LA INGENIERÍA SOCIAL APLICADA AL

DELITO INFORMÁTICO. UNA

APROXIMACIÓN.

El tema general de este trabajo es el delito informático, pero con una

aproximación desde el punto de vista de la ingeniería social aplicada a él.

Se dará una visión de la fundamentación psicológica de la Ingeniería Social,

el por qué funciona y los diversos ataques que se pueden llevar a cabo con

ella. También tratarán los aspectos sociales que hacen que los delitos

informáticos sean posibles hoy en día gracias a la ayuda involuntaria (o no)

de todas las personas (con pocos o muchos conocimientos informáticos) y

las técnicas de recogida de datos. Se desarrollarán un par de casos

prácticos completos en los que se da una visión de conjunto de la teoría

propuesta: el phishing bancario y el envío de spam. Por último se hará un

acercamiento a las redes zombis y al nuevo campo de la ingeniería social:

las redes sociales.

"Usted puede tener la mejor tecnología, firewalls, sistemas de

detección de ataques, dispositivos biométricos, etc. Lo único que se

necesita es una llamada a un empleado desprevenido e ingresan sin

más. Tienen todo en sus manos." Kevin Mitnick.

Autor: Vicente Carrillo Luque

Colaborador: Fernando Sánchez Pastor

Madrid, 2011

Esta obra está bajo una Licencia Creative Commons 4.0

Ver Licencia

2

Tabla de contenido 1. INTRODUCCIÓN ..................................................................................................................... 3

2. CONCEPTOS DE INGENIERÍA SOCIAL ..................................................................................... 3

3. OBJETIVOS ............................................................................................................................. 5

4. ¿POR QUÉ FUNCIONA? ......................................................................................................... 5

5. FORMAS DE ATAQUE. EJEMPLOS .......................................................................................... 6

5.1. ATAQUE TELEFÓNICO ........................................................................................................ 6

5.2. ATAQUES WEB ................................................................................................................... 8

5.3. ATAQUES POSTALES .......................................................................................................... 9

5.4. ATAQUES SMS ................................................................................................................... 9

5.5. ATAQUES CARA A CARA .................................................................................................. 10

6. CASOS PRÁCTICOS ............................................................................................................... 11

6.1. PHISHING BANCARIO ....................................................................................................... 12

6.2. SPAM. CICLO COMPLETO ................................................................................................ 16

7. ATAQUES DE DENEGACIÓN DE SERVICIO Y REDES ZOMBIES .............................................. 19

8. LAS NUEVAS AMENAZAS. LAS REDES SOCIALES .................................................................. 21

9. CONCLUSIONES ................................................................................................................... 22

10. BILIOGRAFÍA ........................................................................................................................ 23

REFERENCIAS ........................................................................................................................... 23

3

1. INTRODUCCIÓN Internet se ha convertido hoy en día en una herramienta cotidiana para muchas

personas. Una gran cantidad de usuarios lo utilizan a diario como medio de trabajo,

ocio, de herramienta de búsqueda de trabajo, para recopilar información, etc. Una

de las actividades más extendidas actualmente, en el ámbito del ocio, es la del uso

de redes sociales y acceso a cuentas bancarias. Esto supone, por un lado la pérdida

de datos personales, bien sea fotografías o datos reales. Por otro lado supone que

en caso de pérdida de contraseñas, un atacante podría acceder a nuestros propios

fondos sin levantar ningún tipo de sospecha.

La mayoría de las personas no es consciente de que sus datos personales no se

muestran en cualquier sitio o se revelan a cualquiera en la vida real, pero sí los va

dejando por la red de redes con una facilidad pasmosa. Aunque la situación ha

mejorado un poco en los últimos tiempos en el campo de las direcciones de correo

electrónico, la multiplicación de las redes sociales y entidades bancarias ha dado

como resultado que el “botín” a obtener es más jugoso. Se está hablando de

suplantar la identidad de una persona y de la posibilidad de obtener dinero real.

Para poder acceder a esta información de una forma relativamente sencilla, entre

los hackers y demás personas que desean lucrarse nació la ingeniería social. Según

la Wikipedia [1] se define como “la práctica de obtener información confidencial a

través de la manipulación de usuarios legítimos”. El objetivo último de este trabajo

es mostrar un estado actual de la aplicación de la ingeniería social al delito y poner

un par de ejemplos reales de ciclo completo de consecución de información y los

actos delictivos que se derivan.

2. CONCEPTOS DE INGENIERÍA SOCIAL Tal y como se ha descrito en el punto anterior, la ingeniería social consiste en

obtener información de terceros sin que éstos se den cuenta. En un principio, no

existe limitación en cuanto al tipo de información obtenida ni a la utilización

posterior que se hace de ésta. Puede ser ingeniería social el obtener de un profesor

las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de

España. Sin embargo, el origen del término tiene que ver con las actividades de

obtención de información de tipo técnico utilizadas por hackers.

