stringtranslate.com

Ingeniería social (seguridad)

Definición de ingeniería social en términos sencillos
Alerta OPSEC

En el contexto de la seguridad de la información , la ingeniería social es la manipulación psicológica de personas para que realicen acciones o divulguen información confidencial . Se trata de un tipo de engaño con el fin de recopilar información, cometer fraude o acceder a sistemas. Se diferencia de una estafa tradicional en el sentido de que suele ser uno de los muchos pasos de un esquema de fraude más complejo. [1] También se ha definido como "cualquier acto que influya en una persona para que realice una acción que puede ser o no lo mejor para sus intereses". [2]

Las investigaciones realizadas en 2020 han indicado que la ingeniería social será uno de los desafíos más importantes de la próxima década. Tener competencia en ingeniería social será cada vez más importante para las organizaciones y los países, debido también al impacto en la geopolítica . La ingeniería social plantea la cuestión de si nuestras decisiones estarán fundamentadas con precisión si nuestra información primaria está manipulada y sesgada. [3]

Los ataques de ingeniería social han ido aumentando en intensidad y número, lo que consolida la necesidad de nuevas técnicas de detección y programas educativos sobre seguridad cibernética. [4]

Técnicas y términos

Todas las técnicas de ingeniería social se basan en atributos de la toma de decisiones humanas conocidos como sesgos cognitivos . [5] [6]

Un ejemplo de ingeniería social es el de un individuo que entra en un edificio y publica un anuncio de aspecto oficial en el boletín de la empresa en el que se dice que el número de la mesa de ayuda ha cambiado. De este modo, cuando los empleados llaman para pedir ayuda, el individuo les pide sus contraseñas y sus identificaciones, con lo que obtiene la capacidad de acceder a la información privada de la empresa. Otro ejemplo de ingeniería social sería que el hacker se ponga en contacto con el objetivo en un sitio de redes sociales e inicie una conversación con él. Poco a poco, el hacker se gana la confianza del objetivo y luego utiliza esa confianza para obtener acceso a información confidencial, como contraseñas o datos de cuentas bancarias. [7]

Pretextos

Pretexting (adj. pretextual ), también conocido en el Reino Unido como blagging , [8] es el acto de crear y utilizar un escenario inventado (el pretexto ) para involucrar a una víctima objetivo de una manera que aumenta la posibilidad de que la víctima divulgue información o realice acciones que serían poco probables en circunstancias normales. [9] Una mentira elaborada , que generalmente implica alguna investigación o configuración previa y el uso de esta información para suplantación de identidad ( por ejemplo , fecha de nacimiento, número de seguro social , último monto de factura) para establecer legitimidad en la mente del objetivo. [10]

Pozo de agua

El waterholing es una estrategia de ingeniería social dirigida que aprovecha la confianza que los usuarios tienen en los sitios web que visitan con regularidad. La víctima se siente segura de hacer cosas que no haría en una situación diferente. Una persona cautelosa podría, por ejemplo, evitar deliberadamente hacer clic en un enlace de un correo electrónico no solicitado, pero la misma persona no dudaría en hacer clic en un enlace de un sitio web que visita con frecuencia. De este modo, el atacante prepara una trampa para la presa incauta en un bar favorito. Esta estrategia se ha utilizado con éxito para obtener acceso a algunos sistemas (supuestamente) muy seguros. [11]

Cebo

El cebo es como el caballo de Troya del mundo real que utiliza medios físicos y se basa en la curiosidad o la codicia de la víctima. [12] En este ataque , los atacantes dejan disquetes , CD-ROM o unidades flash USB infectados con malware en lugares donde la gente los encontrará (baños, ascensores, aceras, estacionamientos, etc.), les dan etiquetas legítimas y que despiertan la curiosidad y esperan a las víctimas.

