Cuando hablamos de **seguridad en Internet** solo podemos tener la certeza de que nada -ni nadie- está a salvo. No importa si tenemos el mejor antivirus, un firewall bien configurado y utilizamos contraseñas fuertes en nuestras cuentas; como usuarios representamos el eslabón más débil en la cadena de seguridad, ya que en nuestra condición de humanos no estamos libres de cometer errores.

Con el objeto de aprovechar los errores humanos para vulnerar sistemas, existe una técnica denominada **Ingeniería social**, que a su vez cuenta con una serie de métodos cada vez más populares que pueden poner en riesgo tanto nuestra seguridad y privacidad como la integridad de nuestros datos.

Contra la Ingeniería social, las armas más efectivas son **la prevención y el conocimiento**, por lo que esta nueva edición de [la guía de la semana](http://bitelia.com/tag/la-guia-de-la-semana) está enfocada en dar a conocer los métodos más utilizados, de forma tal que estemos prevenidos y podamos reaccionar ante un posible ataque.

##¿Qué es la Ingeniería social?##

Como lo mencioné al principio, la [**Ingeniería social**](http://bitelia.com/tag/ingenieria-social) es una técnica que aprovecha los errores humanos para comprometer las seguridad de los sistemas, pero también podríamos decir que es un arte cuyas herramientas principales son el engaño y la confusión.

Así como existen piratas informáticos que irrumpen en sistemas aprovechando vulnerabilidades en el *software*, hay quienes se hacen expertos en engañar y manipular a otras personas, y así, a través de estas, conseguir los datos necesarios para acceder no solo a sistemas, sino también a nuestras cuentas personales en redes sociales, correo electrónico, números de tarjetas de crédito y en general a **cualquier información personal** de carácter privado.

Aunque el término "Ingeniería social" comenzó a escucharse con más frecuencia en tiempos recientes, la técnica existe desde que las personas decidieron que engañar a otros es una forma aceptable de ganarse la vida.

Un pirata informático que utiliza la Ingeniería social como técnica de ataque, **no necesita estar frente a frente con su víctima**, de hecho, en la mayoría de los casos aprovecha herramientas que usamos a diario, como por ejemplo, el correo electrónico, la mensajería instantánea y el teléfono.

Si quieren conocer como funciona la Ingeniería social en su máxima expresión, les recomiendo ver la película [Takedown](http://www.imdb.com/title/tt0159784/). En esta historia basada en hechos reales se muestra la forma en que **Kevin Mitnick**, uno de los *Hackers* más famosos de la historia, aplica de manera sorprendente varios de los métodos que describiré a continuación.

##Phishing##

El **Phishing** es uno de los métodos de ataque de Ingeniería social más utilizados. La forma más común de Phishing es la que emplea el correo electrónico para cometer fraude.

Un atacante que utiliza este método por lo general tiene en su poder un dominio de Internet que puede ser fácilmente confundido con la URL de un servicio legítimo y lo utiliza para tratar de convencer al usuario de ingresar sus datos con el fin de verificar su cuenta bancaria, Paypal e incluso una red social o servicio de mensajería instantánea, bajo la amenaza de suspenderla en caso de no suministrar los datos requeridos. Si un usuario ingresa sus credenciales, obviamente le está entregando su información al atacante, quién la utilizará para robar información e incluso dinero.

Por fortuna, el Phishing también es uno de los métodos más fáciles de detectar, en gran parte, gracias a los servicios de correo electrónico que filtran de forma rigurosa todos los mensajes que atraviesan sus servidores e identifican y marcan como sospechosos aquellos que provengan de fuentes no confiables.

Debemos tener presente que **ningún servicio de Internet**, incluyendo a los propios bancos, nos solicitará información financiera, contraseñas o números de tarjeta de crédito para verificar nuestra identidad o validar nuestra cuenta a través de correo electrónico.

Cada vez que necesites ingresar a los servicios de banca en línea, asegúrate de introducir manualmente la dirección en el navegador, es decir, evita utilizar enlaces que encuentres en otros sitios, incluso si se trata de un buscador. La mayoría de los bancos tienen servicios de atención telefónica para reportar el fraude, por lo que si sospechas que estás siendo víctima de uno de estos ataques, no dudes en llamar de forma inmediata para solicitar asistencia.

##Vishing##

En el **Vishing**, los métodos son similares a los descritos en el Phishing, de hecho su finalidad es exactamente la misma. La diferencia es que este utiliza **una llamada telefónica** en lugar de un correo electrónico o un sitio web falso.

Existen varias formas ataque bajo este método, las más comunes son:

- Una llamada a la victima utilizando un sistema automatizado, en la cual se solicita al usuario que siga una serie de pasos para reactivar su cuenta ya que "su tarjeta de crédito ha sido robada" y "se requiere de una acción inmediata".