Es importante remarcar que, si bien la ingeniería social se está aplicando en este

trabajo sobre todo a la informática, ésta existe desde hace mucho tiempo y todos

hemos sido víctimas de ella alguna vez en la vida. Como por ejemplo el repartidor

de publicidad que llama al portero automático de nuestro portal haciéndose pasar

por cartero o repartidor de pizzas y así acceder a nuestros buzones, o la persona

que necesita “20 céntimos” para coger el autobús y volver a su pueblo, después de

una noche de fiesta, y que a las 7 horas sigue allí, con la misma excusa, aunque

nosotros le habíamos proporcionado 50 céntimos…

La ingeniería social aprovecha sentimientos tan variados como curiosidad, la

avaricia, el sexo, la compasión o el miedo, de esta forma se consigue el objetivo

4

buscado: una acción por parte del usuario. A continuación se expone un breve

resumen de grupos profesionales o de personas que recurren frecuentemente a la

ingeniería social para satisfacer sus propósitos:

Los hackers: Obviamente necesitan tener información que les permita

infiltrarse en máquinas ajenas. Son el objeto de estudio principal del trabajo.

Los espías: En este caso, pueden realizarse acciones de ingeniería social no

sólo en el ámbito de la informática, sino en todos los niveles de la vida; para

introducirse en un hotel, en una casa y ver que hay sin tener que forzar la

puerta etc. Es su trabajo.

Los ladrones o timadores: La ingeniería social es parte de su medio de vida.

Los detectives privados: Al igual que los espías necesitan obtener

información como parte de su trabajo.

Los vendedores: al igual que espías, detectives y ladrones es parte de su

trabajo. Cuanta más información conozcan del comprador, podrán hacer un

perfil más ajustado de su personalidad y convencerlo de comprar productos

en los que no estuviese interesado originalmente o el mismo producto con

características superiores a los requisitos iniciales y que, por vanidad, acepte

comprar.

La ingeniería social supone un gran cambio en el paradigma de ataque a los

sistemas informáticos, puesto que el objetivo inmediato pasa de ser la máquina o el

sistema en sí mismo a la persona humana u operador. Las ventajas están claras

debido a que con un poco de trabajo extra se puede acceder al sistema de forma

“legal”. La siguiente figura muestra el cambio de paradigma:

Figura 1. Paradigma ataque clásico y mediante ingeniería social

5

“Aunque se dice que el único ordenador seguro es el que está desenchufado, los

amantes de la ingeniería social gustan responder que siempre se puede convencer

a alguien para que lo enchufe.” Congreso "Access All Areas" de 1997 [10].

Como conclusión a este apartado de conceptos, decir que la ingeniería social

acaba en el momento que se obtiene la información deseada, es decir, las acciones

delictivas que esa información pueda facilitar o favorecer no se enmarcan bajo este

término.

3. OBJETIVOS Siguiendo el trabajo de Maximiliano Visentini [2], los objetivos de la ingeniería

social se pueden establecer en:

Conseguir beneficios económicos para los creadores de malware y

estafadores debido al ínfimo costo de implementación y el alto beneficio

obtenido.

Realizar compras telefónicamente o por Internet con medios de terceros,

conociendo bastante sobre ellos (datos personales, tarjeta de crédito,

dirección, etc.).

Acceder gratuitamente a Internet si lo que se buscaba era nombre de usuario

y contraseña de algún cliente que abone algún servicio de Banda Ancha.

A los que se pueden añadir alguno más:

Obtener el control de una cuenta de correo para difamar, enviar spam, etc.

Obtener el control de un perfil social para pedir a cambio favores sexuales,

económicos o de otra índole.

Conseguir el control total de un equipo para unirlo a una red zombi.

Se puede ver claramente que siempre hay un lucro por parte del atacante y que

la persona atacada no se da cuenta de que ha sido engañada hasta que es

demasiado tarde y el daño ya está hecho.

4. ¿POR QUÉ FUNCIONA? A pesar de que en los últimos tiempos se ha hecho una labor de prevención

importante por parte de los cuerpos y fuerzas de seguridad del estado, instituciones

educativas y diversas asociaciones de internautas1, hoy en día sigue siendo muy

usual caer en los engaños y fraudes cuyo origen está en técnicas de ingeniería

social.

En primer lugar hay que decir que obtener a priori información personal de la

víctima no es una tarea sencilla. El atacante deberá poseer una serie de cualidades

1 Merece la pena destacar la página web de la empresa estatal INTECO (Instituto Nacional de

Tecnologías de la Comunicación, S.A) http://www.inteco.es/, debido a su encomiable labor y calidad. La Guardia civil tiene un apartado de denuncias online para obtener información acerca de delitos telemáticos.

6

para tener éxito en su propósito. Todas estas cualidades no podrán poseerse de

forma innata probablemente por tanto, deberán trabajarse mediante el método de

ensayo y error o por imitación de otros. También hay que tener en cuenta que

determinadas técnicas no servirán indefinidamente. Llegará un momento en el que

se expanda la alerta acerca de determinadas cuestiones o procedimientos que

tienen como fin una actividad delictiva. Por tanto, todo el mundo la conocerá y no

será eficaz. Habrá que esperar a que pase la alerta para volverla a emplear o

inventar una nueva técnica de ataque.

Las cualidades que debe tener el atacante están basadas en la psicología. Como

expone de Maximiliano Visentini [2]: “Existen ciertos procesos que son automáticos

tanto en el ser humano como en los animales en virtud de las relaciones con los

demás”. A continuación se muestra un resumen de las cualidades destacadas:

Reciprocidad: Una persona que hace un favor a otra digamos que está

obligado a devolvérselo.

Compromiso: Una persona dice que va a hacer algo y, moralmente, se ve

obligado a ello.

Consistencia: Se trata de hacer las cosas que dice de forma adecuada a su

forma general de pensar.

