

Legislación Federal

La Ley Gramm-Leach-Bliley (GLBA) de 1999 es una ley federal de los EE. UU. que aborda específicamente el pretexto de registros bancarios como un acto ilegal punible según los estatutos federales. Cuando una entidad comercial, como un investigador privado, un investigador de seguros de SIU o un tasador, realiza cualquier tipo de engaño, está bajo la autoridad de la Comisión Federal de Comercio (FTC). Esta agencia federal tiene la obligación y la autoridad de garantizar que los consumidores no estén sujetos a prácticas comerciales desleales o engañosas. La Ley de la Comisión Federal de Comercio de los Estados Unidos, Sección 5 de la FTCA establece, en parte: "Siempre que la Comisión tenga motivos para creer que dicha persona, sociedad o corporación ha estado utilizando o está utilizando cualquier método de competencia desleal o acto o acto desleal o engañoso, práctica en el comercio o que lo afecte, y si a la Comisión le parece que un procedimiento realizado por ella al respecto sería de interés público, emitirá y entregará a dicha persona, sociedad o corporación una queja declarando sus cargos en ese respeto."

El estatuto establece que cuando alguien obtiene información personal y no pública de una institución financiera o del consumidor, su acción está sujeta al estatuto. Se relaciona con la relación del consumidor con la institución financiera. Por ejemplo, un pretextista que utilice pretextos falsos, ya sea para obtener la dirección de un consumidor del banco del consumidor, o para lograr que un consumidor revele el nombre de su banco, estaría cubierto. El principio determinante es que el pretexto sólo ocurre cuando la información se obtiene mediante pretextos falsos.

Si bien la venta de registros de teléfonos móviles ha atraído una importante atención de los medios de comunicación y los registros de telecomunicaciones son el centro de los dos proyectos de ley que se encuentran actualmente ante el Senado de los Estados Unidos , muchos otros tipos de registros privados se están comprando y vendiendo en el mercado público. Además de muchos anuncios de registros de teléfonos móviles, se anuncian registros de líneas fijas y registros asociados con tarjetas telefónicas. A medida que las personas opten por los teléfonos VoIP, es seguro asumir que esos registros también se pondrán a la venta. Actualmente, es legal vender registros telefónicos, pero ilegal obtenerlos. [18]

Especialistas en información de primera fuente

El representante estadounidense Fred Upton (republicano por Kalamazoo , Michigan), presidente del Subcomité de Energía y Comercio sobre Telecomunicaciones e Internet, expresó su preocupación por el fácil acceso a registros personales de teléfonos móviles en Internet durante una audiencia del Comité de Energía y Comercio de la Cámara de Representantes sobre " Registros telefónicos a la venta: ¿Por qué los registros telefónicos no están a salvo de pretextos? " Illinois se convirtió en el primer estado en demandar a un corredor de registros en línea cuando la Fiscal General Lisa Madigan demandó a 1st Source Information Specialists, Inc., dijo una portavoz de la oficina de Madigan. La empresa con sede en Florida opera varios sitios web que venden registros de teléfonos móviles, según una copia de la demanda. Los fiscales generales de Florida y Missouri rápidamente siguieron el ejemplo de Madigan y presentaron demandas, respectivamente, contra 1st Source Information Specialists y, en el caso de Missouri, contra otro corredor de registros: First Data Solutions, Inc.

Varios proveedores de servicios inalámbricos, incluidos T-Mobile, Verizon y Cingular, presentaron demandas anteriores contra corredores de registros, y Cingular ganó una orden judicial contra First Data Solutions y 1st Source Information Specialists. El senador estadounidense Charles Schumer (demócrata por Nueva York) presentó en febrero de 2006 una legislación destinada a frenar esta práctica. La Ley de Protección de Registros Telefónicos del Consumidor de 2006 crearía sanciones penales por delitos graves por robar y vender registros de suscriptores de teléfonos móviles, fijos y de Voz sobre Protocolo de Internet (VoIP).

Hewlett Packard

Patricia Dunn , expresidenta de Hewlett Packard , informó que la junta directiva de HP contrató a una empresa de investigación privada para ahondar en quiénes eran los responsables de las filtraciones dentro de la junta. Dunn reconoció que la empresa utilizó la práctica de pretextar para solicitar registros telefónicos de miembros de la junta directiva y periodistas. Más tarde, el presidente Dunn se disculpó por este acto y se ofreció a dimitir de la junta si así lo deseaban los miembros de la junta. [19] A diferencia de la ley federal, la ley de California prohíbe específicamente tales pretextos. Los cuatro cargos por delitos graves presentados contra Dunn fueron desestimados. [20]

Incidentes notables de ingeniería social

Sitios web de ayuda contra violaciones de Equifax

Tras la filtración de datos de Equifax en 2017, en la que se filtraron más de 150 millones de registros privados (incluidos números de seguridad social y números de licencia de conducir , fechas de nacimiento, etc.), se enviaron advertencias sobre los peligros de los riesgos de seguridad inminentes. [21] El día después del establecimiento de un sitio web de ayuda legítimo (equifaxsecurity2017.com) dedicado a personas potencialmente víctimas de la infracción, se reservaron 194 dominios maliciosos a partir de pequeñas variaciones de la URL, aprovechando la probabilidad de que las personas escribieran mal. [22] [23]

