Inicio / Protege tu empresa / Blog / La ingeniería social sigue vigente

La ingeniería social sigue vigente

Publicado el 22/04/2008, por David Fernandez Mena

La ingeniería social sigue vigente. Tal y como comentaba Sergio en un post del día 17 de abril de 2008 hace unos días, la parte débil de cualquier sistema de información siempre es el usuario del mismo. Por ingenieria social entendemos todo un conjunto de técnicas que tratan que el usuario, de forma no violenta, nos proporcione la información que queremos que nos dé; desde un número de tarjeta de crédito hasta el password de su correo de empresa.

Probablemente, el más famoso ingeniero social de todos los tiempos fue Kevin Mitnick, quien generó una cacería humana épica por parte del FBI . Según lo narrado en Takedown por Shimomura (la persona que ayudó a su captura), los conocimientos técnicos que poseía no eran muy elevados, sino que era un magnífico Ingeniero Social. Más que emplear ingeniería inversa y exploits no documentados (0-day), lo habitual era que convenciera a la gente de que hiciera algún acto pretendidamente inocente y que comprometía al sistema.

Hace unos días, durante el RSA, se pudo observar cómo se logró acceso a la red de Control Energético de la Costa Oeste de Estados Unidos mediante métodos similares: se envió un correo atractivo, el cual llamaba a una página web que descargaba un conjunto de herramientas maliciosas inadvertidamente y la terminal pasaba casi automáticamente a estar comprometida. Como nota anecdótica, el Pen-test tuvo que parar antes de lo previsto, debido al gran éxito que se estaba teniendo, en base a la cantidad de equipos comprometidos.

Esto nos deja dos moralejas:

  1. Las direcciones de correo electrónico pueden ser el primer punto de acceso al sistema (se obtuvieron de varias listas de correo).
  2. No todo el mundo debe pertenecer al sistema para que éste pueda ser seguro. Cuantas menos personas, mayor seguridad. Aunque parezca obvio, se olvida mucho más a menudo de lo que parece.