Pruebas sociales: es cómodo hacer lo que hace la gente.

Autoridad: Las personas reconocen ciertos tipos de autoridad real o aparente

y la respetan.

Escasez: Todas las personas se sienten atraídas por lo que es escaso.

Gustarse y ser parecidos: Las personas tienden a asociarse con aquella gente

parecida a ellos y por tanto a ser influenciables por el grupo.

Según Kevin Mitnick [1], uno de los ingenieros sociales más famosos de los últimos

tiempos, la ingeniería social (is) se basa en cuatro principios:

Todos queremos ayudar.

El primer movimiento es siempre de confianza hacia el otro.

No nos gusta decir No.

A todos nos gusta que nos alaben.

5. FORMAS DE ATAQUE. EJEMPLOS Cualquier persona hoy en día tiene un teléfono fijo, móvil, ordenador de

sobremesa o portátil con conexión a internet. Simplemente con estos medios ya se

puede ser víctima de un ataque para obtener información sensible de forma

inconsciente. La ingeniería social también permite sonsacar información cara a

cara. A continuación se exponen algunas formas de realizar ataques y ejemplos.

5.1. ATAQUE TELEFÓNICO

Para realizar este tipo de ataque lo único que se necesita es un teléfono y el

número de contacto de la persona que se desee atacar. Es un tipo de ataque muy

eficiente debido a que no hay contacto visual entre víctima y atacante. Por tanto,

7

no se pueden percibir expresiones del rostro ni de lenguaje corporal que diesen

indicios de que el atacante nos está engañando. Debido a esta circunstancia, el

atacante puede usar todo su potencial de persuasión.

A continuación se muestra un ejemplo de cómo se puede obtener una contraseña

de un sistema informático de forma segura y rápida. El ejemplo está recogido en el

libro Underground [3]:

“Un hacker había encontrado en la red una lista parcial de usuarios del sistema Minerva. Ya tenía dos años y era incompleta, pero había unas treinta páginas de

nombres de usuario, direcciones y teléfonos. Algunos serían aún válidos.

Necesitaba sonido de fondo de oficina para ser creíble. Grabó una cinta en su casa, con teléfonos, impresoras, teclados y voces del televisor, y empezó con la

lista hasta que encontró un número válido.

-Soy John Keller, operador de la red Minerva. Uno de nuestros DO90 se ha

estropeado. Hemos recuperado los datos y creemos que tenemos la información correcta, aunque puede haberse corrompido. ¿Podríamos comprobarla?

-Sí, por supuesto

El hacker leyó la información que tenía en su lista, pero dio, con intención, un número de fax incorrecto. La víctima le avisó del error y le dio el correcto. Había

llegado el momento de la Gran Pregunta.

-Bien, tenemos su número de usuario pero no su contraseña. ¿Cuál es?

-Sí, es: L-U-R-C-H”

Como se puede observar, hay una pequeña tarea de inteligencia para obtener

una lista de usuarios, seguida de una pequeña fase de logística para simular el

ambiente de una oficina. Una vez conseguidas ambas cosas el atacante suena

creíble y obtiene fácilmente la información que busca. Pero en otras ocasiones, ni

siquiera hay que realizar tareas previas. A continuación se muestra un ejemplo

extraído del libro Llaneros solitarios [4]:

“-Buenas tardes, llamo de la red X. ¿Tuvo problemas con su cuenta últimamente?

La respuesta era obvia, ya que la red nunca funcionaba bien.

-Sí, el otro día traté de acceder y me decía CLR NC y un número.

-¡Otro caso! Exactamente lo que suponíamos. El problema es que se borraron algunas claves de nuestra máquina, por eso las estamos ingresando a mano. ¿Puede darnos su contraseña?

-Sí, como no. N91...

El usuario confiaba en la voz del teléfono. Si hubiese leído el manual que le

entregaron con su cuenta, hubiera sabido que CLR NC significaba que la red estaba congestionada.”

Como se puede observar en ambos ejemplos, con un poco de sentido común se

podría haber detectado que los ataques eran reales. Pero las ganas de terminar la jornada y la desinformación hacen que los atacantes lleven a cabo sus planes.

8

5.2. ATAQUES WEB Los ataques vía web son uno de los medios más ampliamente utilizados por los

atacantes para sacar información sensible. Aunque el boom de Internet tiene algo

menos de 10 años, éste se ha convertido en el medio principal para llevar a cabo

ataques de todo tipo contra los datos privados.

Los ataques vía web tienen multitud de formas y muchas veces la línea entre

ataque de ingeniería social y el delito es muy delgada, sobre todo en aquello en los

que se instala un programa keylogger (programa que captura las pulsaciones del

teclado) o troyano que convierte al ordenador en un bot (ordenador secuestrado o

zombi). Veamos un ejemplo de ataque web, spam concretamente:

Figura 2: Correo amenazando con cerrar una cuenta de Hotmail si no se

reenvía.

Se observa claramente que la intención del correo es su reenvío masivo

para ir obteniendo direcciones de correo electrónico. Se usa el miedo de los

usuarios a que le cancelen la cuenta para lograr el efecto deseado. A

continuación, en la figura se puede observar otro ataque web con intenciones

publicitarias y/o comerciales en las que se usa la codicia de las personas:

9

Figura 3: En este momento soy el visitante 999.999

Si seguimos el enlace puede habernos tocado un bonito coche (el lenguaje

es ambiguo intencionadamente). Si volviésemos a la página a las 5 horas

seríamos el visitante 999.999 de nuevo. Sospechoso, ¿no?

