La Ingeniería Social, otro peligro para nuestra seguridad

03. abr, 2009 9 Comentarios ()  Por Jose Angel Fernandez Universidad Politecnica de Madrid

Twitt

Estamos acostumbrados a que los mayores peligros contra nuestra seguridad en Internet se basan en los virus, los troyanos, el pishing, las estafas, etc. Sin embargo, no somos conscientes de que en muchos de los casos, el mayor peligro para nuestra seguridad somos nosotros mismos.

Recientemente, la Guardia Civil ha procedido a detener a un cracker jerezano de 41 años acusado de vulnerar la seguridad de los ordenadores de políticos, periodistas y escritores. A parte de las técnicas más relacionadas con el manejo de tecnologías de comunicación, en las informaciones publicadas se hace referencias al empleo de técnicas basadas en la Ingeniería Social.

¿En qué consiste la Ingeniería Social? Tomando la definición de la Wikipedia:

En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales (mejor conocidos como hackers, aunque el termino correcto es cracker) para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

En la mayoría de los sistemas, las personas son el eslabón más débil de la cadena y el que más fácil es de atacar. No es necesario tener grandes conocimientos técnicos para obtener la información que deseemos. Dada la buena voluntad, la cortesía o, en muchos casos, la ingenuidad de las personas es posible obtener de ellos mismos la información que el atacante necesite para sus objetivos. Kevin Mitnick, uno de los hackers y phreakers más famosos de los Estados Unidos, establece que los cuatro pilares en los que se apoya la Ingeniería Social son:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir No.
  4. A todos nos gusta que nos alaben.

Por lo tanto, es necesario concienciar a la gente de que no es posible confiar en lo que recibes por correo electrónico, lees por email o, incluso, lo que te dicen por teléfono cuando recibes alguna llamada.

Algunos recursos interesantes para tratar este tema son:

Twitter Digg Delicious Stumbleupon Technorati Facebook Email
Seguridad
, ,

9 Respuestas para “La Ingeniería Social, otro peligro para nuestra seguridad”

  1. Ignacio Paredes Responder 04. abr, 2009 en 18:24

    O sea que entonces, en lugar de invertir millonadas en nuevas tecnologías, antispam, bloqueadores, antivirus y demás, lo que hay que hacer es explicar a la gente cómo debe de actuar.

    Se me ocurre que parecido a la seguridad vial. Por un lado hay que poner mecanismos que faciliten la seguridad: semáforos, señales… (también radares?), por otro lado hay que concienciar a la gente de que no se puede ir a 200 km/h por ningún lado.

  2. ruizdequerol Responder 06. abr, 2009 en 17:51

    Me permito apuntar una observación y dos cuestiones.

    Observación. La citada no es la única acepción de ‘ingeniería social’, ni siquiera en Wikipedia. En particular, en la versión inglesa, existe la siguiente entrada sobre ‘social engineering’: “Social engineering is a concept in political science that refers to efforts to influence popular attitudes and social behavior on a large scale, whether by governments or private groups. In the political arena the counterpart of social engineering is political engineering”.

    En consencuencia, la ‘ingeniería social’ dirigida a cambiar el comportamiento social en gran escala para un buen fin (p.e. un uso intenso de Internet) sería un objetivo laudable, ¿no?

    Cuestiones:

    a) ¿Por qué se ha impuesto la acepción de la ingeniería social relacionada con el delito cibernético? ¿Por qué nadie ha protestado?

    b) ¿Por qué es precisamente esta versión, y no una versión en positivo, la que se amplifica en esta entrada? Máxime cuando, aunque no soy ingeniero, imagino que la asociacián de ingenieríaa a delito no debe satisfacer a la profesión.

  3. Jose Angel Fernández (Universidad Politécnica de Madrid) Responder 06. abr, 2009 en 19:20

    @Ignacio Paredes: El símil con el mundo de la conducción me parece acertado.

    Es lo que indicas, por una parte sí es necesaria realizar esa inversión para reducir los efectos desastrosos a los que puede conducir una infección por virus o troyanos; sin embargo, si no se conciencia al usuario, cualquier medida de seguridad implantada puede dejar de ser efectiva por la actuación de la propia persona.

    @Ruiz de Querol: Gracias por el matiz aportado al mensaje de mi entrada.

    Es verdad que la acepción asociada a la delincuencia cibernética ha tenido un mayor auge que la asociada a la definición que has aportado. ¿El por qué? Lo desconozco. Pero como comentas, que el concepto ingeniería y delicuencia esté asociado no es algo satisfactorio.

  4. Ignacio Paredes Responder 13. abr, 2009 en 19:27

    No entiendo mucho de esto, pero lo que sí que veo continuamente es que estamos todos manipulados por los “mass media” que nos rodean. ¿Habéis visto si no las manipulaciones de los periódicos y de las televisiones? Es increíble ver cómo una misma noticia, un mismo hecho, tiene tratamientos opuestos según el medio.

    La manipulación social también me sugiere otro hecho tremebundo: la Propaganda en tiempos de guerra. Esto es algo increíble. Cómo, a través de “los medios al efecto” se puede manipular a la gente hasta límites insospechados.

    Entiendo que “los medios al efecto” han cambiado hoy en día. Estamos en el mundo de Internet, los blogs, los twiters y todo esto…

    Quiere esto decir que, al igual que hoy hablamos de la TV como uno de los medios por excelencia para manipular masas, pronto hablaremos de los medios sobre Internet como los medios por EXCELENCIA para manipular a las masas?

  5. Carolus Responder 14. abr, 2009 en 22:49

    Sobre ingeniería social recomendaría los libros de “The Arto f Deception” y “The art of Intrusion” de Kevin Mitnick, y “El gran juego” de Carlos Martín Pérez. Imagino que debe de haber muchos más, pero son los que conozco. “El gran juego” se puede encontrar en http://www.librosenred.com/autores/CarlosMartinPerez.aspx
    http://www.personal.able.es/cm.perez/Extracto_de_EL_GRAN_JUEGO.pdf

  6. Ignacio Paredes Responder 15. abr, 2009 en 9:11

    Gracias por la recomendación. Los voy a echar un ojo. Me interesa mucho el tema.

  7. Jose Angel Fernández (Universidad Politécnica de Madrid) Responder 15. abr, 2009 en 20:34

    De los recomendados por Carolus yo he leído únicamente “El arte de la decepción”. Además de técnicas de Ingeniería Social también trata otros aspectos de la Seguridad y cómo se adentraba en los sistemas.

    Es una lectura amena sin entrar en demasiados tecnicismos.

  8. Ignacio Paredes Responder 16. abr, 2009 en 8:07

    para José Ángel:
    Oye, me ha encantado tu Blog.
    De lo más chulo que he visto últimamente!

  9. Jose Angel Fernández (Universidad Politécnica de Madrid) Responder 19. abr, 2009 en 20:38

    @Ignacio Paredes: Me gusta que disfrutes del blog de la Cátedra.

    Esperamos tus comentario por aquí ;)

Dejar un Comentario