Ingenieros sociales notables

Susana Headley

Susan Headley se involucró en phreaking con Kevin Mitnick y Lewis de Payne en Los Ángeles , pero luego los incriminó por borrar los archivos del sistema en US Leasing después de una pelea, lo que llevó a la primera condena de Mitnick. Se retiró al póquer profesional. [24]

Mike Ridpath

Mike Ridpath es consultor de seguridad, autor publicado, orador y miembro anterior de w00w00 . Es bien conocido por desarrollar técnicas y tácticas de ingeniería social mediante llamadas en frío . Se hizo conocido por sus demostraciones en vivo y por reproducir llamadas grabadas después de las charlas en las que explicaba su proceso de pensamiento sobre lo que estaba haciendo para obtener contraseñas a través del teléfono. [25] [26] [27] [28] [29] Cuando era niño, Ridpath estaba conectado con Badir Brothers y era ampliamente conocido dentro de la comunidad de phreaking y hacking por sus artículos en revistas electrónicas clandestinas populares , como Phrack, B4B0 y 9x sobre modificación de Oki 900, blueboxing, piratería de satélites y RCMAC. [30] [31]

Hermanos Badir

Los hermanos Ramy, Muzher y Shadde Badir, todos ciegos de nacimiento, lograron establecer un extenso plan de fraude telefónico e informático en Israel en la década de 1990 utilizando ingeniería social, suplantación de voz y computadoras con pantalla Braille . [32] [33]

Christopher J. Hadnagy

Christopher J. Hadnagy es un ingeniero social y consultor de seguridad de tecnologías de la información estadounidense. Es mejor conocido como autor de 4 libros sobre ingeniería social y seguridad cibernética [34] [35] [36] [37] y fundador de Innocent Lives Foundation, una organización que ayuda a rastrear e identificar la trata de niños buscando la ayuda de información. especialistas en seguridad, utilizando datos de inteligencia de código abierto (OSINT) y colaborando con las fuerzas del orden. [38] [39]

