LA INGENIERÍA SOCIAL APLICADA AL DELITO … · LA INGENIERÍA SOCIAL APLICADA AL DELITO...
-
Upload
trinhkhanh -
Category
Documents
-
view
226 -
download
0
Transcript of LA INGENIERÍA SOCIAL APLICADA AL DELITO … · LA INGENIERÍA SOCIAL APLICADA AL DELITO...
LA INGENIERÍA SOCIAL APLICADA AL
DELITO INFORMÁTICO. UNA
APROXIMACIÓN.
El tema general de este trabajo es el delito informático, pero con una
aproximación desde el punto de vista de la ingeniería social aplicada a él.
Se dará una visión de la fundamentación psicológica de la Ingeniería Social,
el por qué funciona y los diversos ataques que se pueden llevar a cabo con
ella. También tratarán los aspectos sociales que hacen que los delitos
informáticos sean posibles hoy en día gracias a la ayuda involuntaria (o no)
de todas las personas (con pocos o muchos conocimientos informáticos) y
las técnicas de recogida de datos. Se desarrollarán un par de casos
prácticos completos en los que se da una visión de conjunto de la teoría
propuesta: el phishing bancario y el envío de spam. Por último se hará un
acercamiento a las redes zombis y al nuevo campo de la ingeniería social:
las redes sociales.
"Usted puede tener la mejor tecnología, firewalls, sistemas de
detección de ataques, dispositivos biométricos, etc. Lo único que se
necesita es una llamada a un empleado desprevenido e ingresan sin
más. Tienen todo en sus manos." Kevin Mitnick.
Autor: Vicente Carrillo Luque
Colaborador: Fernando Sánchez Pastor
Madrid, 2011
Esta obra está bajo una Licencia Creative Commons 4.0
Ver Licencia
2
Tabla de contenido 1. INTRODUCCIÓN ..................................................................................................................... 3
2. CONCEPTOS DE INGENIERÍA SOCIAL ..................................................................................... 3
3. OBJETIVOS ............................................................................................................................. 5
4. ¿POR QUÉ FUNCIONA? ......................................................................................................... 5
5. FORMAS DE ATAQUE. EJEMPLOS .......................................................................................... 6
5.1. ATAQUE TELEFÓNICO ........................................................................................................ 6
5.2. ATAQUES WEB ................................................................................................................... 8
5.3. ATAQUES POSTALES .......................................................................................................... 9
5.4. ATAQUES SMS ................................................................................................................... 9
5.5. ATAQUES CARA A CARA .................................................................................................. 10
6. CASOS PRÁCTICOS ............................................................................................................... 11
6.1. PHISHING BANCARIO ....................................................................................................... 12
6.2. SPAM. CICLO COMPLETO ................................................................................................ 16
7. ATAQUES DE DENEGACIÓN DE SERVICIO Y REDES ZOMBIES .............................................. 19
8. LAS NUEVAS AMENAZAS. LAS REDES SOCIALES .................................................................. 21
9. CONCLUSIONES ................................................................................................................... 22
10. BILIOGRAFÍA ........................................................................................................................ 23
REFERENCIAS ........................................................................................................................... 23
3
1. INTRODUCCIÓN Internet se ha convertido hoy en día en una herramienta cotidiana para muchas
personas. Una gran cantidad de usuarios lo utilizan a diario como medio de trabajo,
ocio, de herramienta de búsqueda de trabajo, para recopilar información, etc. Una
de las actividades más extendidas actualmente, en el ámbito del ocio, es la del uso
de redes sociales y acceso a cuentas bancarias. Esto supone, por un lado la pérdida
de datos personales, bien sea fotografías o datos reales. Por otro lado supone que
en caso de pérdida de contraseñas, un atacante podría acceder a nuestros propios
fondos sin levantar ningún tipo de sospecha.
La mayoría de las personas no es consciente de que sus datos personales no se
muestran en cualquier sitio o se revelan a cualquiera en la vida real, pero sí los va
dejando por la red de redes con una facilidad pasmosa. Aunque la situación ha
mejorado un poco en los últimos tiempos en el campo de las direcciones de correo
electrónico, la multiplicación de las redes sociales y entidades bancarias ha dado
como resultado que el “botín” a obtener es más jugoso. Se está hablando de
suplantar la identidad de una persona y de la posibilidad de obtener dinero real.
Para poder acceder a esta información de una forma relativamente sencilla, entre
los hackers y demás personas que desean lucrarse nació la ingeniería social. Según
la Wikipedia [1] se define como “la práctica de obtener información confidencial a
través de la manipulación de usuarios legítimos”. El objetivo último de este trabajo
es mostrar un estado actual de la aplicación de la ingeniería social al delito y poner
un par de ejemplos reales de ciclo completo de consecución de información y los
actos delictivos que se derivan.
2. CONCEPTOS DE INGENIERÍA SOCIAL Tal y como se ha descrito en el punto anterior, la ingeniería social consiste en
obtener información de terceros sin que éstos se den cuenta. En un principio, no
existe limitación en cuanto al tipo de información obtenida ni a la utilización
posterior que se hace de ésta. Puede ser ingeniería social el obtener de un profesor
las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de
España. Sin embargo, el origen del término tiene que ver con las actividades de
obtención de información de tipo técnico utilizadas por hackers.