5.3. ATAQUES POSTALES Este tipo de ataques son muy sencillos de realizar y se podría decir que fueron

los pioneros antes de que existiese internet y la telefonía móvil. La idea es simple y

se necesitan muy pocos medios. Se trata de conseguir un apartado de correos

propio en cualquier estación postal. Una vez hecho esto, se busca algún modelo de

petición de suscripción a una revista o de cupones de descuento de la zona (o unos

inventados por el atacante con una jugosa oferta) y se imita la tipografía, la marca

y todo lo demás para que parezca auténtico, pero con la dirección del apartado de

correos que se ha contratado.

El atacante solicita una clave que le interese en el formulario, donde aclara que

ésta le servirá para reclamar su premio (ya que está comprobado que el usuario

promedio utiliza la misma clave para múltiples usos). Cuando la víctima envíe el

formulario relleno con los datos, el atacante podrá tener la clave sin tan siquiera

haber tenido que mantener una relación con la víctima. Por tanto se trata de

requerir una clave, con la esperanza de que esa misma ya se haya usado en otros

lugares más sensibles por parte de la víctima.

5.4. ATAQUES SMS Este es un tipo de ataques medianamente reciente en el que se necesita una

pequeña infraestructura. Básicamente, se necesita un listado de teléfonos móviles

y algún tipo de programa informático o empresa de mensajería móvil masiva. Con

estos dos elementos se hace un envío masivo de sms. El ataque se basa en la falsa

creencia de que la telefonía móvil es un medio seguro y no se puede robar a través

de él. En este tipo de ataques, lo más corriente es robar saldo más que algún tipo

de datos.

10

Para engañar al usuario se sirven de diferentes excusas, como una felicitación

por haber ganado mensajes de texto (sms) gratis de tu empresa prestadora de

teléfono, o haber ganado algún premio en un sorteo o una persona caritativa y sin

ánimo de lucro que te enseña cómo hacer para que tu línea tenga más crédito. Con

sólo mandar un simple mensaje obtendrás este regalo.

No se trata de ningún regalo en absoluto, sino que estás transfiriendo parte del

saldo de tu línea a la persona que te envió el mensaje. Es un servicio que brindan

las compañías de telefonía móvil a sus clientes para transferir crédito a otra

persona. A continuación se muestra un ejemplo de SMS con una invitación

sospechosa. En este mensaje, se está enviando al teléfono móvil con número 15x-

xxxxx52 la suma de 18 dólares, los cuales serán restados del saldo de quien envía

el mensaje por la codicia de recibir crédito gratis.

Figura 4: SMS fraudulento.

5.5. ATAQUES CARA A CARA

En este tipo de ataques es el propio atacante el que se persona ante la víctima

para extraer la información. Son los más eficientes, puesto que el atacante se gana

la confianza total de la víctima, pero también son los más difíciles de realizar y

necesitan una puesta en escena bien cuidada y creíble, incluyendo vestuario, atrezo

y todo lo que sea necesario. A continuación se reproducen unos consejos

procedentes de “The Complete Social Engineering FAQ” [5]: “Ésta es la única

ocasión en la cultura hacker donde el aspecto juega un gran papel. Viste con

dignidad. Ponte un traje. Sé educado. Si quieres que parezca que trabajas en una

oficina, debes actuar como ellos. Es fácil construirse una tarjeta de identificación

falsa con foto o un pase de visitante plastificado. Haz como si supieras dónde vas”.

Las víctimas serán aquellas con un alto nivel de desinformación y de conocimiento.

Las personas más susceptibles son aquellas cuya mente no está preparada para las

maldades (ancianos, niños, personas insanas).

El siguiente extracto muestra un ejemplo de ingeniería social cara a cara en

acción. Relatado por Michael Noonan de Intel [5]:

“Viernes. 16.20. Planta 32 de un edificio en Park Avenue. La empresa X celebra el cumpleaños del jefe. Todo el mundo espera el fin de semana. Se abre la puerta

del ascensor y entra un técnico. Lleva tejanos, una gorra de la compañía telefónica y un cinturón lleno de herramientas. En sus manos, una extraña pieza electrónica.

11

Le dice a la recepcionista: "Vaya día...". Ella está más interesada en la fiesta: "Sí,

gracias a Dios es viernes".

-Odio estas emergencias de último minuto, estaba a punto de irme de fin de

semana...

-¿Qué pasa?

-Nada por lo que tenga que preocuparse -sonríe-. ¿Dónde está la habitación de

los teléfonos?

-Oh, sí, es aquella. Y, ¿puede hacerme un favor? -dice ella dándole las llaves.

-Lo que sea.

-Si no estoy cuando haya acabado, ¿volverá a dejar las llaves en mi cajón?

-No hay problema.

-Gracias -dice ella, con una gran sonrisa

El hombre entra en la habitación, donde están también los controles de la red.

"Pincha" algunos cables y lo empalma todo a una cajita, que esconde. Abre la puerta, cierra las luces y devuelve las llaves a la recepcionista.

-¿Ya está?

-Sí, he tenido suerte, sólo una conexión sucia. Buen fin de semana.

El falso técnico ha instalado un programa espía en la red corporativa, con un

radiotransmisor que envía todos los datos a un receptor remoto”.

