stringtranslate.com

Ingeniería social (seguridad)

Definición de ingeniería social en términos sencillos
Alerta OPSEC

En el contexto de la seguridad de la información , la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial . Un tipo de truco de confianza con el fin de recopilar información, fraude o acceso al sistema, se diferencia de una "estafa" tradicional en que a menudo es uno de los muchos pasos en un esquema de fraude más complejo. [1] También se ha definido como "cualquier acto que influya en una persona para que realice una acción que puede o no ser lo mejor para sus intereses". [2]

La investigación realizada en 2020 ha indicado que la ingeniería social será uno de los desafíos más destacados de la próxima década. Tener competencia en ingeniería social será cada vez más importante para las organizaciones y los países, debido también al impacto en la geopolítica . La ingeniería social plantea la cuestión de si nuestras decisiones estarán informadas con precisión si nuestra información primaria está diseñada y está sesgada. [3]

Los ataques de ingeniería social han aumentado en intensidad y número, lo que consolida la necesidad de nuevas técnicas de detección y programas educativos sobre seguridad cibernética. [4]

Técnicas y términos

Todas las técnicas de ingeniería social se basan en atributos de la toma de decisiones humana conocidos como sesgos cognitivos . [5] [6]

Un ejemplo de ingeniería social es un individuo que entra a un edificio y publica un anuncio de aspecto oficial en el boletín de la empresa que dice que el número del servicio de asistencia ha cambiado. Entonces, cuando los empleados piden ayuda, el individuo les pide sus contraseñas e identificaciones, obteniendo así la capacidad de acceder a la información privada de la empresa. Otro ejemplo de ingeniería social sería que el hacker se pusiera en contacto con el objetivo en un sitio de redes sociales e iniciara una conversación con él. Poco a poco, el pirata informático se gana la confianza del objetivo y luego utiliza esa confianza para obtener acceso a información confidencial como contraseñas o detalles de cuentas bancarias. [7]

En 2018, Equifax fue víctima de un notable ataque de ingeniería social, que resultó en una violación de datos que expuso información personal, incluidos números de seguro social, detalles de licencia de conducir y números de teléfonos móviles. Esta infracción afectó a 145,5 millones de estadounidenses. Como empresa de informes crediticios, la empresa se convirtió en el objetivo de los piratas informáticos que hábilmente se hacían pasar por representantes de instituciones financieras como Bank of America para acceder ilícitamente a los datos personales de las personas. [ cita necesaria ]

Otros conceptos

Pretexto

Pretextar (adj. pretextual ) es el acto de crear y utilizar un escenario inventado (el pretexto ) para involucrar a una víctima específica de una manera que aumente las posibilidades de que la víctima divulgue información o realice acciones que serían poco probables en circunstancias normales. [8] Una mentira elaborada , que a menudo implica alguna investigación o configuración previa y el uso de esta información para suplantación ( por ejemplo , fecha de nacimiento, número de Seguro Social , monto de la última factura) para establecer la legitimidad en la mente del objetivo. [9]

agujero de agua

Water holing es una estrategia de ingeniería social dirigida que aprovecha la confianza que los usuarios tienen en los sitios web que visitan regularmente. La víctima se siente segura para hacer cosas que no haría en una situación diferente. Una persona cautelosa podría, por ejemplo, evitar intencionadamente hacer clic en un enlace de un correo electrónico no solicitado, pero la misma persona no dudaría en seguir un enlace de un sitio web que visita con frecuencia. Entonces, el atacante prepara una trampa para la presa desprevenida en un abrevadero favorito. Esta estrategia se ha utilizado con éxito para obtener acceso a algunos sistemas (supuestamente) muy seguros. [10]

cebo

El cebo es como el caballo de Troya del mundo real que utiliza medios físicos y se basa en la curiosidad o la codicia de la víctima. [11] En este ataque , los atacantes dejan disquetes , CD-ROM o unidades flash USB infectados con malware en lugares donde la gente los encontrará (baños, ascensores, aceras, estacionamientos, etc.), les dan información legítima y que despiertan la curiosidad. etiquetas y esperar a las víctimas.

