en la seguridad de la información: ingeniería social · nombres de usuario, claves de acceso,...

Factor Humanoen la Seguridad de laInformación:

Ingeniería Social

Ricardo Argüello

Agenda

● ¿Cuan grande es el problema?● ¿Qué es la Ingeniería Social?● ¿Por qué la IS es tan efectiva?● Anatomía de un ataque de IS● Como mitigar el riesgo● Conclusiones

¿Cuan grande es el problema?


● Deloitte 2004 Global Security Survey– Instituciones financieras deben cumplir

regulaciones– 83% ha sufrido algún problema de seguridad

● PWC/Department of Trade & Industry: information Security Breaches Survey 2004 (Inglaterra)– Número de ataques ha aumentado– El costo de un ataque a una organización

grande puede llegar hasta los $ 250.000


● FBI– Denegación de servicio el más costoso– Robo de propiedad intelectual segundo mas

costoso● 2002-03 Australian Cyber Crime Survey

– El volumen de los ataques se ha doblado desde el 2001


● CSO 2003 Survey– Los que contestaron la encuesta y que sufrieron

la mayor cantidad de daños debido a incidentes de seguridad eran dos veces mas propensos que el promedio a planificar disminuir sus gastos en seguridad el próximo año.

– Aquellos que fueron mas afectados fueron la casi la mitad de propensos a listar el entrenamiento de sus empleados como unas de sus tres primeras prioridades.


● Estadísticas CERT/CC (www.cert.org)

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 20050

500

1000

1500

2000

2500

3000

3500

4000

4500

Vulnerabilidades por año

Vulnerabilidades


● No sabemos!● Falta de métricas útiles● La tendencia indica que se incrementa cada

año● La perdida monetaria ha sido estimada entre

$ 400 millones y $ 12 billones de dólares.● Robo de identidad: La actividad criminal no

violenta de mayor crecimiento● Phishing parece estar al alza


● Phishing:– Mensaje de correo fraudulento destinado a

engañar a los destinatarios para que divulguen información de identificación personal.● nombres de usuario, claves de acceso, números de

tarjetas de crédito, números de seguridad social, claves de cajero, etc.

● Estos mensajes de correo lucen “oficiales” y los destinatarios creen en la marca y responden, resultando en pérdidas financieras, robo de identidad y otras actividades fraudulentas

Ingeniería Social

● Fenómeno Social/Psicológico● Definición:

– Aplicación práctica de principios sociológicos a problemas sociales particulares

● No necesariamente negativo● Persuasión:

– Disonancia Cognitiva– Teoría de las Expectativas del Lenguaje

● Ahora se ha vuelto un problema tecnológico negativo

Ingeniería Social

● “Intentos, exitosos o no, de influenciar a una persona(s) a revelar información, o de actuar de manera que resulte en acceso no autorizado, uso no autorizado o divulgación no autorizada, a un sistema de información, red o datos.”– Rogers & Berti, 2001

IS: ¿Por qué es tan efectiva?

● El campo de la Seguridad de la Información está enfocado principalmente en seguridad técnica

● Casi no se presta atención a la interacción máquina-persona

● Solo tan fuerte como el eslabón más débil –Las personas son el eslabón mas débil (Wetware)

● Por que gastar tanto tiempo atacando la tecnología si una persona te puede dar acceso?


● Extremadamente difícil de detectar.● No existe IDS para “falta de sentido común”

o más apropiadamente, ignorancia.