Otro ejemplo de posible ataque cara a cara sería el siguiente, extraído del

trabajo de Visentini [2]:

“Hoy los sistemas de cobro se han automatizado en un 99% se podría decir.

Salvo excepciones, todos utilizan los cajeros automáticos para recibir sus haberes

mes a mes. Imagine que un anciano de ochenta años que como todos los meses, se

dirige a su banco para cobrar su jubilación, pensión o aguinaldo, y le informan que

de ahora en más, sus cobros se realizan por medio del cajero automático. Esa

persona frente a una computadora que le da instrucciones y con un límite de

tiempo para realizar dicha tarea probablemente no le resulte fácil, quizá nunca

aprenda a manejar un cajero automático y sea víctima de alguien que se presente a

“ayudarle”, o a “enseñarle” como manejar la computadora.”

6. CASOS PRÁCTICOS En esta sección se pretenden mostrar dos casos prácticos completos en los que

se muestra el proceso de recogida de información y ataque por parte de personas

malintencionadas. El primero de los casos es un ejemplo de phishing bancario y el

segundo es un ejemplo de recogida de datos para luego realizar un ataque de

spam.

12

6.1. PHISHING BANCARIO Según la Wikipedia [6], “El término phishing proviene de la palabra inglesa

"fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en

el anzuelo". A quien lo practica se le llama phisher. También se dice que el término

"phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de

contraseñas), aunque esto probablemente es un acrónimo retroactivo”.

El objetivo principal del phishing es obtener cuentas completas, es decir, usuario

y contraseña. Aplicado al sector bancario, el objetivo es conseguir la clave de

acceso y el usuario para luego proceder a retirar fondos. Se trata pues de un

proceso complejo, que tiene ya unos quince años de antigüedad2.

Figura 5: Interpretación humorística del phishing.

Para llevar a cabo un ataque de este tipo, lo primero es poseer una lista de

correos electrónicos. Para ello se puede adquirir una en el mercado negro, realizarla

uno mismo mediante un robot que vaya leyendo direcciones de correo existentes

en la red u obtenerla de cualquier otro sitio. Una vez conseguida, es muy fácil hacer

un envío masivo a todas las direcciones de la lista con un correo electrónico con las

siguientes características:

Debe ser un correo que aparente proceder de una entidad bancaria.

Debe transmitir la idea de que el banco ha tenido problemas y necesita

comprobar usuario y contraseña de la víctima.

Debe ser lo más fiel posible a la entidad original.

No importa si se envía un correo de una entidad de la que la víctima no es

usuario.

Debe poseer un enlace a una página falsificada en la que la víctima pueda

introducir sus datos.

Si no se hace lo que indica el correo, se amenaza con un posible cierre de

la cuenta.

La idea es bien simple. Se trata de que aquellos usuarios en los que la entidad

bancaria del correo y la suya real coincidan, hagan click en la url adjunta al correo,

accedan a la página falsificada, e ingresen sus datos en el formulario de verificación

2 El término phishing se empezó a usar en 1996 y estaba relacionada con la “pesca” de cuentas de AOL.

13

que habrá a tal efecto. En la siguiente figura, se muestra un ejemplo de correo

falso imitando el de una entidad bancaria.

Figura 6: Correo de phishing bancario para clientes del BBVA.

Una vez introducido los datos, el usuario, satisfecho por no haber perdido su

cuenta se olvidará del correo. Pero el atacante pondrá en práctica la siguiente parte

del ataque. Aunque, en principio, pudiese parecer que el paso siguiente es sacar

dinero de la cuenta de la víctima, esto no es una tarea trivial, puesto que dejaría un

rastro bien visible y trazable y el atacante en seguida podría ser capturado. Para

ello entra en acción el siguiente paso. Los ataques de phishing tienen dos partes,

por un lado la de los clientes de la entidad atacada y por otro la de los “muleros”.

Los muleros son en realidad las otras víctimas de un ataque de phishing.

El trabajo de los muleros consiste en sacar el dinero de la cuenta de la víctima y

traspasar el dinero a otra cuenta de Pay-Pal controlada por el atacante. Es decir,

son los que se ensucian las manos y cometen un delito. Para captar a estas nuevas

víctimas, los atacantes se sirven de un nuevo método de Ingeniería social. La idea

también es muy simple. Se trata de hacer un envío masivo de correo spam de una

empresa ficticia prometiendo un trabajo muy bien remunerado, con muchas

vacaciones y que se puede hacer desde casa.

14

Para que una persona pueda darse de alta con esta clase de empresas, debe

rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta

bancaria. Esto tiene la finalidad de ingresar en la cuenta del “trabajador” el dinero

procedente de las estafas bancarias realizadas por el método de phishing. Una vez

contratada, la víctima se convierte automáticamente en lo que se conoce

vulgarmente como “mulero”.

El mulero recibe un cuantioso ingreso en su cuenta bancaria y la empresa le

notifica el hecho. Una vez recibido este ingreso, el mulero se quedará un porcentaje

del dinero total, pudiendo rondar el 10%-20% de lo sustraído a la víctima, como

comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero

a cuentas previamente indicadas. Dado el desconocimiento del fraude por parte del

mulero, muchas veces motivado por la necesidad económica, éste se ve

involucrado en un acto de estafa importante, pudiendo ser requerido por la justicia

previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición

de devolver todo el dinero sustraído a la víctima, obviando que, el mulero,

únicamente recibió una comisión. En la siguiente figura se muestra un ejemplo de

correo reclutando muleros:

Figura 7: Correo ofreciendo un “buen trabajo” de mulero.

