***El Tragaluz***
Mi BarriOnline       INICIATIVA VECINAL LAVAPIÉS-EMBAJADORES
EL TRAGALUZ - PARIDAS - BATALLITAS - ALTERNATIVOS
Mi BarriOnline Busqueda en El Tragaluz/Mi BarriOnline Añadir a Favoritos La Estafeta del Email Copyright 2001 WEBMASTER - Optimización 1024x768 pgp key


ACTUALIDAD

 

LA INGENIERÍA SOCIAL

En los útimos tiempos, si no lo era ya, la ingeniería social se está convirtiendo en el medio idóneo para expandir "bichitos" por el ciberespacio, causando considerables perdidas económicas, y lo que es casi peor, "innombrables" dolores de cabeza allí donde haya una conexión a Inet. El término ingeniería social, identifica la práctica por medio de la cual acceder a información, generalmente confidencial, de personas, organismos, empresas, etc., explotando para ello la ingenuidad, la buena fe de la gente, o en su defecto, la proximidad o las pequeñas "miserias" que todos llevamos a cuestas. Como veréis, se trata de la vida misma, y hace bueno aquello de:... "El hombre es un lobo para el hombre"..... Pues, ¿quién no ha empleado, o adoptado, en ocasiones, preguntas o modos de comportamiento, ajenos a uno mismo, para conseguir un determinado fin?....ya sea un ligue, un puesto de trabajo, o simplemente bajo la coletilla:....."veamos de que pie cojea éste".....pues eso..., ¡¡como la vida misma!!...

Al margen filosofías, la ingeniería social llega a Inet de la mano de aquellos que necesitando imperiosamente "conocer" algo, y ya sea, por falta de tiempo, conocimientos, etc...son incapaces de hacerlo por otro medio que no sea la treta o el engaño.....Es fácil caer en la tentación, una vez leído lo anterior, de asociar este comportamiento con los "temidos" hackers El Diccionario ....Pues bien, si y no....me explico: Si, porque, obviamente, representa una forma "no autorizada" de, potencialmente, tener acceso a información protegida. Y no, porque, en teoría, y con mucha lógica, estos, "temidos", individuos son los primeros en renegar de este tipo de práctica, dado que la mayor parte de las veces no exige conocimientos sobre exploits El Diccionario redes etc.., Si no más bien, cara dura y desparpajo, ya que, en el fondo, es una disciplina que consiste en obtener información susceptible de ser "utilizada" sin que la "víctima" sea consciente del hecho.

También se puede aplicar el término a la labor deductiva llevada a cabo por una individuo, por ejemplo: Quiero saber la dirección de correo de mi amigo Pepito, y sé que su cuenta la tiene en Hotmail; aplicando ingeniería social, ya que sabemos que nuestro amigo no es muy original, seguramente su cuenta de correo sea pepito@hotmail.com. Supongo que queda claro esta acepción del termino... ¿si?

Normalmente, se suele utilizar para conseguir logins El Diccionario y contraseñas, aunque como he dicho, le puede quitar la "gracia" a hacerlo por otros medios. La ingeniería social, tomando el termino al pie de la letra, puede tener tantas aplicaciones como se le quieran dar, desde sacarle a la veci, esa que tanto te gusta, el # de tfno, hasta obtener información privilegiada sobre el último producto Microsoft, que aún no ha salido al mercado (como así fue el caso), para ser el primero en buscarle las "cosquillas".

A continuación, veamos un ejemplo, siempre con ánimo didáctico, de como funciona el intringulis del asunto, y que bien puede servir de "aviso para navegantes". Las formas y los métodos pueden variar, se puede utilizar la línea telefónica, el email, o cualquier otro medio de comunicación que se os pueda ocurrir. Los resultados suelen ser tremendamente efectivos a pesar de lo burdo de la treta....

Bien, imaginemos que me quiero hacer con el nombre de usuario y contraseña de la cuenta de Inet de un individuo que vive al lado mío, y que me hace la vida imposible, con el fin último de hacerme con el control de la bandeja de entrada de su email, y "putearle" un poco, por ejemplo, borrandole, durante algún tiempo, todos los correos que pueda recibir antes de que él mismo pueda leerlos. Imaginemos también, que ya me he hecho con su dir de email (cosa que no resultará demasiado difícil) y ya, tan solo me queda cerrar la trampa, para lo que puedo redactar un email del tipo:

Estimado Sr Puertas:
El objeto de este correo electrónico es comunicarle que a efectos de mantener la seguridad de nuestro sistema victima.com, se requiere que envíe un email con sus datos personales, login y password, ya que en nuestra organización es muy importante la seguridad y deseamos mantenerla actualizada con estos chequeos rutinarios.