● Dos factores básicos– Naturaleza Humana Básica– Entorno de Negocio

● Naturaleza Humana– Util– Que confía– Inocente


● Entorno de Negocio– Orientado a servicio– Poco tiempo/muchas tareas– Oficinas distribuidas– Oficinas virtuales– Fuerza de trabajo de alta rotación


● Muy similar a como las Agencias de Inteligencia se infiltran en sus objetivos

● Tres fases:– Fase 1: Recopilación de inteligencia– Fase 2: Selección de la “víctima”– Fase 3: El Ataque

● Usualmente muy metódico

Anatomía de un Ataque

● Fase 1: Recopilación de Inteligencia– Fuentes de información primaria

● Basureros● Páginas Web● Ex-empleados● Contratistas● Vendedores● Socios estratégicos

– La base para la siguiente fase


● Fase 2: Selección de la “víctima”– Se busca por debilidades en el personal de la

organización● Help Desk● Soporte Técnico● Recepción● Soporte Administrativo● Etc.


● Fase 3: El Ataque– Basado en rutas periféricas de persuasión:

● Autoridad● Similitud● Reciprocidad● Compromiso y consistencia

– Usa la emocionalidad como una forma de distracción


● 4 categorías generales de ataques:– Ataques Técnicos– Ataques al Ego– Ataques de Simpatía– Ataques de Intimidación


● Ataque Técnico (Autoridad/Consistencia)– No hay contacto directo interpersonal con las

víctimas– El atacante forja mensajes de email, websites,

popups o algún otro medio– Pretende ser soporte autorizado o un

administrador de sistemas– Trata de obtener información sensible de los

usuarios (claves, nombres de usuario, números de tarjeta de crédito, claves de cajero, etc).

– Muy exitoso


● Ataque al Ego (Reciprocidad/Simpatía)– El atacante apela a la vanidad o ego de la

víctima– Usualmente atacan a alguien que parezca

frustrado con su situación laboral– La víctima trata de probar cuan inteligente o

conocedor es y provee información o incluso acceso a sistemas o datos.

– El atacante puede pretender ser una autoridad de la ley, la víctima se siente honrado de ayudar

– La víctima usualmente nunca se da cuenta


● Ataque de Simpatía (Simpatía/Compromiso)– El atacante pretende ser un nuevo empleado,

contratista o vendedor– Existe alguna urgencia de completar una tarea u

obtener alguna información– Necesita asistencia o perderá su trabajo o estará

en problemas– Juego con la empata/simpatía de la víctima– El atacante pide ayuda hasta que encuentra

alguien que pueda ayudarlo– Ataque muy exitoso


● Ataque de intimidación (Autoridad)– El atacante pretende ser alguien con influencias

(una figura de autoridad, oficial de la ley)– Trata de utilizar su autoridad para forzar a la

víctima a cooperar– Si hay resistencia utiliza la intimidación y

amenazas (perdida del empleo, cargos criminales)

– Si pretende se un oficial de la ley dirá que la investigación es encubierta y no debe ser divulgada

Mitigando el riesgo

● El impacto de la IS es usualmente alto● La facilidad de un ataque es alta● Controles técnicos solamente no evitarán un

ataque de IS● Controles administrativos/operacionales

tampoco lo harán● Controles de medio ambiente tampoco lo

prevendrán

Mitigando el riesgo

● Necesitamos una combinación de Principios Operacionales/Administrativos, Técnicos (lógicos) y de Medio Ambiente (físicos)

● Se puede reducir a:– Tecnología– Políticas– Educación– Divulgación– Entrenamiento

Mitigando el riesgo

● Todos los empleados deben tener una actitud hacia la seguridad y cuestionar las cosas.

● Necesitan reconocer los “trucos”● Se deben tener procedimientos de respuesta

a incidentes y equipos que mitiguen el daño si ocurre un ataque

● Se debe notificar a los involucrados● Aplicar tecnología donde sea posible● Probar cuan listos estamos periódicamente

Conclusiones

● Los ataque de Ingeniería Social son una amenaza muy seria

● Los ataque de Ingeniería Social son muy fáciles y muy efectivos

● No se debe ignorar la interacción persona-maquina

● La seguridad de la información es un problema de hardware, software, firmware y peopleware

● La mejor defensa: Educación combinada con tecnología

en la seguridad de la información: ingeniería social · nombres de usuario, claves de acceso,...

Documents