Por tanto el sistema de phishing deja dos víctimas detrás de sí y pingües

beneficios para los atacantes con un riesgo mínimo. En la siguiente figura se

muestra un esquema de la forma de actuar de los atacantes con todo el proceso:

15

Figura 8: Esquema de funcionamiento del phishing bancario.

A pesar de todo lo relatado anteriormente, hoy en día, existe una conciencia para

impedir que estos ataques tengan éxito. Se están tomando medidas en diferentes

ámbitos para intentar reducir y eliminar el phishing a nivel global. Desde el punto

de vista de las grandes compañías, estas suelen dirigirse a sus clientes con su

nombre, por lo que cualquier e-mail con encabezado genérico tal que “Querido

cliente” debería hacer sospechar al destinatario que algo no va bien.

Por otro lado, desde un punto de vista tecnológico, la mayoría de los

navegadores modernos suelen incorporar un filtro anti-phishing. Éste suele

componerse de una lista, llamada lista negra, en la que se van registrando las urls

que contienen sitios web falsificados. El navegador la actualiza un número

determinado de veces al día. Si el usuario intenta acceder a una dirección que está

dentro de la lista, el navegador muestra un aviso al mismo (Ver figura 9),

indicándole de la peligrosidad del sitio que desea visitar y dándole la oportunidad de

continuar o ir a su página de inicio.

16

Al usuario se le da la oportunidad de continuar debido a que ciertos sitios pueden

incluirse en la lista negra por equivocación o durante un tiempo mientras se

revisan, pudiendo ser legítimos. Si el usuario ha sido redireccionado a la página

desde un correo falso se dará cuenta del ataque rápidamente.

Figura 9: Navegador web informando de un sitio fraudulento.

Por último, la sociedad está empezando a concienciarse de la gravedad de estas

técnicas, lo cual ha cristalizado en que se estén empezando a desarrollar una serie

de leyes y protocolos de actuación en caso de detectarse servidores con páginas de

este tipo para perseguir a los culpables y cerrar sitios webs.

6.2. SPAM. CICLO COMPLETO En el ejemplo anterior se ha hablado de que un elemento importante del ataque

del phishing es la existencia de listas de correos electrónicos para enviar mails

masivos. Si bien estas listas ya existen en el mercado negro y se pueden comprar,

en algún momento han debido ser creadas. Y es aquí donde entran en juego

diferentes técnicas de ingeniería social (is). Como se ha dicho en el punto 2 del

presente trabajo, conceptos de is, ésta aprovecha sentimientos tan variados como

la curiosidad, la avaricia, el sexo, la compasión o el miedo que son propios de las

personas humanas. Veamos la siguiente figura:

17

Figura 10: Correo con gran dosis de is.

Se puede apreciar claramente que el correo apela a los sentimientos de

compasión de la desgracia ajena, para ello indica que las compañías AOL y ZDNET

realizaran un rastreo de los correos y donarán 32 centavos por cada persona

reenviada… de nuevo suena raro, ¿verdad? Pero no resulta difícil imaginar este

correo reenviado cientos de veces sin copia de carbón oculta (campo CCO) con sus

miles de direcciones adjuntas. Toda una mina que probablemente vuelva a llegar a

una persona malintencionada que los recolecte.

Otros ejemplos clásicos de excusa para que el usuario reenvíe son: un gran

número de años de mala suerte si no se hace, o la imposibilidad de encontrar el

amor en la vida, o no encontrar la felicidad, etc. Otra variante de correos son

aquellos que nos amenazan con cerrarnos la cuenta del cliente de correo favorito si

no lo reenviamos a 18 personas (ver Figura 2), o que pasará algo muy curioso al

reenviarlo. Por último, la figura 11 muestra una versión muy rara de recolección de

emails en la que, no se sabe muy bien porqué, advierten de que se copie en un

mensaje nuevo. Evidentemente apenas hay versiones de este correo debido a la

inutilidad del mismo. Sirve para ilustrar que la gente hace a pies juntillas lo que

pone en un correo de un desconocido

18

Figura 11: versión poco útil de recolección de correos. La versión original es una

lista enorme de nombres. Cada asterisco indica la repetición de un nombre.

En todos los casos el fin es el mismo: que se produzca el mayor número de

reenvío de correos posible y así obtener una cosecha del tipo de la Figura 12. Al

final acabará llegando el correo a un usuario malintencionado que pacientemente

los extraerá del email y los colocará en una lista. Así estará listo para su uso

personal o posterior venta en el mercado negro. Como se ha comentado, aparte de

para correos de phishing, otro de los usos que tiene el spam es la de intentar

vender los más variados productos. Todos los días millones de personas en el

mundo reciben un correo ofreciéndoles réplicas maravillosas de relojes, medicinas

milagrosas como la viagra u ofertas de descuento en las más exclusivas tiendas.

Aunque, a priori, pueda parecer que la gente ignora estos correos, con que se

produzca una compra inferior al 0,5% de los correos enviados, puede ser rentable

este negocio puesto que los gastos son 0.

19

Figura 12: lista de correos procedentes de sucesivos reenvíos.