A menos que los controles informáticos bloqueen las infecciones, la inserción compromete los medios de "ejecución automática" de los PC. También se pueden utilizar dispositivos hostiles. [13] Por ejemplo, a un "afortunado ganador" se le envía un reproductor de audio digital gratuito que compromete cualquier computadora a la que se conecte. Una " manzana de carretera " (el término coloquial para el estiércol de caballo , que sugiere la naturaleza indeseable del dispositivo) es cualquier medio extraíble con software malicioso dejado en lugares oportunistas o visibles. Puede ser un CD, un DVD o una unidad flash USB , entre otros medios. Las personas curiosas lo toman y lo conectan a una computadora, infectando el host y cualquier red conectada. Nuevamente, los piratas informáticos pueden darles etiquetas atractivas, como "Salarios de empleados" o "Confidencial". [14]

En un estudio publicado en 2016, los investigadores dejaron caer 297 unidades USB en el campus de la Universidad de Illinois. Las unidades contenían archivos que enlazaban a páginas web propiedad de los investigadores. Los investigadores pudieron ver cuántas de las unidades tenían archivos abiertos, pero no cuántas estaban insertadas en una computadora sin tener un archivo abierto. De las 297 unidades que se dejaron caer, 290 (98%) fueron recogidas y 135 (45%) de ellas "se quedaron en casa". [15]

Ley

En el derecho consuetudinario , el pretexto es un delito de invasión de la privacidad por apropiación ilícita. [16]

Pretexto de registros telefónicos

En diciembre de 2006, el Congreso de los Estados Unidos aprobó un proyecto de ley patrocinado por el Senado que convierte la falsificación de registros telefónicos en un delito federal con multas de hasta 250.000 dólares y diez años de prisión para particulares (o multas de hasta 500.000 dólares para empresas). El proyecto fue firmado por el presidente George W. Bush el 12 de enero de 2007. [17]

Legislación federal

La Ley Gramm-Leach-Bliley de 1999 (GLBA, por sus siglas en inglés) es una ley federal de los Estados Unidos que aborda específicamente la falsificación de registros bancarios como un acto ilegal punible según los estatutos federales. Cuando una entidad comercial, como un investigador privado, un investigador de seguros de la SIU o un perito, realiza cualquier tipo de engaño, queda bajo la autoridad de la Comisión Federal de Comercio (FTC, por sus siglas en inglés). Esta agencia federal tiene la obligación y la autoridad de garantizar que los consumidores no sean sometidos a ninguna práctica comercial desleal o engañosa. La Sección 5 de la Ley de la Comisión Federal de Comercio de los Estados Unidos establece , en parte: "Siempre que la Comisión tenga motivos para creer que alguna de esas personas, sociedades o corporaciones ha estado o está utilizando algún método de competencia desleal o un acto o práctica desleal o engañosa en el comercio o que lo afecte, y si la Comisión considera que un procedimiento por su parte al respecto sería en interés del público, emitirá y notificará a esa persona, sociedad o corporación una denuncia en la que se expongan sus cargos al respecto".

El estatuto establece que cuando alguien obtiene información personal no pública de una institución financiera o del consumidor, su acción está sujeta al estatuto. Se relaciona con la relación del consumidor con la institución financiera. Por ejemplo, un pretextador que utilice pretextos falsos para obtener la dirección del banco de un consumidor o para lograr que un consumidor revele el nombre de su banco, estaría cubierto. El principio determinante es que el pretexto solo ocurre cuando la información se obtiene mediante pretextos falsos.