Es importante remarcar que, si bien la ingeniería social se está aplicando en este
trabajo sobre todo a la informática, ésta existe desde hace mucho tiempo y todos
hemos sido víctimas de ella alguna vez en la vida. Como por ejemplo el repartidor
de publicidad que llama al portero automático de nuestro portal haciéndose pasar
por cartero o repartidor de pizzas y así acceder a nuestros buzones, o la persona
que necesita “20 céntimos” para coger el autobús y volver a su pueblo, después de
una noche de fiesta, y que a las 7 horas sigue allí, con la misma excusa, aunque
nosotros le habíamos proporcionado 50 céntimos…
La ingeniería social aprovecha sentimientos tan variados como curiosidad, la
avaricia, el sexo, la compasión o el miedo, de esta forma se consigue el objetivo
4
buscado: una acción por parte del usuario. A continuación se expone un breve
resumen de grupos profesionales o de personas que recurren frecuentemente a la
ingeniería social para satisfacer sus propósitos:
Los hackers: Obviamente necesitan tener información que les permita
infiltrarse en máquinas ajenas. Son el objeto de estudio principal del trabajo.
Los espías: En este caso, pueden realizarse acciones de ingeniería social no
sólo en el ámbito de la informática, sino en todos los niveles de la vida; para
introducirse en un hotel, en una casa y ver que hay sin tener que forzar la
puerta etc. Es su trabajo.
Los ladrones o timadores: La ingeniería social es parte de su medio de vida.
Los detectives privados: Al igual que los espías necesitan obtener
información como parte de su trabajo.
Los vendedores: al igual que espías, detectives y ladrones es parte de su
trabajo. Cuanta más información conozcan del comprador, podrán hacer un
perfil más ajustado de su personalidad y convencerlo de comprar productos
en los que no estuviese interesado originalmente o el mismo producto con
características superiores a los requisitos iniciales y que, por vanidad, acepte
comprar.
La ingeniería social supone un gran cambio en el paradigma de ataque a los
sistemas informáticos, puesto que el objetivo inmediato pasa de ser la máquina o el
sistema en sí mismo a la persona humana u operador. Las ventajas están claras
debido a que con un poco de trabajo extra se puede acceder al sistema de forma
“legal”. La siguiente figura muestra el cambio de paradigma:
Figura 1. Paradigma ataque clásico y mediante ingeniería social
5
“Aunque se dice que el único ordenador seguro es el que está desenchufado, los
amantes de la ingeniería social gustan responder que siempre se puede convencer
a alguien para que lo enchufe.” Congreso "Access All Areas" de 1997 [10].
Como conclusión a este apartado de conceptos, decir que la ingeniería social
acaba en el momento que se obtiene la información deseada, es decir, las acciones
delictivas que esa información pueda facilitar o favorecer no se enmarcan bajo este
término.
3. OBJETIVOS Siguiendo el trabajo de Maximiliano Visentini [2], los objetivos de la ingeniería
social se pueden establecer en:
Conseguir beneficios económicos para los creadores de malware y
estafadores debido al ínfimo costo de implementación y el alto beneficio
obtenido.
Realizar compras telefónicamente o por Internet con medios de terceros,
conociendo bastante sobre ellos (datos personales, tarjeta de crédito,
dirección, etc.).
Acceder gratuitamente a Internet si lo que se buscaba era nombre de usuario
y contraseña de algún cliente que abone algún servicio de Banda Ancha.
A los que se pueden añadir alguno más:
Obtener el control de una cuenta de correo para difamar, enviar spam, etc.
Obtener el control de un perfil social para pedir a cambio favores sexuales,
económicos o de otra índole.
Conseguir el control total de un equipo para unirlo a una red zombi.
Se puede ver claramente que siempre hay un lucro por parte del atacante y que
la persona atacada no se da cuenta de que ha sido engañada hasta que es
demasiado tarde y el daño ya está hecho.
4. ¿POR QUÉ FUNCIONA? A pesar de que en los últimos tiempos se ha hecho una labor de prevención
importante por parte de los cuerpos y fuerzas de seguridad del estado, instituciones
educativas y diversas asociaciones de internautas1, hoy en día sigue siendo muy
usual caer en los engaños y fraudes cuyo origen está en técnicas de ingeniería
social.
En primer lugar hay que decir que obtener a priori información personal de la
víctima no es una tarea sencilla. El atacante deberá poseer una serie de cualidades
1 Merece la pena destacar la página web de la empresa estatal INTECO (Instituto Nacional de
Tecnologías de la Comunicación, S.A) http://www.inteco.es/, debido a su encomiable labor y calidad. La Guardia civil tiene un apartado de denuncias online para obtener información acerca de delitos telemáticos.
6
para tener éxito en su propósito. Todas estas cualidades no podrán poseerse de
forma innata probablemente por tanto, deberán trabajarse mediante el método de
ensayo y error o por imitación de otros. También hay que tener en cuenta que
determinadas técnicas no servirán indefinidamente. Llegará un momento en el que
se expanda la alerta acerca de determinadas cuestiones o procedimientos que
tienen como fin una actividad delictiva. Por tanto, todo el mundo la conocerá y no
será eficaz. Habrá que esperar a que pase la alerta para volverla a emplear o
inventar una nueva técnica de ataque.
Las cualidades que debe tener el atacante están basadas en la psicología. Como
expone de Maximiliano Visentini [2]: “Existen ciertos procesos que son automáticos
tanto en el ser humano como en los animales en virtud de las relaciones con los
demás”. A continuación se muestra un resumen de las cualidades destacadas:
Reciprocidad: Una persona que hace un favor a otra digamos que está
obligado a devolvérselo.