7. ATAQUES DE DENEGACIÓN DE SERVICIO Y REDES ZOMBIES Como se está viendo a lo largo del trabajo, la is abarca un campo amplio de

actividades ilícitas. Hasta el momento se ha visto diversas formas de obtener

información personal más o menos comprometida. Pero existe la posibilidad de que

mediante la is se llegue a controlar un equipo totalmente simplemente con que esté

conectado a internet.

En este tipo de ataques se lleva a cabo usando malware. Según la definición de

Visentini [2], Malware es “término formado a partir de combinar las palabras

Software Malicioso. Es un programa diseñado para hacer algún daño a un sistema.

Puede presentarse en forma de virus, gusanos, caballos de Troya, etc., y se ejecuta

automáticamente sin consentimiento ni conocimiento por parte de la víctima.” Lo

interesante aquí es ver las diferentes técnicas que se usan para conseguir instalar

el software en el ordenador. Puede presentarse como un archivo .doc o .xls o

cualquier otro programa que tenga funcionalidad de macros adjunto en un e-mail

que nos ruega encarecidamente que lo abramos, puede venir en una memoria USB

que hemos encontrado abandonada, en un link en el que se nos avisa que hemos

sido los ganadores de algo (ver figura 3) que lleve a una página maliciosa, etc. La

idea es que se instale el software en nuestra máquina.

20

Una vez hecho esto, el virus, caballo de troya o aplicación que sea, abrirá una

puerta trasera para que el atacante se conecte y tome el control. A partir de aquí el

ordenador se denomina ordenador zombi3 y al software con el que ha tomado el

control, bot. Las acciones a llevar a cabo son muchas. Destacamos por su

importancia las siguientes:

Para enviar masivamente correo electrónico no deseado (spam).

Llevar a cabo ataques contra terceros. Ataques de denegación de servicio.

Diseminar virus informáticos.

Capturar datos (contraseñas y claves de acceso) mediante el phishing

En fraudes: Se utiliza la red para generar dinero mediante la manipulación

en negocios legítimos como el pago por click o la manipulación de

encuestas.

Computación distribuida: Al igual que este modelo se utiliza para

proyectos con el consentimiento del usuario (SETI, Globus…), aquí se

utiliza la potencia de miles de maquinas para procesos con una finalidad

ilícita, como por ejemplo forzar contraseñas.

A continuación se muestran algunos datos del tamaño del problema. La mayoría

de páginas web bancarias falsificadas están alojadas en un ordenador zombi. Entre

el 40% y el 80%, según distintos estudios, de todo el 'correo basura' se envía a

través de PCs domésticos infectados sin que el usuario sea consciente de ello.

El problema puede ser aún peor, puesto que si aumentamos el número de

ordenadores bajo control y conseguimos tener una red de ordenadores zombis,

puede darse el caso de colapsar páginas web con un ataque de denegación de

servicio. Según Inteco [7] un ataque DDOS (Ataque de denegación de servicio

distribuido) es: “bloquear un servidor enviando muchas peticiones en muy poco

tiempo (desde cada uno de los ordenadores infectados de la red zombi), de forma

que logran saturarlo ralentizándolo y, en el peor de los casos, provocando su

caída”. En este tipo de ataques se trata de programar a toda la red para que, a una

hora determinada se intente conectar a determinada url. Si la página no está

adecuadamente configurada, el servidor se caerá. Evitar estos ataques es casi

imposible, pero con una adecuada configuración se puede evitar caídas de servicio

y que la única molestia sea la ralentización o imposibilidad de conexión por parte

del usuario durante el ataque.

Existen redes de decenas o cientos de ordenadores 'zombi' a la orden de un

hacker, el tema ha llegado a ser tan eficiente, que éstas, incluso se alquilan a

terceros. En el año 2004, se detectaron más bots que cualquier otro tipo de virus;

se calcula que hay entre 500.000 y dos millones de PCs 'zombi' y España pasa por

ser el segundo país de Europa con más ordenadores 'esclavos'. En marzo del 2010,

la "Operación Mariposa" supuso la detención de tres delincuentes que controlaban

3 El nombre hace alusión a las películas de terror en las que aparecen los zombis o muertos vivientes

esclavizados, figuras legendarias surgidas de los cultos vudú.

21

una red de equipos PC zombis de casi 13 millones de PC víctimas [8]. La figura 13

muestra un esquema del funcionamiento de la red zombi.

Figura 13: Esquema de una red zombi.

8. LAS NUEVAS AMENAZAS. LAS REDES SOCIALES Tal como se exponía en la introducción, hoy en día las redes sociales forman

parte de nuestra vida como el teléfono móvil, la TDT o el ordenador portátil. Sin

embargo, todo este campo que tan rápidamente ha crecido se ha convertido en el

paraíso dorado para los ingenieros sociales. Si internet ya era un campo fructífero

para ellos, las redes sociales esconden un potencial enorme no sólo para

delincuentes que sólo buscan dañar los datos o interés económico, sino para

aquellos que buscan acciones como secuestros, violaciones y demás delitos

mayores.

