La Ingeniería Social, acercándonos a los molestos Spam, Phishing y Hoax

2. ¿Qué es la Ingeniería Social?
3. ¿Qué es el Spam?
4. ¿Qué son los Phishing?
5. ¿Qué son los HOAX?
6. ¿Cómo podemos contribuir a la educación a nuestros usuarios para que no sean víctima de los Ingenieros Sociales?

Introducción

Hace ya algunos años vengo estudiando el comportamiento de los usuarios de mi red hacía el uso del correo electrónico.

A medida que se han ido incorporando nuevas entidades y nuevos usuarios a la red donde trabajo, se han incrementado la cantidad de usuarios de correo y se hace necesario brindarles a todos estos una capacitación para el uso correcto de este medio que brindamos.

Como dato inicial podemos decir que desde el 1 de enero del 2008 hasta inicios del mes de abril del presente año se han procesado más de 22 296 correos electrónicos y como dato estadístico podemos afirmar que el 26 % de estos correos han sido correos no deseados, según hemos podido comprobar en los lóg. obtenidos del servidor de correo; si a estos datos les sumamos los reportes de los usuarios sobre supuestos Virus que al final no han sido más que Hoax, nos ha llamado la atención por lo que hemos decidido hacer este trabajo para ayudar a nuestros usuarios en la importancia del uso correcto del correo electrónico.

Para ello debemos conocer qué o quiénes están detrás de todas estos ataques recibidos por vía del correo electrónico, debemos saber qué es la Ingeniería Social y quiénes son las personas que hacen vulnerables nuestros sistemas.

¿Qué es la Ingeniería Social?

En el campo de la seguridad informática, "Ingeniería Social" (IS) es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que "los usuarios son el eslabón débil" en seguridad; éste es el principio por el que se rige la ingeniería social.

Un ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en el correo electrónico que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros correo electrónicos maliciosos llevaron a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar los archivos adjuntos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, dan clic ciegamente a cualquier archivo adjunto recibido, concretando de esta forma el ataque.

Quizá el ataque más simple que aún es efectivo sea engañar a un usuario llevándolo a pensar que una persona es un administrador del sistema y solicitando una contraseña para varios propósitos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama Phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores del sistema. En realidad, los administradores de redes (nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario en una encuesta realizada por la empresa InfoSecurity, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.

En muchos casos vemos a diario usuarios de nuestra red que se nos acercan y nos comunican que han perdido su cuenta de usuario o que perdieron la información almacenada en su backup, o tal vez que han sido víctimas pues su cuenta de correo electrónico fue blanco de ataques de spam, suplantación de identidad o envió de información no autorizada por la misma. ¿Cómo yo como usuario puedo contribuir o ayudar a que un Ingeniero Social me haga daño?

La ingeniería social se concentra en el eslabón más débil de cualquier cadena de políticas de seguridad. Se dice a menudo que la única computadora segura es aquella que nunca será encendida. El hecho es que se ha visto como el password (contraseña) de inicio de sesión en la red se puede encontrar debajo del teclado, escrito en el PAD del mouse, en la mesa y en ocasiones hasta en las libretas de notas con el acceso de todo el personal que labora en su oficina o en los laboratorios.