Compromiso: Una persona dice que va a hacer algo y, moralmente, se ve
obligado a ello.
Consistencia: Se trata de hacer las cosas que dice de forma adecuada a su
forma general de pensar.
Pruebas sociales: es cómodo hacer lo que hace la gente.
Autoridad: Las personas reconocen ciertos tipos de autoridad real o aparente
y la respetan.
Escasez: Todas las personas se sienten atraídas por lo que es escaso.
Gustarse y ser parecidos: Las personas tienden a asociarse con aquella gente
parecida a ellos y por tanto a ser influenciables por el grupo.
Según Kevin Mitnick [1], uno de los ingenieros sociales más famosos de los últimos
tiempos, la ingeniería social (is) se basa en cuatro principios:
Todos queremos ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.
5. FORMAS DE ATAQUE. EJEMPLOS Cualquier persona hoy en día tiene un teléfono fijo, móvil, ordenador de
sobremesa o portátil con conexión a internet. Simplemente con estos medios ya se
puede ser víctima de un ataque para obtener información sensible de forma
inconsciente. La ingeniería social también permite sonsacar información cara a
cara. A continuación se exponen algunas formas de realizar ataques y ejemplos.
5.1. ATAQUE TELEFÓNICO
Para realizar este tipo de ataque lo único que se necesita es un teléfono y el
número de contacto de la persona que se desee atacar. Es un tipo de ataque muy
eficiente debido a que no hay contacto visual entre víctima y atacante. Por tanto,
7
no se pueden percibir expresiones del rostro ni de lenguaje corporal que diesen
indicios de que el atacante nos está engañando. Debido a esta circunstancia, el
atacante puede usar todo su potencial de persuasión.
A continuación se muestra un ejemplo de cómo se puede obtener una contraseña
de un sistema informático de forma segura y rápida. El ejemplo está recogido en el
libro Underground [3]:
“Un hacker había encontrado en la red una lista parcial de usuarios del sistema Minerva. Ya tenía dos años y era incompleta, pero había unas treinta páginas de
nombres de usuario, direcciones y teléfonos. Algunos serían aún válidos.
Necesitaba sonido de fondo de oficina para ser creíble. Grabó una cinta en su casa, con teléfonos, impresoras, teclados y voces del televisor, y empezó con la
lista hasta que encontró un número válido.
-Soy John Keller, operador de la red Minerva. Uno de nuestros DO90 se ha
estropeado. Hemos recuperado los datos y creemos que tenemos la información correcta, aunque puede haberse corrompido. ¿Podríamos comprobarla?
-Sí, por supuesto
El hacker leyó la información que tenía en su lista, pero dio, con intención, un número de fax incorrecto. La víctima le avisó del error y le dio el correcto. Había
llegado el momento de la Gran Pregunta.
-Bien, tenemos su número de usuario pero no su contraseña. ¿Cuál es?
-Sí, es: L-U-R-C-H”
Como se puede observar, hay una pequeña tarea de inteligencia para obtener
una lista de usuarios, seguida de una pequeña fase de logística para simular el
ambiente de una oficina. Una vez conseguidas ambas cosas el atacante suena
creíble y obtiene fácilmente la información que busca. Pero en otras ocasiones, ni
siquiera hay que realizar tareas previas. A continuación se muestra un ejemplo
extraído del libro Llaneros solitarios [4]:
“-Buenas tardes, llamo de la red X. ¿Tuvo problemas con su cuenta últimamente?
La respuesta era obvia, ya que la red nunca funcionaba bien.
-Sí, el otro día traté de acceder y me decía CLR NC y un número.
-¡Otro caso! Exactamente lo que suponíamos. El problema es que se borraron algunas claves de nuestra máquina, por eso las estamos ingresando a mano. ¿Puede darnos su contraseña?
-Sí, como no. N91...
El usuario confiaba en la voz del teléfono. Si hubiese leído el manual que le
entregaron con su cuenta, hubiera sabido que CLR NC significaba que la red estaba congestionada.”
Como se puede observar en ambos ejemplos, con un poco de sentido común se
podría haber detectado que los ataques eran reales. Pero las ganas de terminar la jornada y la desinformación hacen que los atacantes lleven a cabo sus planes.
8
5.2. ATAQUES WEB Los ataques vía web son uno de los medios más ampliamente utilizados por los
atacantes para sacar información sensible. Aunque el boom de Internet tiene algo
menos de 10 años, éste se ha convertido en el medio principal para llevar a cabo
ataques de todo tipo contra los datos privados.
Los ataques vía web tienen multitud de formas y muchas veces la línea entre
ataque de ingeniería social y el delito es muy delgada, sobre todo en aquello en los
que se instala un programa keylogger (programa que captura las pulsaciones del
teclado) o troyano que convierte al ordenador en un bot (ordenador secuestrado o
zombi). Veamos un ejemplo de ataque web, spam concretamente:
Figura 2: Correo amenazando con cerrar una cuenta de Hotmail si no se
reenvía.
