1. Introduccion
~~~~~~~~~~~~~~~
El termino de "Ingenieria Social" aplicado al tema de la seguridad
informatica en general, es utilizado para describir una serie de
procedimientos o metodologias especificas (Por lo general involucradas con la
manipulacion de personas), que servirian por ejemplo a un atacante para
obtener informacion vital sobre el sistema a atacar.

Los ataques mediante tecnicas de "Ingenieria Social" suelen gozar de un alto
grado de eficacia. En muchos de los casos, la misma esta dada por el poco
tiempo dedicado o la poca importancia que se le da en las empresas y en los
departamentos de IT a este problema.

Conceptualmente la "Ingenieria Social" no es considerada un ataque en si
misma. Sucede que al ser la informacion de la victima, un elemento basico a
utilizar en la intrusion de sistemas, cualquier tecnica que ayude a su
obtencion debe ser considerada seriamente.


2. Utilidad de la Informacion Recolectada
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
La informacion recolectada por medio de la utilizacion de alguna de las
"Tecnicas de Ingenieria Social" por lo general es utilizada para:

-Realizar Compras con Medios de Terceros
Por ejemplo alguien que conozca mucho acerca de usted (Sus datos personales,
tarjeta de credito, direccion, etc.) podria utilizar la informacion obtenida
para comprar via Internet o telefonicamente.

-Acceder a Internet Gratuitamente
Esto se lograria en caso de que parte de la informacion obtenida de un
usuario particular, comprenda su nombre de usuario y password de acceso a la
red.

-Acceder a Instalaciones Restringidas
En el caso de que la informacion obtenida sea por ejemplo los datos
personales, y laborales del empleado de determinada planta industrial
Conociendo estos datos un atacante podria imprimir una tarjeta como la que
normalmente utilizan los operarios de limpieza, para acceder a por ejemplo
la sala de servidores de la administracion con la cual ya habria logrado ni
mas ni menos que acceso fisico!!.

-Acceder a Sistemas Restringidos
Informacion tal como: numeros de telefonos de modems, nombres de usuario,
passwords, tipos de sistemas operativos, marca y modelo de los routers,
marca y modelo de los switches, rango de direcciones IP, nombres de
servidores o dominios, etc., son elementos sumamente utiles al momento de
decidir el tipo de ataque a utilizar en la victima.

3. Tipos de Ataques
~~~~~~~~~~~~~~~~~~~
Los metodos utilizados relacionados con la "Ingenieria Social" pueden ser de
lo mas variados y dependen en gran parte de la inventiva que posea el
atacante.
Herramientas tales como un telefono para realizar llamadas o la propia
utilizacion del correo postal comun son instrumentos validos para obtener
informacion de una victima potencial. Tampoco se descarta la utilizacion de
mails con dominios falsos, los cuales son una herramienta excepcional para
quienes buscan perpetrar ataques masivos.

4. Descripcion de un Ataque Telefonico
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
A continuacion le propongo un escenario mediante el cual podremos representar
un ataque tipico de "Ingenieria Social", el cual creo sera de utilidad para
entender lo comentado hasta este punto.

Victima : Empresa de productos alimenticios.
Aproximadamente 280 empleados en su sitio central.
5 Personas de soporte tecnico de sistemas.
Fecha : Dia de Pago a proveedores (Por ejemplo)
Objetivo: Obtener los datos minimos necesarios para realizar una intrusion.
Tactica : Pasar por un empleado de Help Desk.


Paso 1: Conseguir algun telefono de la corporacion. Para este primer
contacto es facil identificar alguno de los telefonos de atencion al
cliente provistos en cualquiera de sus productos (Bolsas, envases, cajas,
etc.).

Paso 2: Comunicarse a este telefono y argumentando ser un proveedor que
reclama un pago, solicitar el telefono del sector de pagos.