- Un correo electrónico con instrucciones para "activar su cuenta" donde se incluye un número de teléfono al que se debe llamar para completar el falso proceso de activación.

- Empleando la imitación de llamadas telefónicas interactivas del tipo "marque 1 para..." o "introduzca su número de tarjeta de crédito después de la señal...".

Además de éstas, he conocido casos a través de familiares y amigos, en los cuales, mediante una llamada telefónica se realiza una encuesta o se ofrece algún paquete turístico. A lo largo de la conversación, el atacante va realizando una serie de preguntas cuyas respuestas implican datos privados.

Los atacantes que emplean este método suelen tener un gran poder de convencimiento y ser buenos conversadores, de esta manera logran mantener por el mayor tiempo posible a la víctima pegada al teléfono.

Ahora que conoces como funcionan, puedes **sospechar** de todas las llamadas de este tipo. En el caso de los bancos, estos **nunca te pedirán datos vía telefónica** (en todo caso te pedirán que te acerques hasta una de sus agencias). Tampoco Facebook, Google, Microsoft o cualquier compañía/servicio te llamará para pedirte información sobre tus contraseñas o tarjetas de crédito.

##Baiting##

Este método aprovecha una de las mayores debilidades -o virtudes- de los seres humanos: la **curiosidad**.

En el **Baiting**, un atacante abandona de forma intencional un dispositivo o medio de almacenamiento extraíble, como por ejemplo, una memoria USB o un CD/DVD. Dicho dispositivo estará infectado con *software* malicioso, que podría ser instalado en el ordenador, incluso sin que nos demos cuenta.

Contra este método, tener un **antivirus actualizado** podría ser efectivo, sin embargo, es necesario tener precaución a la hora de insertar dispositivos de dudosa procedencia en nuestros ordenadores. También es recomendable **desactivar la función** ***Autorun*** y no abrir archivos si no estamos seguros de su contenido.

##Otros métodos##

Además de los 3 que he mencionado, existen muchos otro métodos utilizados dentro de la Ingeniería social, todos ellos, como lo dije al principio, hacen uso del engaño y la confusión para llevarnos a la trampa, por lo que debemos estar alerta en todo momento, y sobre todo, hacer uso del sentido común.

Finalmente, y aunque parezca una recomendación obvia, procura no anotar tus contraseñas en lugares donde puedan ser fácilmente visibles o encontradas por otros, sobre todo si trabajas en un lugar donde entra y sale gente de manera constante. Dejar las tarjetas de crédito, estados de cuenta, u otro tipo de información financiera a la mano de cualquiera, tampoco es una buena idea.

Ahora que conoces como funciona la técnica y sabes como prevenir un fraude, es momento de compartir la información con tus familiares y amigos, de esta manera, ellos también podrán evitar caer en la trampa.

Imagen (CC): [Stomchak](http://commons.wikimedia.org/wiki/File%3APhishing.JPG)

Participa en la conversación

32 Comentarios

Deja tu comentario

  1. Como no entiendo mucho de msteaploit ni de backtrak te formulo la siguiente pregunta:Se podria poner en una pagina (cualquiera) un iframe con la con src= 192.168.1.23 asi hacemos que el visitante no sospite demasiado. Se capturarian los datos al ser un iframe?Si no se me entiende decidmelo, he intentado explicarlo lo mejor posible

  2. Segfan la captura precae que parte de eso va a desaparecer. Pero luego aparece la opcif3n de incrementar o disminuir la dimensif3n de los cedrculos.Entonces tal vez ambos sistemas se fusionen, los cedrculos en la columna derecha para re1pido acceso y los cedrculos debajo para arrastrar los contactos, con el actual efecto visual.Hay que tener en cuenta que esto es lo que aparece ahora en el cf3digo, pero debe ser testeado, probar su funcionamiento y siempre puede haber cambios.

  3. he, he, he esperem que ningfa es senti ofe8s jo diria que el penaretctge de merda e9s me9s o menys el mateix de sempre, el que passa e9s que actualment tenim moltes me9s eines per produir-ne: (de merda, semi-merda o quelcom diferent)