Se observa claramente que la intención del correo es su reenvío masivo
para ir obteniendo direcciones de correo electrónico. Se usa el miedo de los
usuarios a que le cancelen la cuenta para lograr el efecto deseado. A
continuación, en la figura se puede observar otro ataque web con intenciones
publicitarias y/o comerciales en las que se usa la codicia de las personas:
9
Figura 3: En este momento soy el visitante 999.999
Si seguimos el enlace puede habernos tocado un bonito coche (el lenguaje
es ambiguo intencionadamente). Si volviésemos a la página a las 5 horas
seríamos el visitante 999.999 de nuevo. Sospechoso, ¿no?
5.3. ATAQUES POSTALES Este tipo de ataques son muy sencillos de realizar y se podría decir que fueron
los pioneros antes de que existiese internet y la telefonía móvil. La idea es simple y
se necesitan muy pocos medios. Se trata de conseguir un apartado de correos
propio en cualquier estación postal. Una vez hecho esto, se busca algún modelo de
petición de suscripción a una revista o de cupones de descuento de la zona (o unos
inventados por el atacante con una jugosa oferta) y se imita la tipografía, la marca
y todo lo demás para que parezca auténtico, pero con la dirección del apartado de
correos que se ha contratado.
El atacante solicita una clave que le interese en el formulario, donde aclara que
ésta le servirá para reclamar su premio (ya que está comprobado que el usuario
promedio utiliza la misma clave para múltiples usos). Cuando la víctima envíe el
formulario relleno con los datos, el atacante podrá tener la clave sin tan siquiera
haber tenido que mantener una relación con la víctima. Por tanto se trata de
requerir una clave, con la esperanza de que esa misma ya se haya usado en otros
lugares más sensibles por parte de la víctima.
5.4. ATAQUES SMS Este es un tipo de ataques medianamente reciente en el que se necesita una
pequeña infraestructura. Básicamente, se necesita un listado de teléfonos móviles
y algún tipo de programa informático o empresa de mensajería móvil masiva. Con
estos dos elementos se hace un envío masivo de sms. El ataque se basa en la falsa
creencia de que la telefonía móvil es un medio seguro y no se puede robar a través
de él. En este tipo de ataques, lo más corriente es robar saldo más que algún tipo
de datos.
10
Para engañar al usuario se sirven de diferentes excusas, como una felicitación
por haber ganado mensajes de texto (sms) gratis de tu empresa prestadora de
teléfono, o haber ganado algún premio en un sorteo o una persona caritativa y sin
ánimo de lucro que te enseña cómo hacer para que tu línea tenga más crédito. Con
sólo mandar un simple mensaje obtendrás este regalo.
No se trata de ningún regalo en absoluto, sino que estás transfiriendo parte del
saldo de tu línea a la persona que te envió el mensaje. Es un servicio que brindan
las compañías de telefonía móvil a sus clientes para transferir crédito a otra
persona. A continuación se muestra un ejemplo de SMS con una invitación
sospechosa. En este mensaje, se está enviando al teléfono móvil con número 15x-
xxxxx52 la suma de 18 dólares, los cuales serán restados del saldo de quien envía
el mensaje por la codicia de recibir crédito gratis.
Figura 4: SMS fraudulento.
5.5. ATAQUES CARA A CARA
En este tipo de ataques es el propio atacante el que se persona ante la víctima
para extraer la información. Son los más eficientes, puesto que el atacante se gana
la confianza total de la víctima, pero también son los más difíciles de realizar y
necesitan una puesta en escena bien cuidada y creíble, incluyendo vestuario, atrezo
y todo lo que sea necesario. A continuación se reproducen unos consejos
procedentes de “The Complete Social Engineering FAQ” [5]: “Ésta es la única
ocasión en la cultura hacker donde el aspecto juega un gran papel. Viste con
dignidad. Ponte un traje. Sé educado. Si quieres que parezca que trabajas en una
oficina, debes actuar como ellos. Es fácil construirse una tarjeta de identificación
falsa con foto o un pase de visitante plastificado. Haz como si supieras dónde vas”.
Las víctimas serán aquellas con un alto nivel de desinformación y de conocimiento.
Las personas más susceptibles son aquellas cuya mente no está preparada para las
maldades (ancianos, niños, personas insanas).
El siguiente extracto muestra un ejemplo de ingeniería social cara a cara en
acción. Relatado por Michael Noonan de Intel [5]:
“Viernes. 16.20. Planta 32 de un edificio en Park Avenue. La empresa X celebra el cumpleaños del jefe. Todo el mundo espera el fin de semana. Se abre la puerta
del ascensor y entra un técnico. Lleva tejanos, una gorra de la compañía telefónica y un cinturón lleno de herramientas. En sus manos, una extraña pieza electrónica.
11
Le dice a la recepcionista: "Vaya día...". Ella está más interesada en la fiesta: "Sí,
gracias a Dios es viernes".
-Odio estas emergencias de último minuto, estaba a punto de irme de fin de
semana...
-¿Qué pasa?
-Nada por lo que tenga que preocuparse -sonríe-. ¿Dónde está la habitación de
los teléfonos?
-Oh, sí, es aquella. Y, ¿puede hacerme un favor? -dice ella dándole las llaves.
-Lo que sea.
-Si no estoy cuando haya acabado, ¿volverá a dejar las llaves en mi cajón?
-No hay problema.
-Gracias -dice ella, con una gran sonrisa
El hombre entra en la habitación, donde están también los controles de la red.
"Pincha" algunos cables y lo empalma todo a una cajita, que esconde. Abre la puerta, cierra las luces y devuelve las llaves a la recepcionista.
-¿Ya está?
-Sí, he tenido suerte, sólo una conexión sucia. Buen fin de semana.
