[HACK] CURSO DE INGENIERIA SOCIAL 1

LeStEr ThE TeAcHer lgros at airtel.net
Thu Aug 1 12:10:37 CEST 2002 

INGENIERIA SOCIAL

POR

          LeStEr ThE TeAcHeR
          FrOm ThE DaRk SiDe
   lester_the_teacher at hotmail.com



A Beatríz, por entenderme y ayudarme en este proyecto
y en todos los demás.



Nota del autor ( Disclaimer que dicen los americanos)

Todos los contenidos de este documento son propiedad del autor. Este
documento
puede distribuirse libremente bajo cualquier soporte siempre y cuando se
respeten
los siguientes requisitos:

1 .- No podrán utilizarse en ningún caso para la obtención de beneficio
económico
alguno.

2 .- Su utilización deberá comunicársele al autor.

3 .- Deberá citarse siempre tanto al autor como la dirección de mail a
través de la
cual podrán ponerse en contacto con él.

4.- El documento original no podrá ser modificado.

El autor se hace responsable de todos lo aquí escrito, no así de las
acciones que
utilizando las técnicas aquí descritas puedan realizar terceros.

Algunas de las cosas que se citan en este documento pueden ser constitutivas
de
uno o varios delitos. No pretendo con esto hacer ninguna clase de apología,
ni
tampoco incitar de forma alguna a la comisión de los mismos. Simplemente
expongo
algunas técnicas utilizadas tanto por consumados delincuentes como por los
servicios de inteligencia del mundo con ánimo de estar protegido ante ellas.

Qué es la Ingeniería Social

Con el término "ingeniería social" se define el conjunto de técnicas
psicológicas y
habilidades sociales utilizadas de forma consciente y muchas veces
premeditada
para la obtención de información de terceros.

No existe una limitación en cuanto al tipo de información y tampoco en la
utilización
posterior de la información obtenida.

Puede ser ingeniería social el obtener de un profesor las preguntas de un
examen
del colegio o la clave de acceso de la caja fuerte del Banco de España. Sin
embargo
el origen del término tiene que ver con las actividades de obtención de
información
de tipo técnico utilizadas por hackers.

Un hecho importante es que el acto de ingeniería social acaba en el momento
en
que se ha conseguido la información buscada. Las acciones que esa
información
pueda facilitar o favorecer no se enmarcan bajo este termino. En muchos
casos los
ingenieros sociales no tocan un ordenador ni acceden a sistemas, pero sin su
colaboración otros no tendrían la posibilidad de hacerlo.


¿ Por qué "el caballo de Troya" no es ingeniería social?

Existe una tendencia que trata la ingeniería social como una forma de
engaño,
equiparable al caballo de Troya o a cualquier forma de timo, como el de la
estampita,
En este sentido podemos ver lo que dice la Página de Derecho de Internet :

"En nuestro idioma, Social Engineering tiene ya un término muy tradicional y
cuyo
contenido coincide vulgar y jurídicamente, el engaño, término que usaremos
de
ahora en adelante."

Podéis leer el documento completo visitando la siguiente dirección:

http://derecho-internet.org/teoria.php?teoria_id=38


Tendremos en cuenta 2 factores al respecto: en primer lugar, en el caso de
la IS
puede no haber engaño de ningún tipo. Una persona le pide a otra su
contraseña o
cualquier otra información en un entorno de confianza y la otra se la da sin
presión ni
engaño alguno. Luego el mito de que la IS se basa en un engaño, no es
correcto en
todos los casos.

Y segundo: suele existir un componente técnico o tecnológico. Como ya dije
en otra
ocasión, el timo de la estampita y la ingeniería social no tienen mucho que
ver
porque ésta se basa en amplios conocimientos de psicología aplicada y de las
tecnologías sobre las que se quiere obtener información.

Os pondré un ejemplo que seguro entendéis. En el mundo del underground, de
los
hackers, las relaciones se basan en el respeto. Son mundos bastante cerrados
de
gente que en algunos casos pueden realizar actividades ilegales. Para poder
acceder a él hay que tener tantos conocimientos como ellos y así ser
considerado
como un "igual". Además deberán aportarse conocimientos a compartir que de
forma
clara permitan ganarse el respeto de estos grupos. Solo de esta forma se
tendrá
acceso a determinadas informaciones.

Esto mismo ocurre en el mundo de las empresas de alta tecnología en las que
se
desarrollan proyectos reservados, donde la calificación técnica necesaria
para
entender la información que se quiere obtener es muy alta. Las operaciones
de
ingeniería social de este nivel pueden llevar meses de cuidada planificación
y de
evaluación de muchos parámetros, van más allá de una actuación puntual
basada
en una llamada con más o menos gracia o picardía.

Muchas veces, el Ingeniero Social simplemente observa el entorno y aprovecha
datos que están a la vista cuando el sentido común indica que deberían
guardarse
en un lugar seguro. Conozco el caso de un servidor de una delegación de la
Agencia
Tributaria española cuya contraseña está puesta en un "post-it" en su
pantalla. Solo
hay que tener capacidad de observación de este tipo de detalles.


¿Qué tiene que ver la Ingeniería Social con la seguridad informática?

La seguridad informática tiene por objetivo el asegurar que los datos que
almacenan
nuestros ordenadores se mantengan libres de cualquier problema, y que el
servicio
que nuestros sistemas prestan se realice con la mayor efectividad y sin
caídas.

En este sentido, la seguridad informática abarca cosas tan dispares como :

Los aparatos de aire acondicionado que mantienen los sistemas en las
temperaturas
adecuadas para trabajar sin caídas.

La calificación del equipo de administradores que deberá conocer su sistema
lo
suficiente como para mantenerlo funcionando correctamente.

La definición de entornos en los que las copias de seguridad han de
guardarse para
ser seguros y como hacer esas copias.

El control del acceso físico a los sistemas.

La elección de un hardware y de un software que no de problemas.

La correcta formación de los usuarios del sistema.

El desarrollo de planes de contingencia.

Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se
realizan utilizando datos que se obtienen de sus usuarios mediante
diferentes
métodos y con la intervención de personas especialmente entrenadas, los
ingenieros
sociales.

Continuara...

Espero ahora vuestros comentarios y preguntas antes de enviar la segunda
entrega del curso.

LeStEr ThE TeAcHeR
lester_the_teacher at hotmail.com
FrOm ThE DaRk SiDe

More information about the hacking mailing list