Aunque la venta de registros de teléfonos celulares ha ganado una importante atención de los medios, y los registros de telecomunicaciones son el foco de los dos proyectos de ley que se encuentran actualmente ante el Senado de los Estados Unidos , se están comprando y vendiendo muchos otros tipos de registros privados en el mercado público. Junto con muchos anuncios de registros de teléfonos celulares, se anuncian registros de líneas fijas y registros asociados con tarjetas telefónicas. A medida que las personas cambien a teléfonos VoIP, es seguro asumir que esos registros también se ofrecerán a la venta. Actualmente, es legal vender registros telefónicos, pero es ilegal obtenerlos. [18]

Especialistas en información de primera fuente

El representante estadounidense Fred Upton (republicano de Kalamazoo , Michigan), presidente del Subcomité de Energía y Comercio sobre Telecomunicaciones e Internet, expresó su preocupación por el fácil acceso a los registros de teléfonos móviles personales en Internet durante una audiencia del Comité de Energía y Comercio de la Cámara de Representantes sobre " Registros telefónicos a la venta: ¿por qué los registros telefónicos no están a salvo de la falsificación? " Illinois se convirtió en el primer estado en demandar a un corredor de registros en línea cuando la Fiscal General Lisa Madigan demandó a 1st Source Information Specialists, Inc. Una portavoz de la oficina de Madigan dijo. La empresa con sede en Florida opera varios sitios web que venden registros de teléfonos móviles, según una copia de la demanda. Los fiscales generales de Florida y Missouri siguieron rápidamente el ejemplo de Madigan, presentando demandas respectivamente, contra 1st Source Information Specialists y, en el caso de Missouri, contra otro corredor de registros: First Data Solutions, Inc.

Varios proveedores de servicios inalámbricos, entre ellos T-Mobile, Verizon y Cingular, presentaron demandas judiciales contra intermediarios de registros, y Cingular obtuvo una orden judicial contra First Data Solutions y 1st Source Information Specialists. El senador estadounidense Charles Schumer (demócrata por Nueva York) presentó una legislación en febrero de 2006 destinada a frenar esta práctica. La Ley de Protección de Registros Telefónicos del Consumidor de 2006 crearía sanciones penales por el robo y la venta de registros de teléfonos móviles, líneas fijas y abonados a Voz sobre Protocolo de Internet (VoIP).

Hewlett Packard

Patricia Dunn , ex presidenta de Hewlett Packard , informó que la junta directiva de HP contrató a una empresa de investigación privada para investigar quién era responsable de las filtraciones dentro de la junta. Dunn reconoció que la empresa utilizó la práctica de pretextar para solicitar los registros telefónicos de los miembros de la junta y los periodistas. La presidenta Dunn se disculpó más tarde por este acto y se ofreció a renunciar a la junta si así lo deseaban los miembros de la junta. [19] A diferencia de la ley federal, la ley de California prohíbe específicamente ese tipo de pretextos. Los cuatro cargos por delitos graves presentados contra Dunn fueron desestimados. [20]

Incidentes notables de ingeniería social

Sitios web de ayuda para casos de violación de Equifax

Tras la filtración de datos de Equifax en 2017, en la que se filtraron más de 150 millones de registros privados (incluidos números de la Seguridad Social , números de licencia de conducir , fechas de nacimiento, etc.), se enviaron advertencias sobre los peligros de los riesgos de seguridad inminentes. [21] Al día siguiente de la creación de un sitio web de ayuda legítimo (equifaxsecurity2017.com) dedicado a las personas potencialmente víctimas de la filtración, se reservaron 194 dominios maliciosos a partir de pequeñas variaciones en la URL, aprovechando la probabilidad de que las personas escribieran mal. [22] [23]

Filtraciones de las elecciones de Estados Unidos de 2016

Durante las elecciones de Estados Unidos de 2016 , piratas informáticos asociados con la Inteligencia Militar Rusa (GRU) enviaron correos electrónicos de phishing dirigidos a miembros de la campaña de Hillary Clinton , disfrazados de una alerta de Google. [24] Muchos miembros, incluido el presidente de la campaña, John Podesta , habían ingresado sus contraseñas pensando que se restablecerían, lo que provocó que se filtrara su información personal y miles de correos electrónicos y documentos privados. [25] Con esta información, piratearon otras computadoras del Comité de Campaña Demócrata del Congreso , implantando malware en ellas, lo que provocó que sus actividades informáticas fueran monitoreadas y filtradas. [25]