El falso técnico ha instalado un programa espía en la red corporativa, con un
radiotransmisor que envía todos los datos a un receptor remoto”.
Otro ejemplo de posible ataque cara a cara sería el siguiente, extraído del
trabajo de Visentini [2]:
“Hoy los sistemas de cobro se han automatizado en un 99% se podría decir.
Salvo excepciones, todos utilizan los cajeros automáticos para recibir sus haberes
mes a mes. Imagine que un anciano de ochenta años que como todos los meses, se
dirige a su banco para cobrar su jubilación, pensión o aguinaldo, y le informan que
de ahora en más, sus cobros se realizan por medio del cajero automático. Esa
persona frente a una computadora que le da instrucciones y con un límite de
tiempo para realizar dicha tarea probablemente no le resulte fácil, quizá nunca
aprenda a manejar un cajero automático y sea víctima de alguien que se presente a
“ayudarle”, o a “enseñarle” como manejar la computadora.”
6. CASOS PRÁCTICOS En esta sección se pretenden mostrar dos casos prácticos completos en los que
se muestra el proceso de recogida de información y ataque por parte de personas
malintencionadas. El primero de los casos es un ejemplo de phishing bancario y el
segundo es un ejemplo de recogida de datos para luego realizar un ataque de
spam.
12
6.1. PHISHING BANCARIO Según la Wikipedia [6], “El término phishing proviene de la palabra inglesa
"fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en
el anzuelo". A quien lo practica se le llama phisher. También se dice que el término
"phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de
contraseñas), aunque esto probablemente es un acrónimo retroactivo”.
El objetivo principal del phishing es obtener cuentas completas, es decir, usuario
y contraseña. Aplicado al sector bancario, el objetivo es conseguir la clave de
acceso y el usuario para luego proceder a retirar fondos. Se trata pues de un
proceso complejo, que tiene ya unos quince años de antigüedad2.
Figura 5: Interpretación humorística del phishing.
Para llevar a cabo un ataque de este tipo, lo primero es poseer una lista de
correos electrónicos. Para ello se puede adquirir una en el mercado negro, realizarla
uno mismo mediante un robot que vaya leyendo direcciones de correo existentes
en la red u obtenerla de cualquier otro sitio. Una vez conseguida, es muy fácil hacer
un envío masivo a todas las direcciones de la lista con un correo electrónico con las
siguientes características:
Debe ser un correo que aparente proceder de una entidad bancaria.
Debe transmitir la idea de que el banco ha tenido problemas y necesita
comprobar usuario y contraseña de la víctima.
Debe ser lo más fiel posible a la entidad original.
No importa si se envía un correo de una entidad de la que la víctima no es
usuario.
Debe poseer un enlace a una página falsificada en la que la víctima pueda
introducir sus datos.
Si no se hace lo que indica el correo, se amenaza con un posible cierre de
la cuenta.
La idea es bien simple. Se trata de que aquellos usuarios en los que la entidad
bancaria del correo y la suya real coincidan, hagan click en la url adjunta al correo,
accedan a la página falsificada, e ingresen sus datos en el formulario de verificación
2 El término phishing se empezó a usar en 1996 y estaba relacionada con la “pesca” de cuentas de AOL.
13
que habrá a tal efecto. En la siguiente figura, se muestra un ejemplo de correo
falso imitando el de una entidad bancaria.
Figura 6: Correo de phishing bancario para clientes del BBVA.
Una vez introducido los datos, el usuario, satisfecho por no haber perdido su
cuenta se olvidará del correo. Pero el atacante pondrá en práctica la siguiente parte
del ataque. Aunque, en principio, pudiese parecer que el paso siguiente es sacar
dinero de la cuenta de la víctima, esto no es una tarea trivial, puesto que dejaría un
rastro bien visible y trazable y el atacante en seguida podría ser capturado. Para
ello entra en acción el siguiente paso. Los ataques de phishing tienen dos partes,
por un lado la de los clientes de la entidad atacada y por otro la de los “muleros”.
Los muleros son en realidad las otras víctimas de un ataque de phishing.
El trabajo de los muleros consiste en sacar el dinero de la cuenta de la víctima y
traspasar el dinero a otra cuenta de Pay-Pal controlada por el atacante. Es decir,
son los que se ensucian las manos y cometen un delito. Para captar a estas nuevas
víctimas, los atacantes se sirven de un nuevo método de Ingeniería social. La idea
también es muy simple. Se trata de hacer un envío masivo de correo spam de una
empresa ficticia prometiendo un trabajo muy bien remunerado, con muchas
vacaciones y que se puede hacer desde casa.
14
Para que una persona pueda darse de alta con esta clase de empresas, debe
rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta
bancaria. Esto tiene la finalidad de ingresar en la cuenta del “trabajador” el dinero
procedente de las estafas bancarias realizadas por el método de phishing. Una vez
contratada, la víctima se convierte automáticamente en lo que se conoce
vulgarmente como “mulero”.
El mulero recibe un cuantioso ingreso en su cuenta bancaria y la empresa le
notifica el hecho. Una vez recibido este ingreso, el mulero se quedará un porcentaje
del dinero total, pudiendo rondar el 10%-20% de lo sustraído a la víctima, como
comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero
a cuentas previamente indicadas. Dado el desconocimiento del fraude por parte del
mulero, muchas veces motivado por la necesidad económica, éste se ve
involucrado en un acto de estafa importante, pudiendo ser requerido por la justicia
previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición
de devolver todo el dinero sustraído a la víctima, obviando que, el mulero,
únicamente recibió una comisión. En la siguiente figura se muestra un ejemplo de
correo reclutando muleros:
Figura 7: Correo ofreciendo un “buen trabajo” de mulero.