A menos que los controles de la computadora bloqueen las infecciones, la inserción compromete los medios de "ejecución automática" de la PC. También se pueden utilizar dispositivos hostiles. [12] Por ejemplo, un "afortunado ganador" recibe un reproductor de audio digital gratuito que compromete cualquier computadora a la que esté conectado. Una " manzana de carretera " (el término coloquial para referirse al estiércol de caballo , que sugiere la naturaleza indeseable del dispositivo) es cualquier medio extraíble con software malicioso dejado en lugares oportunistas o visibles. Puede ser un CD, un DVD o una unidad flash USB , entre otros medios. Los curiosos lo toman y lo conectan a una computadora, infectando el host y las redes conectadas. Una vez más, los piratas informáticos pueden ponerles etiquetas atractivas, como "Salarios de los empleados" o "Confidencial". [13]

En un estudio publicado en 2016, los investigadores dejaron caer 297 unidades USB en el campus de la Universidad de Illinois. Las unidades contenían archivos que enlazaban a páginas web propiedad de los investigadores. Los investigadores pudieron ver cuántas de las unidades tenían archivos abiertos, pero no cuántas estaban insertadas en una computadora sin tener un archivo abierto. De las 297 unidades que se descartaron, 290 (98%) fueron recogidas y 135 (45%) "llamadas a casa". [14]

Ejemplos de ingenieros sociales

Susana Headley

Susan Headley se involucró en phreaking con Kevin Mitnick y Lewis de Payne en Los Ángeles , pero luego los incriminó por borrar los archivos del sistema en US Leasing después de una pelea, lo que llevó a la primera condena de Mitnick. Se retiró al póquer profesional. [15]

Mike Ridpath

Mike Ridpath Consultor de seguridad, autor publicado y orador. Miembro anterior de w00w00 . Enfatiza técnicas y tácticas para llamadas en frío de ingeniería social . Se hizo notable después de sus charlas en las que reproducía llamadas grabadas y explicaba su proceso de pensamiento sobre lo que estaba haciendo para obtener contraseñas a través del teléfono y sus demostraciones en vivo. [16] [17] [18] [19] [20] Cuando era niño, Ridpath estaba conectado con Badir Brothers y era ampliamente conocido dentro de la comunidad de phreaking y hacking por sus artículos en revistas electrónicas clandestinas populares , como Phrack, B4B0 y 9x. sobre modificación de Oki 900, blueboxing, piratería de satélites y RCMAC. [21] [22]

Hermanos Badir

Los hermanos Ramy, Muzher y Shadde Badir, todos ciegos de nacimiento, lograron establecer un extenso plan de fraude telefónico e informático en Israel en la década de 1990 utilizando ingeniería social, suplantación de voz y computadoras con pantalla Braille . [23] [24]

Christopher J. Hadnagy

Christopher J. Hadnagy es un ingeniero social y consultor de seguridad de tecnologías de la información estadounidense. Es mejor conocido como autor de 4 libros sobre ingeniería social y seguridad cibernética [25] [26] [27] [28] y fundador de Innocent Lives Foundation, una organización que ayuda a rastrear e identificar la trata de niños buscando ayuda de información. especialistas en seguridad, utilizando datos de inteligencia de código abierto (OSINT) y colaborando con las fuerzas del orden. [29] [30]

Ley

En el derecho consuetudinario , el pretexto es una invasión de la privacidad , un agravio de apropiación. [31]

Pretexto de registros telefónicos

En diciembre de 2006, el Congreso de los Estados Unidos aprobó un proyecto de ley patrocinado por el Senado que convertía el pretexto de registros telefónicos en un delito federal con multas de hasta 250.000 dólares y diez años de prisión para los individuos (o multas de hasta 500.000 dólares para las empresas). Fue firmado por el presidente George W. Bush el 12 de enero de 2007. [32]