A priori, uno de los usos más peligrosos que pueden tener las redes sociales es la

obtención de datos privados que permitan la composición de correos electrónicos

personalizados para la víctima, dando así la sensación de que quien envía el correo

nos conoce. Otro de los peligros es suplantar la identidad de Facebook de otra

persona y hacerle peticiones de lo más diverso. A continuación se expone un caso

real que le pasó a una mujer norteamericana [9]:

“A una amiga suya le robaron la cuenta. Se hicieron pasar por ella y su novio,

pidieron ayuda porque supuestamente les habían robado los billetes, las maletas, el

22

dinero… mientras se encontraban en Londres de viaje y que necesitaban dinero

para volver a casa. Esta mujer, de buena fe, les envió dinero por medio de Western

Union, una empresa de envío de dinero donde se pierde el rastro de a dónde va

dada su capacidad de anonimato. Cuando la persona legítima de la cuenta se

conectó, vio lo ocurrido y avisó a todos sus contactos que alguien se había

conectado a su cuenta, y había hecho uso de ella. Demasiado tarde para su otra

amiga que ya había enviado dinero a no se sabe quién.”

9. CONCLUSIONES A lo largo del trabajo se ha realizado un estudio sobre la aplicación de la

ingeniería social al delito informático. Se han visto sus características, en qué se

basa y aplicaciones prácticas actuales del mismo. También se ha acercado el

mundo de las redes zombis y de las nuevas amenazas que están latentes en las

redes sociales.

Las amenazas que se ciernen en el ciberespacio son múltiples. Cada día salen al

mercado nuevas técnicas destinadas específicamente a obtener datos personales de

los usuarios y a usarlos para obtener un beneficio a favor del atacante y en contra

de la víctima. Los daños que se están produciendo por este tipo de ataques se

pueden calcular en cientos de millones anualmente y no paran de crecer. Aunque

parezca complicado detener la is, la mejor arma es la educación y el sentido

común. La gente por no querer quedar mal o armar un escándalo, brinda a

cualquiera que se lo solicite “información sensible”, y ahí es donde juega un papel

importante la educación, el enseñarle a los empleados a decir no. En este caso no

se trata de una educación estrictamente técnica, sino más bien una capacitación

social que alerte a la persona cuando está por ser blanco de este tipo de ataque. Si

el Ingeniero Social tiene la experiencia suficiente, puede engañar fácilmente a un

usuario en beneficio propio, pero si este usuario conoce estas tretas no podrá ser

engañado. Además, la educación de los usuarios suele ser una importante técnica

de disuasión.

Afortunadamente, la educación en este tema es cada vez mayor y se están

empezando a realizar multitud de operaciones policiales contra atacantes, sin

importar su lugar de residencia. Las penas se han endurecido y poco a poco va

calando los mensajes de “desconfiar” y “nadie da duros a cuatro pesetas” en la red.

Otro aspecto importante es tener un equipo con antivirus y cortafuegos

actualizados, estar siempre alerta a las noticias de este tipo que surjan en los

medios de comunicación, así como dudar de aquellos mensajes recibidos por

cualquier canal, sin que el usuario en ningún momento los haya solicitado y que,

aún siendo legibles, ruegan encarecidamente abrir un archivo o pulsar un enlace.

También es interesante tener cierto entrenamiento para detectar ataques

telefónicos o cara a cara de personas malintencionadas.

23

Como punto final, una reflexión del famoso hacker Kevin Mitnick [10] que

debería ilustrar al lector acerca de la necesidad de estar siempre alerta:

“La verdad es que no hay tecnología en el mundo capaz de prevenir un ataque

de Ingeniería Social”

10. BILIOGRAFÍA

http://www.spamspam.info/2009/09/03/nuevo-caso-de-phishing-

relacionado-con-bbva-septiembre-2009/

http://www.internautas.org/html/5209.html

http://ingenieriasocialsigloxxi.wordpress.com/2009/11/08/proliferacion-

de-redes-sociales/

http://seguinfcol.blogspot.com/2010_08_01_archive.html

http://hackstory.net/index.php/Ingenier%C3%ADa_social_es

http://www.consumer.es/web/es/tecnologia/internet/2005/04/19/141292.

php

http://es.wikipedia.org/wiki/Zombie_%28inform%C3%A1tica%29

Archivo de correo electrónico personal de Vicente Carrillo.

REFERENCIAS 1. La enciclopedia libre Wikipedia:

http://es.wikipedia.org/wiki/Ingeniería_social_(seguridad_informática)

2. Visentini, Maximiliano: La Ingeniería social. Oportunidades que le brindan

las nuevas amenazas. Facultad Regional Córdoba de la UTN. 2006. Ver:

http://www.eset-la.com/pub/mvis.pdf

3. Dreyfus, Suelette: Underground: Tales of Hacking, Madness and Obsession

on the Electronic Frontier. Ed. Mandarin. 1997. Australia.

4. Roberti, Raquel y Bonsembiante, Fernando: Llaneros solitarios: Hackers, la

guerrilla informática. Ed. Espasa Calpe, 1995. Argentina.

5. http://ww2.grn.es/merce/2002/is2.html

6. La enciclopedia libre Wikipedia: http://es.wikipedia.org/wiki/Phishing.

7. http://cert.inteco.es/Formacion/Amenazas/botnets/explotacion_de_una_b

otnet/

8. http://seguridad-de-la-informacion.blogspot.com/2010/03/golpe-policial-

una-red-zombi-espanola.html

9. http://www.blogtecnologico.net/ingenieria-social-traslada-redes-sociales/

10. Ramírez, Adrián: Ingeniería Social. Presentación en Power Point. Ver:

http://hackandalus.nodo50.org/ftp/ingenieria_social.hack04ndalus.ppt

24