Por tanto el sistema de phishing deja dos víctimas detrás de sí y pingües
beneficios para los atacantes con un riesgo mínimo. En la siguiente figura se
muestra un esquema de la forma de actuar de los atacantes con todo el proceso:
15
Figura 8: Esquema de funcionamiento del phishing bancario.
A pesar de todo lo relatado anteriormente, hoy en día, existe una conciencia para
impedir que estos ataques tengan éxito. Se están tomando medidas en diferentes
ámbitos para intentar reducir y eliminar el phishing a nivel global. Desde el punto
de vista de las grandes compañías, estas suelen dirigirse a sus clientes con su
nombre, por lo que cualquier e-mail con encabezado genérico tal que “Querido
cliente” debería hacer sospechar al destinatario que algo no va bien.
Por otro lado, desde un punto de vista tecnológico, la mayoría de los
navegadores modernos suelen incorporar un filtro anti-phishing. Éste suele
componerse de una lista, llamada lista negra, en la que se van registrando las urls
que contienen sitios web falsificados. El navegador la actualiza un número
determinado de veces al día. Si el usuario intenta acceder a una dirección que está
dentro de la lista, el navegador muestra un aviso al mismo (Ver figura 9),
indicándole de la peligrosidad del sitio que desea visitar y dándole la oportunidad de
continuar o ir a su página de inicio.
16
Al usuario se le da la oportunidad de continuar debido a que ciertos sitios pueden
incluirse en la lista negra por equivocación o durante un tiempo mientras se
revisan, pudiendo ser legítimos. Si el usuario ha sido redireccionado a la página
desde un correo falso se dará cuenta del ataque rápidamente.
Figura 9: Navegador web informando de un sitio fraudulento.
Por último, la sociedad está empezando a concienciarse de la gravedad de estas
técnicas, lo cual ha cristalizado en que se estén empezando a desarrollar una serie
de leyes y protocolos de actuación en caso de detectarse servidores con páginas de
este tipo para perseguir a los culpables y cerrar sitios webs.
6.2. SPAM. CICLO COMPLETO En el ejemplo anterior se ha hablado de que un elemento importante del ataque
del phishing es la existencia de listas de correos electrónicos para enviar mails
masivos. Si bien estas listas ya existen en el mercado negro y se pueden comprar,
en algún momento han debido ser creadas. Y es aquí donde entran en juego
diferentes técnicas de ingeniería social (is). Como se ha dicho en el punto 2 del
presente trabajo, conceptos de is, ésta aprovecha sentimientos tan variados como
la curiosidad, la avaricia, el sexo, la compasión o el miedo que son propios de las
personas humanas. Veamos la siguiente figura:
17
Figura 10: Correo con gran dosis de is.
Se puede apreciar claramente que el correo apela a los sentimientos de
compasión de la desgracia ajena, para ello indica que las compañías AOL y ZDNET
realizaran un rastreo de los correos y donarán 32 centavos por cada persona
reenviada… de nuevo suena raro, ¿verdad? Pero no resulta difícil imaginar este
correo reenviado cientos de veces sin copia de carbón oculta (campo CCO) con sus
miles de direcciones adjuntas. Toda una mina que probablemente vuelva a llegar a
una persona malintencionada que los recolecte.
Otros ejemplos clásicos de excusa para que el usuario reenvíe son: un gran
número de años de mala suerte si no se hace, o la imposibilidad de encontrar el
amor en la vida, o no encontrar la felicidad, etc. Otra variante de correos son
aquellos que nos amenazan con cerrarnos la cuenta del cliente de correo favorito si
no lo reenviamos a 18 personas (ver Figura 2), o que pasará algo muy curioso al
reenviarlo. Por último, la figura 11 muestra una versión muy rara de recolección de
emails en la que, no se sabe muy bien porqué, advierten de que se copie en un
mensaje nuevo. Evidentemente apenas hay versiones de este correo debido a la
inutilidad del mismo. Sirve para ilustrar que la gente hace a pies juntillas lo que
pone en un correo de un desconocido
18
Figura 11: versión poco útil de recolección de correos. La versión original es una
lista enorme de nombres. Cada asterisco indica la repetición de un nombre.
En todos los casos el fin es el mismo: que se produzca el mayor número de
reenvío de correos posible y así obtener una cosecha del tipo de la Figura 12. Al
final acabará llegando el correo a un usuario malintencionado que pacientemente
los extraerá del email y los colocará en una lista. Así estará listo para su uso
personal o posterior venta en el mercado negro. Como se ha comentado, aparte de
para correos de phishing, otro de los usos que tiene el spam es la de intentar
vender los más variados productos. Todos los días millones de personas en el
mundo reciben un correo ofreciéndoles réplicas maravillosas de relojes, medicinas
milagrosas como la viagra u ofertas de descuento en las más exclusivas tiendas.
Aunque, a priori, pueda parecer que la gente ignora estos correos, con que se
produzca una compra inferior al 0,5% de los correos enviados, puede ser rentable
este negocio puesto que los gastos son 0.
19
Figura 12: lista de correos procedentes de sucesivos reenvíos.