Correos electrónicos de phishing de Google y Facebook

Un estafador lituano robó 100 millones de dólares a dos gigantes tecnológicos , Google y Facebook . Se hizo pasar por un proveedor de hardware para facturar falsamente a ambas empresas durante dos años. [26] A pesar de su sofisticación tecnológica, las empresas perdieron el dinero. [27]

Se filtran imágenes de Sony

El 24 de noviembre de 2014 , el grupo de hackers Guardianes de la Paz [ 28] filtró datos confidenciales del estudio cinematográfico Sony Pictures Entertainment . Los datos incluían correos electrónicos, salarios de ejecutivos e información personal y familiar de los empleados. Los estafadores se hicieron pasar por empleados de alto rango para instalar malware en las computadoras de los trabajadores. [29]

Ingenieros sociales notables

Susan Headley

Susan Headley se involucró en el phreaking con Kevin Mitnick y Lewis de Payne en Los Ángeles , pero luego los incriminó por borrar los archivos del sistema en US Leasing después de una pelea, lo que llevó a la primera condena de Mitnick. Se retiró al póquer profesional. [30]

Mike Ridpath

Mike Ridpath es un consultor de seguridad, autor publicado, orador y ex miembro de w00w00 . Es conocido por desarrollar técnicas y tácticas de ingeniería social a través de llamadas en frío . Se hizo conocido por sus demostraciones en vivo, así como por reproducir llamadas grabadas después de las charlas en las que explicaba su proceso de pensamiento sobre lo que estaba haciendo para obtener contraseñas a través del teléfono. [31] [32] [33] [34] [35] Cuando era niño, Ridpath estaba conectado con Badir Brothers y era ampliamente conocido dentro de la comunidad de phreaking y hacking por sus artículos en revistas electrónicas underground populares , como Phrack, B4B0 y 9x sobre la modificación de Oki 900s, blueboxing, hacking satelital y RCMAC. [36] [37]

Hermanos Badir

Los hermanos Ramy, Muzher y Shadde Badir, todos ellos ciegos de nacimiento, lograron montar un extenso plan de fraude telefónico y informático en Israel en la década de 1990 utilizando ingeniería social, suplantación de voz y computadoras con pantalla Braille . [38] [39]

Christopher J. Hadnagy

Christopher J. Hadnagy es un ingeniero social y consultor de seguridad informática estadounidense. Es más conocido como autor de cuatro libros sobre ingeniería social y ciberseguridad [40] [41] [42] [43] y fundador de Innocent Lives Foundation, una organización que ayuda a rastrear e identificar el tráfico infantil buscando la ayuda de especialistas en seguridad informática, utilizando datos de inteligencia de fuentes abiertas (OSINT) y colaborando con las fuerzas del orden. [44] [45]