Paso 3: Habiendo obtenido el telefono de uno de los sectores de la
empresa del cual se cree participaran usuarios con acceso a la red, el
atacante podria utilizar un argumento tan simple como el que se muestra a
continuacion:

-Usuario : Hola?
-Atacante : (Denotando prisa y fastidio) Si, buenos dias habla
Marcelo de aca de sistemas...
-Usuario : Marcelo?... de sistemas?
-Atacante : Si(con voz segura), tenes algun problema con tu usuario
de red? porque aca figura que hay algun problema!
-Usuario : Mira que yo sepa no.
-Atacante : Bueno puede ser un error nuestro, haber... decime tu...
nombre de usuario... o tu direccion de mail...
-Usuario : Si.. ehh.. es.. "agonzalez"...
-Atacante : mmm, seguro... haber... agonzalez... agonzalez... aha
si aca estas ok, ahora dame tu actual contrase~a asi
la cambiamos por una nueva para no tener mas problemas.
-Usuario : Si... es "marina".
-Atacante : Ok, gracias hasta luego...
-Fin del Dialogo

Lo expresado en el dialogo anterior puede sonar extra~o y bastante estupido
pero creame que existe un alto porcentaje de probabilidades de que un
atacante con un dialogo similar alcance el objetivo que se propone. Si usted
es un oficial de seguridad informatica, deberia probar esto ya mismo.

Bueno, demas esta decir que conociendo el usuario y password de un empleado
del sistema victima, las cosas seran mucho mas facil para el atacante.


5. Descripcion de un Ataque via Correo Postal
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si el atacante requiriera informacion en abundancia de una victima en
particular, seguramente pondria en marcha un ataque utilizando alguna
casilla de correo postal tradicional.

Paso 1: El atacante contrata una casilla de correo.

Paso 2: Toma como patron alguna promocion que haya visto circular por su zona
(Por ejemplo las tipicas suscripciones a revistas, cupones de
descuento, los famosos sorteos de Readers Digest, o similar) y genera
los formularios correspondientes tratando en lo posible de imitar con
la mayor fidelidad posible los originales, modificando solo la
direccion original por la de la casilla de correo por la del atacante.
Obviamente la propuesta debe llamar realmente la atencion para de
esta forma provocar al menos la curiosidad por parte de la victima.
De ser posible el atacante intentara solicitar a la victima incluir
algun tipo de clave en el formulario argumentando que esta podria
servirle para reclamar su premio. (Esto debido a que esta comprobado
que el usuario promedio siempre utiliza el mismo juego de claves para
todo, sus tarjetas, bancos, acceso a Internet, acceso a la PC de su
trabajo, etc.)

Paso 3: El atacante designara la zona en la que se implementara el ataque via
mailing. (Seguramente tratara de enviar las cartas a la zona de la
compa~ia a atacar, obviamente cuando esto sea aplicable)

Paso 4: La victima recibe la correspondencia dejada bajo la puerta por el
atacante y con un poco de suerte completa los datos y los envia
directo a la casilla establecida.

Paso 5: El atacante retira de su casilla de correo los formularios que han
sido completados por la victima. Ya con la informacion en su poder el
atacante procedera con toda tranquilidad a planear la concrecion del
ataque.

5. Ataque via Mail (Correo Electronico)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Este tipo de ataques son posibles gracias a la efectividad que tienen en los
usuarios normales los mails provenientes de entidades publicas o servicios
privados.
Existen en Internet una gran cantidad servidores que permiten a una persona
enviar un mail desde la web sin involucrar su cuenta original ya que el
mensaje llegaria a su receptor encabezado con la cuenta de mail provista por
el servicio de estos servidores (Remailers).

Ahora si de temer se trata, los ataques mas efectivos se podrian lograr
utilizando programas del tipo "Ghost Mail" el cual permite generar
encabezados de mails de lo mas ingeniosos, con nombres de dominio tan
variados, como: "[email protected]", "[email protected]", etc.

Otra posibilidad mas elegante elegida por el perfil de atacantes mas bien
tecnicos, es la utilizacion de algunos defectos en varias de las
implementaciones corrientes de SMTP.

Cualquiera de estas tecnicas se podria utilizar para lograr que la victima
envie informacion como ser datos personales o cualquier otro tipo de
informacion de utilidad para el atacante.

Por ejemplo, que haria usted si recibiera un mail de este tipo:

-----Mensaje original-----
De: [email protected] [mailto:[email protected]]
Enviado el: Wednesday, July 5, 2000 3:46 PM
Para: [email protected]
Asunto: Invitacion de Ciudad Internet

Nos dirigimos a usted, con la intencion de otorgarle el privilegio
de formar parte de las 2000 personas seleccionadas para evaluar
nuestro nuevo servicio de acceso a Internet por cable.
Nuestra intencion es la de brindarle un servicio de "Cable Modem"
sin cargo por el termino de tres meses, tiempo en el cual debera
evaluar la calidad del servicio ofrecido.