7. ATAQUES DE DENEGACIÓN DE SERVICIO Y REDES ZOMBIES Como se está viendo a lo largo del trabajo, la is abarca un campo amplio de
actividades ilícitas. Hasta el momento se ha visto diversas formas de obtener
información personal más o menos comprometida. Pero existe la posibilidad de que
mediante la is se llegue a controlar un equipo totalmente simplemente con que esté
conectado a internet.
En este tipo de ataques se lleva a cabo usando malware. Según la definición de
Visentini [2], Malware es “término formado a partir de combinar las palabras
Software Malicioso. Es un programa diseñado para hacer algún daño a un sistema.
Puede presentarse en forma de virus, gusanos, caballos de Troya, etc., y se ejecuta
automáticamente sin consentimiento ni conocimiento por parte de la víctima.” Lo
interesante aquí es ver las diferentes técnicas que se usan para conseguir instalar
el software en el ordenador. Puede presentarse como un archivo .doc o .xls o
cualquier otro programa que tenga funcionalidad de macros adjunto en un e-mail
que nos ruega encarecidamente que lo abramos, puede venir en una memoria USB
que hemos encontrado abandonada, en un link en el que se nos avisa que hemos
sido los ganadores de algo (ver figura 3) que lleve a una página maliciosa, etc. La
idea es que se instale el software en nuestra máquina.
20
Una vez hecho esto, el virus, caballo de troya o aplicación que sea, abrirá una
puerta trasera para que el atacante se conecte y tome el control. A partir de aquí el
ordenador se denomina ordenador zombi3 y al software con el que ha tomado el
control, bot. Las acciones a llevar a cabo son muchas. Destacamos por su
importancia las siguientes:
Para enviar masivamente correo electrónico no deseado (spam).
Llevar a cabo ataques contra terceros. Ataques de denegación de servicio.
Diseminar virus informáticos.
Capturar datos (contraseñas y claves de acceso) mediante el phishing
En fraudes: Se utiliza la red para generar dinero mediante la manipulación
en negocios legítimos como el pago por click o la manipulación de
encuestas.
Computación distribuida: Al igual que este modelo se utiliza para
proyectos con el consentimiento del usuario (SETI, Globus…), aquí se
utiliza la potencia de miles de maquinas para procesos con una finalidad
ilícita, como por ejemplo forzar contraseñas.
A continuación se muestran algunos datos del tamaño del problema. La mayoría
de páginas web bancarias falsificadas están alojadas en un ordenador zombi. Entre
el 40% y el 80%, según distintos estudios, de todo el 'correo basura' se envía a
través de PCs domésticos infectados sin que el usuario sea consciente de ello.
El problema puede ser aún peor, puesto que si aumentamos el número de
ordenadores bajo control y conseguimos tener una red de ordenadores zombis,
puede darse el caso de colapsar páginas web con un ataque de denegación de
servicio. Según Inteco [7] un ataque DDOS (Ataque de denegación de servicio
distribuido) es: “bloquear un servidor enviando muchas peticiones en muy poco
tiempo (desde cada uno de los ordenadores infectados de la red zombi), de forma
que logran saturarlo ralentizándolo y, en el peor de los casos, provocando su
caída”. En este tipo de ataques se trata de programar a toda la red para que, a una
hora determinada se intente conectar a determinada url. Si la página no está
adecuadamente configurada, el servidor se caerá. Evitar estos ataques es casi
imposible, pero con una adecuada configuración se puede evitar caídas de servicio
y que la única molestia sea la ralentización o imposibilidad de conexión por parte
del usuario durante el ataque.
Existen redes de decenas o cientos de ordenadores 'zombi' a la orden de un
hacker, el tema ha llegado a ser tan eficiente, que éstas, incluso se alquilan a
terceros. En el año 2004, se detectaron más bots que cualquier otro tipo de virus;
se calcula que hay entre 500.000 y dos millones de PCs 'zombi' y España pasa por
ser el segundo país de Europa con más ordenadores 'esclavos'. En marzo del 2010,
la "Operación Mariposa" supuso la detención de tres delincuentes que controlaban
3 El nombre hace alusión a las películas de terror en las que aparecen los zombis o muertos vivientes
esclavizados, figuras legendarias surgidas de los cultos vudú.
21
una red de equipos PC zombis de casi 13 millones de PC víctimas [8]. La figura 13
muestra un esquema del funcionamiento de la red zombi.
Figura 13: Esquema de una red zombi.
8. LAS NUEVAS AMENAZAS. LAS REDES SOCIALES Tal como se exponía en la introducción, hoy en día las redes sociales forman
parte de nuestra vida como el teléfono móvil, la TDT o el ordenador portátil. Sin
embargo, todo este campo que tan rápidamente ha crecido se ha convertido en el
paraíso dorado para los ingenieros sociales. Si internet ya era un campo fructífero
para ellos, las redes sociales esconden un potencial enorme no sólo para
delincuentes que sólo buscan dañar los datos o interés económico, sino para
aquellos que buscan acciones como secuestros, violaciones y demás delitos
mayores.