Agradeciendo su colaboración le saluda attmente:
Pepito Rodríguez pepito@victima.com

Administrador del sistema victima.com

Una vez hecho esto, me las tengo que ingeniar para enviárselo sin que levante la más mínima sospecha, para lo cual voy a orientar un programa de Telnet El Diccionario a una máquina Unix que tenga abierto el puerto 25, el del SMTP El Diccionario y daré los siguientes pasos:

Nos conectamos:

maquinaria.com25
helo asocial@asocial.com
> pleased to meet asocial@asocial.com

Tras esto especificamos cuál será la dir que deseamos aparezca como remitente, para lo que utilizaremos el comando "mail from"

mail from: administrador@victima.com
> administrador@victima.com ....sender is valid

A continuación introducimos la dir de la víctima con el comando "rcpt"

rcpt: gilipuertas@victima.com
> gilipuertas@victima.com ... recipient okay

Ahora ponemos el cuerpo del mensaje con el comando "data" y terminamos con un "."

data:
> Enter mail, end with "." on a line by itself
Estimado Sr Puertas:......
.
> Mail accepted

El mensaje ya está enviado, cerramos la conexión con el comando "quit"

quit:
> connection is closed

En realidad con esto no estamos enviando un email anónimo, sino que lo que se consigue es especificar, "a gusto del consumidor", el remitente que se desea aparezca en la cabecera El Diccionario del mensaje que recibirá la víctima, pero de momento puede valer para nuestro "inconfensable" propósito. Para enviar, con todas sus consecuencias, un email anónimo se necesita hacer uso de servidores El Diccionario de correo anónimo (que haberlos haylos), utilizar un remailer El Diccionario o mejor todavía, una cuenta tipo nym Info pero esa es otra historia.

Para saber si un servidor es anónimo teclea en Telnet:

helo: servidor@anonimo.com

Y si cuando el servidor responde nuestra IP El Diccionario no aparece por ningún lado, entonces es un servidor anónimo, o cuasi, cuasi anónimo;-)) Existen otros métodos para hacerse con información de una determinada dir de email, entre los que cabe destacar el finger El Diccionario .....pero esto queda para otra ocasión.

¿Os sorprendería saber que, tras una prueba de campo, realizada sobre una muestra de 50 individuos, estudiantes, profesionales, etc....más del 60% tragaron el anzuelo, de entre los que más del 45 % lo hicieron en menos de tres días? Bueno, pues esta es la base de la ingeniería social. Ha quedado claro el asunto ¿verdad?.

Así que resumiendo, cuando se dice que nuestros números de tarjetas de crédito, pins, claves de cajas fuerte, passwords de acceso a ordenadores e información semejante, son de uso personal y no deben ser revelados a terceros, no se dice por gusto. Importantes compañias que por su actividad deben proporcionar claves a sus usuarios, tienen manuales editados para evitar ser timados de semejante forma. En mis largas noches surfeando la web he visto más de una página de grandes multinacionales de telefonía con consejos dirigidos a sus usuarios con el fin de no ser víctimas de estas prácticas. Incluso conozco algún ISP El Diccionario que se anuncia con el reclamo:...."Jamás pedimos a nuestros usuarios las claves de acceso por correo electrónico, teléfono o cualquier otro medio".

Antes de terminar, conviene añadir que el Código Penal vigente en España, en su artículo 197 castiga a quien 'para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos' con pena de entre uno y cuatro años de cárcel.

Y si aun no estás convencido de lo que se puede llegar a lograr a través de la ingeniería social, échate unas "piadosas" risas Ver con la transcripción literal de un log El Diccionario grabado durante una reciente sesión en el IRC Ver Hispano, efectuada, por supuesto. con un profundo espíritu didáctico y con el fin expreso de ilustrar un poco más el concepto que nos ocupa, la ingeniería social ...Es más, podéis hacer la prueba, asomaros a cualquier chat, y con un poco de práctica, se puede comprobar la cantidad de información susceptible de ser "utilizada", por alguien que esté por la labor, que se puede obtener, tan solo, con mantener las "orejas" bien abiertas. Lugares de trabajo, dirs de email, números de móviles, etc....es lo menos que os podéis encontrar. Otra fuente de información, por tanto es conveniente mantenerse alejado de ella, suele ser las cabeceras de los mensajes de email que forman parte de cadenas y hoaxes El Diccionario Esto mismo reza cuando algún amigo, de buena fe, envía un mismo documento a un gran número de personas, sin percatarse de que todas, y cada una de ellas, pueden tener acceso a las dirs de email de los demás....

No, si eso de:.... "Líbreme Dios de los amigos que de los enemigos ya me libro yo", a veces, puede tener pero que mucho sentido

;-))