Legislación Federal

La Ley Gramm-Leach-Bliley (GLBA) de 1999 es una ley federal de EE. UU . que aborda específicamente el pretexto de registros bancarios como un acto ilegal punible según los estatutos federales. Cuando una entidad comercial, como un investigador privado, un investigador de seguros de la SIU o un tasador, realiza cualquier tipo de engaño, está bajo la autoridad de la Comisión Federal de Comercio (FTC). Esta agencia federal tiene la obligación y la autoridad de garantizar que los consumidores no estén sujetos a prácticas comerciales desleales o engañosas. La Ley de la Comisión Federal de Comercio de los Estados Unidos, Sección 5 de la FTCA establece, en parte: "Siempre que la Comisión tenga motivos para creer que cualquier persona, sociedad o corporación ha estado utilizando o está utilizando algún método de competencia desleal o acto o acto desleal o engañoso, práctica en el comercio o que lo afecte, y si a la Comisión le parece que un procedimiento realizado por ella al respecto sería de interés público, emitirá y entregará a dicha persona, sociedad o corporación una queja declarando sus cargos en ese respeto."

El estatuto establece que cuando alguien obtiene información personal y no pública de una institución financiera o del consumidor, su acción está sujeta al estatuto. Se relaciona con la relación del consumidor con la institución financiera. Por ejemplo, un pretexto que utilice pretextos falsos, ya sea para obtener la dirección de un consumidor del banco del consumidor, o para lograr que un consumidor revele el nombre de su banco, estaría cubierto. El principio determinante es que el pretexto sólo ocurre cuando la información se obtiene mediante pretextos falsos.

Si bien la venta de registros de teléfonos móviles ha atraído una importante atención de los medios de comunicación y los registros de telecomunicaciones son el centro de los dos proyectos de ley que se encuentran actualmente ante el Senado de los Estados Unidos , muchos otros tipos de registros privados se están comprando y vendiendo en el mercado público. Además de muchos anuncios de registros de teléfonos móviles, se anuncian registros de líneas fijas y registros asociados con tarjetas telefónicas. A medida que las personas opten por los teléfonos VoIP, es seguro asumir que esos registros también se pondrán a la venta. Actualmente, es legal vender registros telefónicos, pero ilegal obtenerlos. [33]

Especialistas en información de primera fuente

El representante estadounidense Fred Upton (R- Kalamazoo , Michigan), presidente del Subcomité de Energía y Comercio sobre Telecomunicaciones e Internet, expresó su preocupación por el fácil acceso a registros personales de teléfonos móviles en Internet durante una audiencia del Comité de Energía y Comercio de la Cámara de Representantes sobre " Registros telefónicos a la venta: ¿Por qué los registros telefónicos no están a salvo de pretextos? " Illinois se convirtió en el primer estado en demandar a un corredor de registros en línea cuando la Fiscal General Lisa Madigan demandó a 1st Source Information Specialists, Inc., dijo una portavoz de la oficina de Madigan. La empresa con sede en Florida opera varios sitios web que venden registros de teléfonos móviles, según una copia de la demanda. Los fiscales generales de Florida y Missouri rápidamente siguieron el ejemplo de Madigan y presentaron demandas, respectivamente, contra 1st Source Information Specialists y, en el caso de Missouri, contra otro corredor de registros: First Data Solutions, Inc.

Varios proveedores de servicios inalámbricos, incluidos T-Mobile, Verizon y Cingular, presentaron demandas anteriores contra corredores de registros, y Cingular ganó una orden judicial contra First Data Solutions y 1st Source Information Specialists. El senador estadounidense Charles Schumer (demócrata por Nueva York) presentó en febrero de 2006 una legislación destinada a frenar esta práctica. La Ley de Protección de Registros Telefónicos del Consumidor de 2006 crearía sanciones penales por delitos graves por robar y vender registros de suscriptores de teléfonos móviles, fijos y de Voz sobre Protocolo de Internet (VoIP).