Por este motivo es que le solicitamos nos envie este mismo mail
con el correspondiente formulario completo.

Desde ya muchas gracias,

Fiorella Diaz
Atencion al Cliente

Nombre y Apellido [ ]
Actual Proveedor de Internet [ ]
Nombre de Usuario asignado por el proveedor [ ]
Clave asignada por el proveedor [ ]
-----Fin del Mensaje-----

Ok, si usted esta leyendo este documento quizas usted no sea el mejor ejemplo
de "victima" pero seguramente entre cientos de mails, alguno le dara al
atacante el resultado esperado.


6. Utilizacion de "Ingenieria Social" On-Line
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
De todas las formas anteriormente expuestas, la "Ingenieria social On-Line"
es quizas la que se practica con mayor frecuencia.
Los medios por excelencia donde se dan este tipo de ataques, suelen ser los
canales de IRC dedicados a los principiantes del chat.

#iniciados, #ayuda, #newbies, #irchelp son algunos de los sitios utilizados
por los atacantes para encontrar personas sin experiencia en Internet, que
sean faciles de enga~ar.

El sistema por excelencia, es sin duda aquel en que un atacante se hace pasar
por una ni~a con Nicknames del tipo Paola28, Sexygirl18, o cualquier otro que
inspire curiosidad.

La tactica pasara por conversar con la victima de forma tal de ganar su
confianza y provocarle el interes necesario como para que no pare de querer
hablar con la supuesta "se~orita" enamorada.
Un buen ataque puede llevarle al atacante un par de dias. Al final cuando la
victima este totalmente enganchada con el atacante, este seguramente
argumentara algo como esto en su proxima sesion de chat:

Start of Pedro buffer: Fri Jul 07 18:04:25 2000
Session Ident: Pedro ([email protected])

<Pedro> Hola Paola28!! como estas te extra~e! que paso?
<Paola28> Nada solo que esta por expirar mi acceso a Internet, es por
eso que estoy hablandote desde la cuenta de un amigo.
<Pedro> Eso significa que quizas no hablemos mas?
<Paola28> Y si... al menos hasta que pueda pagar una.
<Pedro> Es una lastima me encantaria seguir chateando contigo!
<Paola28> Mira, lo que se me ocurre es conseguir alguien que me preste
su nombre de cuenta para poder acceder al chat y seguir charlando
contigo!!
<Pedro26> Y por que no usas la mia?
<Paola28> sic...

Bien, es cierto que la informacion recopilada no es demasiado importante,
pero seguramente a quien la obtuvo, le proporcionara un tiempo valioso de
conexion para seguir con sus Hackeos, asi como una cuenta "limpia" desde la
cual actuar.

Asi mismo, no deberiamos descartar que ataques de este tipo podrian ser
perpetrados incluso en peque~as corporaciones con un esquema de seguridad
absolutamente deficiente, los cuales dejen libradas las conexiones de
Internet de sus dos o tres empleados, a su buena fe.
Si esto sucediera, existiria un alto porcentaje de probabilidades que dichos
usuarios utilicen el servicio de chat de Internet en sus tiempos laborales
ociosos.

7. Conclusion
~~~~~~~~~~~~~
Si al terminar de leer este peque~o articulo usted sintio al menos una
peque~a cuota de curiosidad o preocupacion, el objetivo del mismo estara
cumplido.

Los riesgos de la "Ingenieria Social", deberian ser tenidos en cuenta en los
programas de seguridad de su empresa, asi como tambien en su propio hogar, ya
que estos pueden ser el punto de partida de un ataque mas sofisticado.

Uno de los mayores problemas a los que se enfrentan los oficiales de
seguridad al implementar un plan integral, es sin lugar a duda el de lograr
el apoyo de la comunidad que debe ser protegida (Usuarios de los sistemas,
empleados de la empresa, etc.)

Para que la aplicacion de un esquema de seguridad sea exitoso, debe contar
con el entendimiento absoluto por parte de los usuarios de las normas a
aplicar, asi como tambien de los riesgos y da~os potenciales en los que se
podrian ver envueltos los sistemas de la compa~ia.