Referencias

  1. ^ Anderson, Ross J. (2008). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables (2 ed.). Indianápolis, IN: Wiley. pag. 1040.ISBN​ 978-0-470-06852-6.Capítulo 2, página 17
  2. ^ "Definición de ingeniería social". Seguridad a través de la educación . Consultado el 3 de octubre de 2021 .
  3. ^ Guitton, Matthieu J. (1 de junio de 2020). "Ciberseguridad, ingeniería social, inteligencia artificial, adicciones tecnológicas: desafíos sociales para la próxima década". Las computadoras en el comportamiento humano . 107 : 106307. doi : 10.1016/j.chb.2020.106307. ISSN  0747-5632. S2CID  214111644.
  4. ^ Salahdine, Fátima (2019). "Ataques de ingeniería social: una encuesta". Escuela de Ingeniería Eléctrica e Informática, Universidad de Dakota del Norte . 11 (4): 89.
  5. ^ Jaco, K: "Cuaderno de trabajo del curso CSEPS" (2004), unidad 3, Jaco Security Publishing.
  6. ^ Kirdemir, Baris (2019). "INFLUENCIA HOSTIL Y AMENAZAS COGNITIVAS EMERGENTES EN EL CIBERESPACIO". Centro de Estudios de Economía y Política Exterior .
  7. ^ Hatfield, Joseph M (junio de 2019). "Hacking humano virtuoso: la ética de la ingeniería social en las pruebas de penetración". Computadoras y seguridad . 83 : 354–366. doi :10.1016/j.cose.2019.02.012. S2CID  86565713.
  8. ^ "Fundamentos de la ciberseguridad". BBC Tamaño del bocado . 19 de marzo de 2019. Archivado desde el original el 7 de julio de 2024 . Consultado el 7 de julio de 2024 .
  9. ^ La historia del escándalo de pretexto de HP con discusión está disponible en Davani, Faraz (14 de agosto de 2011). "Escándalo de pretextos de HP por Faraz Davani" . Consultado el 15 de agosto de 2011 a través de Scribd.
  10. ^ "Pretexto: su información personal revelada", Comisión Federal de Comercio
  11. ^ "La campaña de espionaje china compromete a Forbes.com para atacar a las empresas de servicios financieros y de defensa de EE. UU. en un ataque estilo abrevadero". invincea.com. 10 de febrero de 2015 . Consultado el 23 de febrero de 2017 .
  12. ^ "Ingeniería social, al estilo USB". Light Reading Inc. 7 de junio de 2006. Archivado desde el original el 13 de julio de 2006 . Consultado el 23 de abril de 2014 .
  13. ^ "Copia archivada" (PDF) . Archivado desde el original (PDF) el 11 de octubre de 2007 . Consultado el 2 de marzo de 2012 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
  14. ^ Conklin, Wm. Arturo; Blanco, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principios de Seguridad Informática, Cuarta Edición (Guía Oficial de Comptia) . Nueva York: McGraw-Hill Education. págs. 193-194. ISBN 978-0071835978.
  15. ^ Raywood, Dan (4 de agosto de 2016). "Se detalla el experimento USB abandonado de #BHUSA". seguridad de la información . Consultado el 28 de julio de 2017 .
  16. ^ Reformulación 2d de Agravios § 652C.
  17. ^ "El Congreso prohíbe los pretextos". 109º Congreso (2005-2006) HR4709 - Ley de protección de la privacidad y registros telefónicos de 2006 . 2007.
  18. ^ Mitnick, K (2002): "El arte del engaño", p. 103 Wiley Publishing Ltd: Indianápolis, Indiana; Estados Unidos de América. ISBN 0-471-23712-4 
  19. ^ Presidente de HP: El uso de pretextos es "vergonzoso" Stephen Shankland, 8 de septiembre de 2006 13:08 PDT CNET News.com
  20. ^ "El tribunal de California retira los cargos contra Dunn". CNET. 14 de marzo de 2007 . Consultado el 11 de abril de 2012 .
  21. ^ "La empresa de informes crediticios Equifax dice que la violación de datos podría afectar potencialmente a 143 millones de consumidores estadounidenses". CNBC. 7 de septiembre de 2018 . Consultado el 3 de mayo de 2024 .
  22. ^ "Hablar claro: tenga cuidado con las estafas relacionadas con la violación de datos de Equifax". Archivado desde el original el 6 de diciembre de 2020.
  23. ^ "Suplantación de identidad". Seguridad a través de la educación . Ingeniero Social.
  24. ^ Hafner, Katie (agosto de 1995). "Kevin Mitnick, desconectado". Escudero . 124 (2): 80 (9).
  25. ^ Ingeniería social: manipulando lo humano. Servicios de seguridad de Scorpio Net. 16 de mayo de 2013. ISBN 9789351261827. Consultado el 11 de abril de 2012 .
  26. ^ Niekerk, Brett van. "Dispositivos móviles y militares: herramienta útil o amenaza importante". Actas del cuarto taller sobre el uso de las TIC en la guerra y la salvaguardia de la paz 2012 (Iwsp 2012) y Journal of Information Warfare . academia.edu . Consultado el 11 de mayo de 2013 .
  27. ^ "Ingeniería social: manipulando lo humano". YouTube. 7 de octubre de 2011 . Consultado el 11 de abril de 2012 .
  28. ^ "BsidesPDX Pista 1 07/10/11 02:52 p.m., BsidesPDX Pista 1 07/10/11 02:52 p.m. BsidesPDX en USTREAM. Conferencia". Ustream.tv. 7 de octubre de 2011. Archivado desde el original el 4 de agosto de 2012 . Consultado el 11 de abril de 2012 .
  29. ^ "Ingeniería social automatizada". Charla brillante. 29 de septiembre de 2011 . Consultado el 11 de abril de 2012 .
  30. ^ "La ingeniería social un enfoque general" (PDF) . Revista Informática Económica . Consultado el 11 de enero de 2015 .
  31. ^ "Cibercrimen". Hays. 7 de noviembre de 2018. ISBN 9781839473036. Consultado el 11 de enero de 2020 .
  32. ^ "Wired 12.02: Tres Phreaks ciegos". Cableado . 14 de junio de 1999 . Consultado el 11 de abril de 2012 .
  33. ^ "Ingeniería social: el cuento de un joven hacker" (PDF) . 15 de febrero de 2013 . Consultado el 13 de enero de 2020 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
  34. ^ "43 mejores libros de ingeniería social de todos los tiempos". Autoridad del Libro . Consultado el 22 de enero de 2020 .
  35. ^ "Reseña del libro del mes de Bens sobre ingeniería social, la ciencia del hacking humano". Conferencia RSA . 31 de agosto de 2018 . Consultado el 22 de enero de 2020 .
  36. ^ "Reseña del libro: Ingeniería social: la ciencia del pirateo humano". La Red de Hackers Éticos . 26 de julio de 2018 . Consultado el 22 de enero de 2020 .
  37. ^ Hadnagy, Christopher; Fincher, Michele (22 de enero de 2020). "Phishing Dark Waters: los lados ofensivo y defensivo de los correos electrónicos maliciosos". ISACA . Consultado el 22 de enero de 2020 .
  38. ^ "WTVR:"Proteja a sus hijos de las amenazas en línea"
  39. ^ Larson, Selena (14 de agosto de 2017). "Hacker crea una organización para desenmascarar a los depredadores infantiles". CNN . Consultado el 14 de noviembre de 2019 .

Otras lecturas

enlaces externos

Wikimedia Commons tiene medios relacionados con la ingeniería social (seguridad) .