Hewlett Packard

Patricia Dunn , expresidenta de Hewlett Packard , informó que la junta directiva de HP contrató a una empresa de investigación privada para ahondar en quiénes eran los responsables de las filtraciones dentro de la junta. Dunn reconoció que la empresa utilizó la práctica de pretextar para solicitar registros telefónicos de miembros de la junta directiva y periodistas. Más tarde, el presidente Dunn se disculpó por este acto y se ofreció a dimitir de la junta si así lo deseaban los miembros de la junta. [34] A diferencia de la ley federal, la ley de California prohíbe específicamente tales pretextos. Los cuatro cargos por delitos graves presentados contra Dunn fueron desestimados. [35]

Referencias

  1. ^ Anderson, Ross J. (2008). Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables (2 ed.). Indianápolis, IN: Wiley. pag. 1040.ISBN _ 978-0-470-06852-6.Capítulo 2, página 17
  2. ^ "Definición de ingeniería social". Seguridad a través de la educación . Consultado el 3 de octubre de 2021 .
  3. ^ Guitton, Matthieu J. (1 de junio de 2020). "Ciberseguridad, ingeniería social, inteligencia artificial, adicciones tecnológicas: desafíos sociales para la próxima década". Las computadoras en el comportamiento humano . 107 : 106307. doi : 10.1016/j.chb.2020.106307. ISSN  0747-5632. S2CID  214111644.
  4. ^ Salahdine, Fátima (2019). "Ataques de ingeniería social: una encuesta". Escuela de Ingeniería Eléctrica e Informática, Universidad de Dakota del Norte . 11 (4): 89.
  5. ^ Jaco, K: "Cuaderno de trabajo del curso CSEPS" (2004), unidad 3, Jaco Security Publishing.
  6. ^ Kirdemir, Baris (2019). "INFLUENCIA HOSTIL Y AMENAZAS COGNITIVAS EMERGENTES EN EL CIBERESPACIO". Centro de Estudios de Economía y Política Exterior .
  7. ^ Hatfield, Joseph M (junio de 2019). "Hacking humano virtuoso: la ética de la ingeniería social en las pruebas de penetración". Computadoras y seguridad . 83 : 354–366. doi :10.1016/j.cose.2019.02.012. S2CID  86565713.
  8. ^ La historia del escándalo de pretexto de HP con discusión está disponible en Davani, Faraz (14 de agosto de 2011). "Escándalo de pretextos de HP por Faraz Davani" . Consultado el 15 de agosto de 2011 a través de Scribd.
  9. ^ "Pretexto: su información personal revelada", Comisión Federal de Comercio
  10. ^ "La campaña de espionaje china compromete a Forbes.com para atacar a las empresas de servicios financieros y de defensa de EE. UU. en un ataque estilo abrevadero". invincea.com. 10 de febrero de 2015 . Consultado el 23 de febrero de 2017 .
  11. ^ "Ingeniería social, al estilo USB". Light Reading Inc. 7 de junio de 2006. Archivado desde el original el 13 de julio de 2006 . Consultado el 23 de abril de 2014 .
  12. ^ "Copia archivada" (PDF) . Archivado desde el original (PDF) el 11 de octubre de 2007 . Consultado el 2 de marzo de 2012 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
  13. ^ Conklin, Wm. Arturo; Blanco, Greg; Cothren, Chuck; Davis, Roger; Williams, Dwayne (2015). Principios de Seguridad Informática, Cuarta Edición (Guía Oficial de Comptia) . Nueva York: McGraw-Hill Education. págs. 193-194. ISBN 978-0071835978.
  14. ^ Raywood, Dan (4 de agosto de 2016). "#BHUSA Detallado experimento USB abandonado". seguridad de la información . Consultado el 28 de julio de 2017 .