Referencias

  1. ^ Anderson, Ross J. (2008). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables (2.ª edición). Indianápolis, IN: Wiley. pág. 1040. ISBN 978-0-470-06852-6.Capítulo 2, página 17
  2. ^ "Definición de ingeniería social". Seguridad a través de la educación . Consultado el 3 de octubre de 2021 .
  3. ^ Guitton, Matthieu J. (1 de junio de 2020). «Ciberseguridad, ingeniería social, inteligencia artificial, adicciones tecnológicas: desafíos sociales para la próxima década». Computers in Human Behavior . 107 : 106307. doi :10.1016/j.chb.2020.106307. ISSN  0747-5632. S2CID  214111644.
  4. ^ Salahdine, Fatima (2019). "Ataques de ingeniería social: una encuesta". Facultad de Ingeniería Eléctrica y Ciencias de la Computación, Universidad de Dakota del Norte . 11 (4): 89.
  5. ^ Jaco, K: "Cuaderno de trabajo del curso CSEPS" (2004), unidad 3, Jaco Security Publishing.
  6. ^ Kirdemir, Baris (2019). "INFLUENCIA HOSTIL Y AMENAZAS COGNITIVAS EMERGENTES EN EL CIBERESPACIO". Centro de Estudios Económicos y de Política Exterior .
  7. ^ Hatfield, Joseph M (junio de 2019). "Hacking humano virtuoso: la ética de la ingeniería social en las pruebas de penetración". Computers & Security . 83 : 354–366. doi :10.1016/j.cose.2019.02.012. S2CID  86565713.
  8. ^ "Fundamentos de la ciberseguridad". BBC Bitesize . 19 de marzo de 2019. Archivado desde el original el 7 de julio de 2024 . Consultado el 7 de julio de 2024 .
  9. ^ La historia del escándalo de pretextos de HP y su análisis está disponible en Davani, Faraz (14 de agosto de 2011). "HP Pretexting Scandal by Faraz Davani" (Escándalo de pretextos de HP por Faraz Davani) . Consultado el 15 de agosto de 2011 – vía Scribd.
  10. ^ "Pretextos: su información personal revelada", Comisión Federal de Comercio
  11. ^ "La campaña de espionaje china compromete a Forbes.com y apunta a empresas de defensa y servicios financieros de EE. UU. en un ataque al estilo de un abrevadero". invincea.com. 10 de febrero de 2015. Consultado el 23 de febrero de 2017 .
  12. ^ "Ingeniería social al estilo USB". Light Reading Inc. 7 de junio de 2006. Archivado desde el original el 13 de julio de 2006. Consultado el 23 de abril de 2014 .
  13. ^ "Copia archivada" (PDF) . Archivado desde el original (PDF) el 11 de octubre de 2007. Consultado el 2 de marzo de 2012 .{{cite web}}: CS1 maint: copia archivada como título ( enlace )
  14. ^ Conklin, Wm. Arthur; White, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principios de seguridad informática, cuarta edición (Guía oficial de Comptia) . Nueva York: McGraw-Hill Education. págs. 193-194. ISBN 978-0071835978.
  15. ^ Raywood, Dan (4 de agosto de 2016). "Experimento USB abandonado de #BHUSA detallado". info security . Consultado el 28 de julio de 2017 .
  16. ^ Reformulación 2d de Agravios § 652C.
  17. ^ "El Congreso prohíbe la utilización de pretextos". 109.° Congreso (2005-2006) HR4709 – Ley de Protección de la Privacidad y Registros Telefónicos de 2006 . 2007.
  18. ^ Mitnick, K (2002): "El arte del engaño", p. 103 Wiley Publishing Ltd: Indianápolis, Indiana; Estados Unidos de América. ISBN 0-471-23712-4 
  19. ^ Presidente de HP: El uso de pretextos es "vergonzoso" Stephen Shankland, 8 de septiembre de 2006 13:08 PDT CNET News.com
  20. ^ "Tribunal de California retira cargos contra Dunn". CNET. 14 de marzo de 2007. Consultado el 11 de abril de 2012 .
  21. ^ "La empresa de informes crediticios Equifax dice que una filtración de datos podría afectar potencialmente a 143 millones de consumidores estadounidenses". CNBC. 7 de septiembre de 2018. Consultado el 3 de mayo de 2024 .
  22. ^ "Straight Talk: Tenga cuidado con las estafas relacionadas con la filtración de datos de Equifax". Archivado desde el original el 6 de diciembre de 2020.
