Nada es lo que parece: en materia de seguridad, la prevención es indispensable

Iniciado por Gabriela, Junio 04, 2016, 05:49:11 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


No voy a escribir sobre estrategias de engaño, alcanza Googlear el binomio  "ingeniería social" para que se despliegue  un universo de historias, técnicas y  los más variopintos relatos de trampas y estafas a través de internet. Mi idea es insistir en la educación del usuario común como principal destinatario de la ingeniería social, pues siendo esta el  "arte de engañar" aparece como uno de los primeros vectores de ataque con resultados altamente exitosos: obtener información, penetrar un sistema víctima en forma ilegítima, o simplemente llevar a cabo un engaño con fines lucrativos.

Sin embargo, hay que decir que la ingeniería social no es propia  o única del ámbito cibernético; por el contrario existe desde tiempos inmemoriales (sino ¿cómo creen que la serpiente logró que Eva comiese del fruto prohibido?  ;D), solo que las interacciones a través de los medios digitales favorecen el escenario para el engaño cuando no se está en alerta.

Muchas son las definiciones que se leen por el mundo informático, pero todas tienen un núcleo básico: trampas, mentira, engaño, bajo el conocido principio de que el user es el eslabón más débil de la cadena.
Nuestra bien apreciada Wikipedia la define como: 
Citar"El acto de manipular a la gente para llevar a cabo acciones o divulgar información confidencial. Aunque parecido a una estafa o un simple fraude, el término se aplica normalmente a las artimañas o engaños con el propósito de obtener la información, llevar a cabo un fraude o acceder a un sistema informático; en la mayoría de los casos, el atacante nunca se enfrenta cara a cara con la víctima"
.

Así, la ingeniería   social es la puerta que se abre por la mano del usuario-víctima, ya sea por un simple clic,  por  relaciones de aparente confianza, o incluso por descuido; donde es la víctima quien proporciona información. No son pocas las fuentes que señalan a la "manipulación psicológica"  o persuasión como la mejor herramienta en esto del arte de engañar.

Kevin Mitnick, llegó a decir que es más simple engañar a alguien para que facilite su contraseña que hacer el esfuerzo de hackearlo.  Por otra parte, Mitnick, anotaba algunas características comunes aplicables  las personas:

Citar"-Todos queremos ayudar.
-Siempre, el primer movimiento hacia el otro, es de confianza.
-Evitamos decir NO.
-A todos nos gusta que nos digan cosas gratas."

En base a las premisas anteriores, los delincuentes informáticos diseñan las  más variadas estrategias de fraude.  A la fecha, las mismas, han ido evolucionando y perfeccionándose -siempre tratando de generar un entorno creíble o de confianza o en base a "ganchos" que nos induzcan  a "picar"- y nos lleve hacia donde el atacante tiene preparado el timo o nos instale el código malicioso. Pero insisto todo depende del comportamiento de user, la precaución y  unas simples reglas: no creer, no confiar, no clic. 

En esta línea de pensamientos, David Harley, especialista en seguridad informática, sostiene: "Los scammers (estafadores) se han diversificado y perfeccionado, dejando atrás los correos de phishing mal escritos y basados en texto; ahora construyen sitios falsos enteros y páginas de Facebook como señuelos para campañas maliciosas. E incluso el humilde y clásico correo falso ha evolucionado... se han creado industrias alrededor de los scams, incluyendo a diseñadores de sitios falsos que construyen señuelos. Estamos viendo cada vez más reportes de sitios que proveen plantillas para páginas que luego se usan para engañar a los usuarios para que llamen a un call center, y ya no tanto al supuesto empleado de call center llamando a la víctima. Las personas son engañadas a través de páginas de Facebook y mensajes emergentes."

Por último, comentar que la evolución del malware en sí  [y no me refiero únicamente a la sofisticación en los códigos  por ejemplo, polimórficos o mutantes],  está orientado a pasar desapercibido para el usuario. A diferencia de lo que ocurría hace 10 o 15 años, donde las infecciones molestaban al user o enlentecían el sistema, hoy las infecciones se enfocan  a obtener el control del PC y usarlo como zombie y parte de una botnet. El usuario común ni siquiera lo nota que su  sistema e IP podría estarse usando para fines ilegales. Este punto y el robo de credenciales, datos personales o información bancaria son los ejes orientadores de las infecciones actuales; todo ello dejando de lado el espionaje de gobiernos y estados.


En definitiva, podemos resumir algunos tips:


1-   La Ingeniería social, es el arte de engañar y el ser humano es vector de ataque con mayor vulnerabilidad.

2-   Existe desde siempre, aún cuando los escenarios digitales  -y las redes sociales- favorecen su empleo.

3-   Es el método por excelencia utilizado por los ciberdelincuentes para obtener información, realizar fraudes u obtener accesos o privilegios en el sistema de la víctima.

4-   La ingeniería social se fundamenta en la confianza, el descuido, la confusión o la distracción. Todo puede comenzar con un simple CLIC.

5-   Ingeniería social no es solamente un engaño para lograr infectarte, es también todo engaño orientado a la obtención de un beneficio.

6-   Aunque el engaño no necesariamente perjudique a la víctima, sigue siendo engaño.

7-   Recuerda, todo el mundo es sospechoso hasta que se demuestre lo contrario.

8-   Y después que se demuestre lo contrario, evita la ingeniería social en base a  simples reglas: no creer, no confiar, no clic.

9-   Di NO sin remordimientos cuando te pasen un enlace, aplicación o archivo. En una foto también puede venir camuflado un código malicioso.

10-   Si quieres enterarte de la vida de los famosos, de infidelidades de la prensa rosa, ayudar a Nigeria, o  simplemente ver porno, no es necesario acudir a ningún enlace externo. Tú puedes encontrarlo sin ayuda de nadie.

11-    Nadie te regalará nada por nada. Ni autos, ni cursos de inglés, ni vales por hamburguesas. Sospecha de todo lo gratuito, porque el producto eres tú.

12-   Evita pinchar en enlaces acortados. Facebook  te avisará por un medio oficial cuando se pueda saber quien visitó tu perfil, los enlaces que circulan son fraudes.

13-   Configura las aplicaciones mensajería, como por ejemplo Whatsapp, para no recibir nada en forma automática y menos picar en los enlaces que circulan por los grupos.

14-   No preguntes la vida de nadie, pero tampoco aceptes que te pregunten la tuya. Es información innecesaria que proporcionas.

15-   Protégete con soluciones de seguridad, usa contraseñas distintas y fuertes que no se relacionen con nada de tu vida o gustos personales. Cámbialas al menos una vez al mes.

16-   Configura las extensiones de archivos en forma visible. Sería bueno que aprendieras que algunas extensiones  y códigos que pueden resultar maliciosos, son bastante más que los conocidos .exe.

17-   Nadie está libre de ser víctima de ingeniería social, aunque uses Linux  8)

18-   Jamás des tus credenciales a nadie. Ningún servicio legítimo te las preguntará.

19-   El móvil y el PC, son como el cepillo de dientes, no se presta a nadie y se lleva a todos lados. No perderlos de vista puede evitarte disgustos. Si tu PC es de escritorio, protégelo con una contraseña robusta y no adivinable.

20-   Nada es lo que parece: en materia de seguridad, la prevención  es indispensable.



No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Gabriela

Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

La verdad que muy bien post. Interesante hasta que me dan ganas de releerlo para destirparlo a fondo. Muchas gracias.