  15. ^ Hafner, Katie (agosto de 1995). "Kevin Mitnick, desconectado". Escudero . 124 (2): 80 (9).
  16. ^ Ingeniería social: manipulando lo humano. Servicios de seguridad de Scorpio Net. 16 de mayo de 2013. ISBN 9789351261827. Consultado el 11 de abril de 2012 .
  17. ^ Niekerk, Brett van. "Dispositivos móviles y militares: herramienta útil o amenaza importante". Actas del cuarto taller sobre el uso de las TIC en la guerra y la salvaguardia de la paz 2012 (Iwsp 2012) y Journal of Information Warfare . academia.edu . Consultado el 11 de mayo de 2013 .
  18. ^ "Ingeniería social: manipulando lo humano". YouTube . Consultado el 11 de abril de 2012 .
  19. ^ "BsidesPDX Pista 1 07/10/11 02:52 p.m., BsidesPDX Pista 1 07/10/11 02:52 p.m. BsidesPDX en USTREAM. Conferencia". Ustream.tv. 7 de octubre de 2011. Archivado desde el original el 4 de agosto de 2012 . Consultado el 11 de abril de 2012 .
  20. ^ "Ingeniería social automatizada". Charla brillante. 29 de septiembre de 2011 . Consultado el 11 de abril de 2012 .
  21. ^ "La ingeniería social un enfoque general" (PDF) . Revista Informática Económica . Consultado el 11 de enero de 2015 .
  22. ^ "Cibercrimen". Hays. 7 de noviembre de 2018. ISBN 9781839473036. Consultado el 11 de enero de 2020 .
  23. ^ "Wired 12.02: Tres Phreaks ciegos". Cableado . 14 de junio de 1999 . Consultado el 11 de abril de 2012 .
  24. ^ "Ingeniería social: el cuento de un joven hacker" (PDF) . 15 de febrero de 2013 . Consultado el 13 de enero de 2020 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
  25. ^ "43 mejores libros de ingeniería social de todos los tiempos". Autoridad del Libro . Consultado el 22 de enero de 2020 .
  26. ^ "Reseña del libro del mes de Bens sobre ingeniería social, la ciencia del hacking humano". Conferencia RSA . 31 de agosto de 2018 . Consultado el 22 de enero de 2020 .
  27. ^ "Reseña del libro: Ingeniería social: la ciencia del pirateo humano". La Red de Hackers Éticos . 26 de julio de 2018 . Consultado el 22 de enero de 2020 .
  28. ^ Hadnagy, Christopher; Fincher, Michele (22 de enero de 2020). "Phishing Dark Waters: los lados ofensivo y defensivo de los correos electrónicos maliciosos". ISACA . Consultado el 22 de enero de 2020 .
  29. ^ "WTVR:"Proteja a sus hijos de las amenazas en línea"
  30. ^ Larson, Selena (14 de agosto de 2017). "Hacker crea una organización para desenmascarar a los depredadores infantiles". CNN . Consultado el 14 de noviembre de 2019 .
  31. ^ Reformulación 2d de Agravios § 652C.
  32. ^ "El Congreso prohíbe los pretextos". 109º Congreso (2005-2006) HR4709 - Ley de protección de la privacidad y registros telefónicos de 2006 . 2007.
  33. ^ Mitnick, K (2002): "El arte del engaño", p. 103 Wiley Publishing Ltd: Indianápolis, Indiana; Estados Unidos de América. ISBN 0-471-23712-4 
  34. ^ Presidente de HP: El uso de pretextos es "vergonzoso" Stephen Shankland, 8 de septiembre de 2006 13:08 PDT CNET News.com
  35. ^ "El tribunal de California retira los cargos contra Dunn". CNET. 14 de marzo de 2007 . Consultado el 11 de abril de 2012 .

Otras lecturas

enlaces externos

Wikimedia Commons tiene medios relacionados con la ingeniería social (seguridad) .