A priori, uno de los usos más peligrosos que pueden tener las redes sociales es la
obtención de datos privados que permitan la composición de correos electrónicos
personalizados para la víctima, dando así la sensación de que quien envía el correo
nos conoce. Otro de los peligros es suplantar la identidad de Facebook de otra
persona y hacerle peticiones de lo más diverso. A continuación se expone un caso
real que le pasó a una mujer norteamericana [9]:
“A una amiga suya le robaron la cuenta. Se hicieron pasar por ella y su novio,
pidieron ayuda porque supuestamente les habían robado los billetes, las maletas, el
22
dinero… mientras se encontraban en Londres de viaje y que necesitaban dinero
para volver a casa. Esta mujer, de buena fe, les envió dinero por medio de Western
Union, una empresa de envío de dinero donde se pierde el rastro de a dónde va
dada su capacidad de anonimato. Cuando la persona legítima de la cuenta se
conectó, vio lo ocurrido y avisó a todos sus contactos que alguien se había
conectado a su cuenta, y había hecho uso de ella. Demasiado tarde para su otra
amiga que ya había enviado dinero a no se sabe quién.”
9. CONCLUSIONES A lo largo del trabajo se ha realizado un estudio sobre la aplicación de la
ingeniería social al delito informático. Se han visto sus características, en qué se
basa y aplicaciones prácticas actuales del mismo. También se ha acercado el
mundo de las redes zombis y de las nuevas amenazas que están latentes en las
redes sociales.
Las amenazas que se ciernen en el ciberespacio son múltiples. Cada día salen al
mercado nuevas técnicas destinadas específicamente a obtener datos personales de
los usuarios y a usarlos para obtener un beneficio a favor del atacante y en contra
de la víctima. Los daños que se están produciendo por este tipo de ataques se
pueden calcular en cientos de millones anualmente y no paran de crecer. Aunque
parezca complicado detener la is, la mejor arma es la educación y el sentido
común. La gente por no querer quedar mal o armar un escándalo, brinda a
cualquiera que se lo solicite “información sensible”, y ahí es donde juega un papel
importante la educación, el enseñarle a los empleados a decir no. En este caso no
se trata de una educación estrictamente técnica, sino más bien una capacitación
social que alerte a la persona cuando está por ser blanco de este tipo de ataque. Si
el Ingeniero Social tiene la experiencia suficiente, puede engañar fácilmente a un
usuario en beneficio propio, pero si este usuario conoce estas tretas no podrá ser
engañado. Además, la educación de los usuarios suele ser una importante técnica
de disuasión.
Afortunadamente, la educación en este tema es cada vez mayor y se están
empezando a realizar multitud de operaciones policiales contra atacantes, sin
importar su lugar de residencia. Las penas se han endurecido y poco a poco va
calando los mensajes de “desconfiar” y “nadie da duros a cuatro pesetas” en la red.
Otro aspecto importante es tener un equipo con antivirus y cortafuegos
actualizados, estar siempre alerta a las noticias de este tipo que surjan en los
medios de comunicación, así como dudar de aquellos mensajes recibidos por
cualquier canal, sin que el usuario en ningún momento los haya solicitado y que,
aún siendo legibles, ruegan encarecidamente abrir un archivo o pulsar un enlace.
También es interesante tener cierto entrenamiento para detectar ataques
telefónicos o cara a cara de personas malintencionadas.
23
Como punto final, una reflexión del famoso hacker Kevin Mitnick [10] que
debería ilustrar al lector acerca de la necesidad de estar siempre alerta:
“La verdad es que no hay tecnología en el mundo capaz de prevenir un ataque
de Ingeniería Social”
10. BILIOGRAFÍA
http://www.spamspam.info/2009/09/03/nuevo-caso-de-phishing-
relacionado-con-bbva-septiembre-2009/
http://www.internautas.org/html/5209.html
http://ingenieriasocialsigloxxi.wordpress.com/2009/11/08/proliferacion-
de-redes-sociales/
http://seguinfcol.blogspot.com/2010_08_01_archive.html
http://hackstory.net/index.php/Ingenier%C3%ADa_social_es
http://www.consumer.es/web/es/tecnologia/internet/2005/04/19/141292.
php
http://es.wikipedia.org/wiki/Zombie_%28inform%C3%A1tica%29
Archivo de correo electrónico personal de Vicente Carrillo.
REFERENCIAS 1. La enciclopedia libre Wikipedia:
http://es.wikipedia.org/wiki/Ingeniería_social_(seguridad_informática)
2. Visentini, Maximiliano: La Ingeniería social. Oportunidades que le brindan
las nuevas amenazas. Facultad Regional Córdoba de la UTN. 2006. Ver:
http://www.eset-la.com/pub/mvis.pdf
3. Dreyfus, Suelette: Underground: Tales of Hacking, Madness and Obsession
on the Electronic Frontier. Ed. Mandarin. 1997. Australia.
4. Roberti, Raquel y Bonsembiante, Fernando: Llaneros solitarios: Hackers, la
guerrilla informática. Ed. Espasa Calpe, 1995. Argentina.
5. http://ww2.grn.es/merce/2002/is2.html
6. La enciclopedia libre Wikipedia: http://es.wikipedia.org/wiki/Phishing.
7. http://cert.inteco.es/Formacion/Amenazas/botnets/explotacion_de_una_b
otnet/
8. http://seguridad-de-la-informacion.blogspot.com/2010/03/golpe-policial-
una-red-zombi-espanola.html
9. http://www.blogtecnologico.net/ingenieria-social-traslada-redes-sociales/
10. Ramírez, Adrián: Ingeniería Social. Presentación en Power Point. Ver:
http://hackandalus.nodo50.org/ftp/ingenieria_social.hack04ndalus.ppt
24