  23. ^ "Phishing". Seguridad a través de la educación . Ingeniería social.
  24. ^ "Datos breves sobre el hackeo durante la campaña presidencial de 2016". CNN . 27 de diciembre de 2016 . Consultado el 7 de agosto de 2024 .
  25. ^ ab "Oficina de Asuntos Públicos | Gran Jurado acusa a 12 oficiales de inteligencia rusos por delitos de piratería relacionados con las elecciones de 2016 | Departamento de Justicia de los Estados Unidos". www.justice.gov . 13 de julio de 2018 . Consultado el 7 de agosto de 2024 .
  26. ^ Jr, Tom Huddleston (27 de marzo de 2019). "Cómo este estafador utilizó correos electrónicos de phishing para robar más de 100 millones de dólares de Google y Facebook". CNBC . Consultado el 20 de octubre de 2024 .
  27. ^ "Incidentes de phishing famosos de la historia | Hempstead Town, NY". www.hempsteadny.gov . Consultado el 14 de octubre de 2024 .
  28. ^ "La filtración de datos de Sony Pictures: un análisis profundo de un ciberataque emblemático - 15 de septiembre de 2023" www.frameworksec.com . Consultado el 21 de octubre de 2024 .
  29. ^ "Incidentes de phishing famosos de la historia | Hempstead Town, NY". www.hempsteadny.gov . Consultado el 21 de octubre de 2024 .
  30. ^ Hafner, Katie (agosto de 1995). "Kevin Mitnick, desenchufado". Esquire . 124 (2): 80(9).
  31. ^ Ingeniería social: manipulación de lo humano. Scorpio Net Security Services. 16 de mayo de 2013. ISBN 9789351261827. Recuperado el 11 de abril de 2012 .
  32. ^ Niekerk, Brett van. "Dispositivos móviles y el ejército: ¿herramienta útil o amenaza significativa?". Actas del 4º Taller sobre usos de las TIC en la guerra y la salvaguardia de la paz 2012 (Iwsp 2012) y Journal of Information Warfare . academia.edu . Consultado el 11 de mayo de 2013 .
  33. ^ "Ingeniería social: manipulando al ser humano". YouTube. 7 de octubre de 2011. Consultado el 11 de abril de 2012 .
  34. ^ "BsidesPDX Track 1 10/07/11 02:52PM, BsidesPDX Track 1 10/07/11 02:52PM BsidesPDX en USTREAM. Conferencia". Ustream.tv. 7 de octubre de 2011. Archivado desde el original el 4 de agosto de 2012. Consultado el 11 de abril de 2012 .
  35. ^ "Ingeniería social automatizada". BrightTALK. 29 de septiembre de 2011. Consultado el 11 de abril de 2012 .
  36. ^ "Ingeniería social: un enfoque general" (PDF) . Revista Informatica Economica . Consultado el 11 de enero de 2015 .
  37. ^ "Crimen cibernético". Hays. 7 de noviembre de 2018. ISBN 9781839473036. Recuperado el 11 de enero de 2020 .
  38. ^ "Wired 12.02: Three Blind Phreaks". Wired . 14 de junio de 1999 . Consultado el 11 de abril de 2012 .
  39. ^ "Ingeniería social: el cuento de un joven hacker" (PDF) . DATAQUEST . 15 de febrero de 2013 . Consultado el 13 de enero de 2020 .
  40. ^ "Los 43 mejores libros de ingeniería social de todos los tiempos". BookAuthority . Consultado el 22 de enero de 2020 .
  41. ^ "Reseña del libro del mes de Bens sobre ingeniería social: la ciencia del hacking humano". Conferencia RSA . 31 de agosto de 2018 . Consultado el 22 de enero de 2020 .
  42. ^ "Reseña del libro: Ingeniería social: la ciencia del hacking humano". The Ethical Hacker Network . 26 de julio de 2018. Consultado el 22 de enero de 2020 .
  43. ^ Hadnagy, Christopher; Fincher, Michele (22 de enero de 2020). "Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails" (Aguas oscuras del phishing: los lados ofensivo y defensivo de los correos electrónicos maliciosos). ISACA . Consultado el 22 de enero de 2020 .
  44. ^ "WTVR: "Proteja a sus hijos de las amenazas en línea"
  45. ^ Larson, Selena (14 de agosto de 2017). «Hacker crea organización para desenmascarar a depredadores infantiles». CNN . Consultado el 14 de noviembre de 2019 .

Lectura adicional

Enlaces externos