  4. Las redes sociales blndaidas por individuos con principios y educacif3n son las que han logrado objetivos reales en esta era de rebeldeda, contra los sistemas poledticos que abusan del poder.Lo que sucede en Me9xico y en Latinoame9rica, es que el ciudadano de a pie, a estado inmerso en la ignorancia y son ellos mismos los que forman parte de ese cedrculo de la corrupcif3n que predomina en estos paedses, no hay un mexicano o latinoamericano mayor de edad que no haya procedido de manera inadecuada o efectuado un acto de corrupcif3n, ya sea dando o recibiendo dinero o especie para lograr su objetivo final. Los hispanoparlantes americanos en general, este1n acostumbrados a arrojar la piedra y esconder la mano.Refirie9ndome especedficamente a Me9xico el sistema poledtico-religioso-corporativo que ha manipulado a este paeds durante de9cadas hizo y ha hecho todo lo posible para mantener a estos ciudadanos hundidos en la base de la pire1mide ya sea sin darles educacif3n manteniendo a los que la deben transmitir “profesores” en la ignorancia bajo el control de sindicatos en manos de sus esbirros y los salarios para las bases bajo el control de estos grupos sindicales se encuentran muy bien organizados en sus elites para recibir las dadivas de los gobernantes en turno y despue9s regresar estas fortunas para utilizarlas en las campaf1as poledticas, Estos personajes solo ven a los mexicanos como un botedn.Debido a todo esto que acabo de describir, la generacif3n anterior de mexicanos, nunca lograron organizarse inteligentemente y con objetivos claros para lograr una revolucif3n social a trave9s de las redes, ya que los medios tradicionales no lo permitieron ya que han estado coludidos con los gobernantes en turno, bfsere1 posible? que ahora los ciudadanos muy jf3venes que este9n vacunados contra la corrupcif3n debido a que en sus hogares y entornos en donde realmente hay y coexisten con personajes que promulgan y demuestran con actitudes reales sus valores e9ticos, tengan grandes posibilidades y quize1s ellos logren comunicarse con los ciudadanos de a pie y modifiquen a este paeds para que sea una entidad me1s equilibrada y justa.Mientras en este paeds no se conozca la productividad laboral con su remuneracif3n econf3mica como estedmulo y la equidad educativa con su remuneracif3n intelectual como impulso y logro personal, no llegaremos muy lejos y veremos esta generacif3n hundida nuevamente entre la partidocracia, el sindicalismo y la burocracia corrupta que han mantenido a este pueblo en la ignorancia.Ojala estos jf3venes mexicanos tengan la inteligencia para utilizar estas redes sociales como lo han hecho y logrado en paedses con jf3venes preparados y honestos en sus objetivos, como es el caso reciente de los jf3venes espaf1oles, que alcanzaron a catalizar un movimiento honorable y con objetivos reales, sere1 entonces cuando los paedses de Latinoame9rica sean me1s justos para la poblacif3n productiva que son la base de cualquier sociedad equilibrada y eficaz.Gracias por tu articulo Pablo, espero que muchos jf3venes logren leerlo!!!!

  5. Boa tarde!Sou do Brasil e gostei muito do que vocea disse neste post!Tenho uma marca de ropaus que criei em 2010 com mais 2 amigos, mandamos fazer algumas camisetas com algumas estampas que ne3o foram criadas por nf3s e ne3o obtivemos nenhum sucesso. Para ne3o falar que ne3o vendi nada, consegui vender apenas uma para minha prima o restante das camisetas damos de presente para alguns de nossos amigos e algumas je1 nem sei onde guardamos, mas sei aonde errei porque eu fui com muita cede ao pote! Primeiro, criamos a marca e mandamos fazer nosso logotipo com um desconhecido, e que por sinal ficou horredvel, criei um novo logotipo e mandei estampar algumas camisetas em um lugar onde tambe9m ne3o conhecedamos. O resultado foi mais desanimador do que o logotipo da marca, pois o tecido e9 de uma qualidade muito inferior e a eles ne3o fizeram nada do que pedimos. Ne3o tocamos mais no assunto das camisetas durante todo esse tempo e agora estou retomando com a marca! Dessa vez estou fazendo diferente, primeiro estou criando um blog para que e possa postar algo refente a marca, sobre tendeancias, o que este1 na moda e atrair primeiramente o pfablico alvo para depois eu poder comee7ar a confeccionar novamente as camisetas e ne3o cometer o mesmo erro de antes.Se puder responder a esse comente1rio ficaria muito grato, pois e9 bom conversar com quem realmente intende! c0s vezes pergunto para um amigo ou parente sobre o que eles pensam, mas ne3o de3o a mednima para o meu projeto. Sf3 gostaria de que algue9m possa me ajudar.Grato!

  6. Excelente aporte. Un día alguien me dijo «nunca nadie regala nada por nada», usando este principio se puede evitar ser presa facil de la ingeniería social

  7. Caer en el «Baiting» no es precisamente por curiosidad, es más un: ves la memoria y piensas «ya chingue» y te la envolsas, eso no es curiosidad!

  8. vishing, baiting…. q co**sesto.. es no dejarse timar, como no el vida real, no todo el mundo es sincero, punto. Con 2 frases se resume..