Bruce Schneier ha sido durante décadas un líder de pensamiento en el mundo de la seguridad informática y continúa estando a la vanguardia de las discusiones más importantes. Si te interesa la seguridad informática, deja que también sea para ti tu mentor no oficial.
Más información sobre Bruce Schneier
Si deseas saber más acerca de Bruce Schneier, consulta estos recursos:
■ Blog de Bruce Schneier: https://www.schneier.com/
■ Newsletter Crypto-Gram, de Bruce Schneier: https://www.schneier.com/crypto-gram/
■ Libros de Bruce Schneier
4
Ingeniería social
En el mundo de los ordenadores, la ingeniería social puede describirse como engañar a alguien para que haga algo, a menudo perjudicial, para sí mismo o para otros. La ingeniería social es una de las formas más comunes de hackear porque la mayoría de las veces tiene éxito. Normalmente resulta muy frustrante para el defensor, puesto que no se puede prevenir solo mediante la tecnología.
Métodos de ingeniería social
La ingeniería social puede llevarse a cabo de muchas maneras, tanto en el ordenador como mediante una llamada de teléfono, en persona o con métodos tradicionales de correo postal. Existen tantas formas y variedades de ingeniería social que en cualquier lista que intente catalogar todas estas formas faltará alguno de los métodos. Cuando la ingeniería social tiene su origen en el ordenador, normalmente se lleva a cabo por correo electrónico o Internet (aunque también ha habido casos en los que se ha llevado a cabo por mensajería instantánea y mediante cualquier otro tipo de programa informático).
Suplantación de identidad (phishing)
Un objetivo común de la ingeniería social es capturar las credenciales de conexión de un usuario mediante lo que se conoce como phishing o suplantación de identidad. El phishing en correos electrónicos o sitios web intenta engañar al usuario para que proporcione sus credenciales de conexión legítimas haciéndose pasar por un administrador o sitio web legítimo familiar para el usuario. El truco de phishing más común es enviar un correo electrónico haciéndose pasar por un administrador web que reclama al usuario que verifique su contraseña si desea seguir accediendo a dicho sitio.
El spearphishing es un tipo de intento de phishing dirigido concretamente a una persona o un grupo específicos mediante información no pública que el o los objetivos conocen muy bien. Un ejemplo de spearphishing es un gestor de proyectos al cual se envía un documento adjunto en un correo electrónico supuestamente de parte de otro miembro del proyecto supuestamente relacionado con el proyecto con el que está trabajando; cuando abre el documento, se ejecuta alguna acción maliciosa. El spearphishing a menudo está relacionado con muchos de los ataques corporativos más importantes.
Ejecución de troyanos
Otro de los trucos más populares de la ingeniería social se utiliza para hacer que un usuario desprevenido ejecute un programa troyano. Esto puede realizarse vía correo electrónico, con un archivo adjunto o con una URL incrustada. Normalmente ocurre en sitios web. En ocasiones, un sitio legítimo es atacado y, cuando el visitante, confiado, carga la página, debe ejecutar un archivo. El archivo puede ser un complemento «necesario» de terceros, un falso antivirus o un parche «requerido». El sitio web legítimo puede ser atacado directamente o en otro elemento incluido de forma independiente, como un banner de publicidad de terceros. En cualquier caso, el usuario, quien ha confiado en este sitio web legítimo después de visitarlo durante años sin ningún problema, no tiene ninguna razón para sospechar que el sitio ha sido atacado.
Por teléfono
Los estafadores también pueden llamar a un usuario haciéndose pasar por el soporte técnico, un proveedor conocido o una agencia del Gobierno.
Una de las estafas más populares es cuando el usuario recibe una llamada de alguien que dice ser del soporte técnico advirtiendo que se ha detectado un programa malicioso en su ordenador. Entonces solicita al usuario que descargue un programa antimalware, el cual procede, no sin sorpresa, a detectar muchos, muchos programas maliciosos. Después, dicen al usuario que descargue y ejecute un programa de acceso remoto que, posteriormente, el falso equipo de soporte técnico utilizará para conectarse al ordenador de la víctima y dejar en él otros programas maliciosos. El programa del falso soporte técnico termina cuando la víctima compra un programa antimalware, también falso, utilizando su tarjeta de crédito.
Los estafadores telefónicos también pueden hacerse pasar por servicios de recaudación de impuestos, fuerzas policiales u otras agencias del Gobierno, intentado que el usuario pague para evitar duras multas o la cárcel.
Fraudes por compras
Otra estafa muy popular tiene como objetivo personas que compran o venden bienes en sitios web, como en sitios de subastas o del tipo de Craigslist. La inocente víctima puede estar comprando o vendiendo algo.
En los fraudes por compras, el comprador responde rápidamente, normalmente paga el precio completo más los gastos de envío y solicita al vendedor que utilice su agente depositario «de confianza». Seguidamente, envían a la víctima un cheque falso por un importe mayor del acordado en la compra, que la víctima deposita en su cuenta bancaria. (Desgraciadamente, los bancos aceptan fácilmente estos cheques falsos y hacen a la víctima responsable del dinero perdido). El comprador solicita al vendedor que devuelva el dinero sobrante a su consignador o agente depositario. La víctima normalmente acaba perdiendo como mínimo esta cantidad de dinero.
En los fraudes por ventas, la víctima envía el dinero pero no recibe la mercancía. La media de fraudes por ventas es, como mínimo, de 1.000 $, mientras que la media de fraudes por compras puede llegar a los cientos de miles de dólares.
En persona
Algunos de los fraudes de ingeniería social más importantes son aquellos que han llevado a cabo los hackers en persona. En el capítulo siguiente, se describe el perfil de Kevin Mitnick, un popular hacker que fue sombrero blanco. Hace unas décadas, él era uno de los ingenieros sociales físicos más descarados que teníamos. Mitnick no tenía nada en contra de disfrazarse de personal de averías de teléfono o de servicio técnico para acceder a cualquier ubicación segura. Los ingenieros sociales físicos son muy conocidos por entrar en bancos e instalar un keylogger en los terminales de los empleados mientras se hacen pasar por reparadores de ordenadores. La gente desconfía mucho ante cualquier extraño y, sin embargo, se siente sorprendentemente desarmada si este extraño es un reparador, especialmente si dice cosas como «veo que tu ordenador funciona muy lento». ¿Quién puede oponerse a esta sentencia? El reparador obviamente conoce este problema y por eso está aquí, para solucionarlo.
La zanahoria o el palo
El usuario normalmente es castigado con una multa por no hacer nada o recompensado por hacer algo. El ardid empieza coaccionando a la víctima, puesto que la gente no sopesa el riesgo con demasiado cuidado durante los eventos de estrés: debe