Você está na página 1de 34

INGENIEROS SOCIALES:

CMO TRABAJAN Y CMO


DETENERLOS

2/20/15

Frase
El ingeniero social emplea las mismas tcnicas de persuasin
que utilizamos todos los dems a diario. Adquirimos normas. Intentamos
ganar credibilidad. Exigimos obligaciones recprocas. Pero el ingeniero
social aplica estas tcnicas de una manera manipuladora, engaosa y
muy poco tica, a menudo con efectos devastadores.

Dr. Brad Sagarin, psiclogo social

2/20/15

Historia
En el verano de 2002, un consultor de seguridad que utiliza
el
sobrenombre "Whurley" fue contratado por un grupo de centros tursticos
de Las Vegas para realizar diferentes auditoras de seguridad. Estaban
rediseando su sistema de seguridad y lo contrataron para "intentar burlar
todas y cada una de las medidas" para ayudarles a construir una mejor
infraestructura de seguridad. Whurley tena una vasta experiencia tcnica,
pero poca experiencia en casinos.
Haba tomado la costumbre de comenzar un trabajo con anticipacin y
terminar antes de la fecha oficial de comienzo. Lo que haca era realizar la
auditora en las dos semanas previas a la fecha prevista.

2/20/15

Lo primero que observ era que la mayora de los empleados que vio
pareca "o que sehubieran quedado dormidos de pie o absolutamente
displicentes en su trabajo". Ambas actitudes los convertan en blancos
fciles hasta para el timo ms simple.
Se acerc a un empleado que pareca muy relajado y bast animarlo un
poco para que se mostrara voluntarioso a comentar los detalles de su
trabajo. Curiosamente, haba trabajado anteriormente para el casino que
haba contratado a Whurley. "Apuesto que el otro era mucho mejor",
pregunt Whurley.
El empleado respondi: "La verdad es que no. Aqu tenemos auditoras
en la sala todo el tiempo. En el otro sitio, apenas se enteraban si llegabas
un poco tarde y as en todo... relojes, tarjetas de identificacin, cuadrantes,
etc. La mano derecha no saba lo que haca la izquierda".

2/20/15

Aquel hombre explic tambin que perda con frecuencia su placa de


empleado y que a veces un compaero se la prestaba para que entrara
por la comida gratis que daban a los empleados en las cafeteras de
personal que haba en los stanos del casino.
A la maana siguiente, Whurley defini su objetivo muy sencillo:
Entrar en todas las zonas protegidas del casino que pudiera
Dejar constancia de su presencia
Intentar penetrar en tantos sistemas de seguridad como pudiera.
Y quera averiguar si podra acceder a cualquiera de los sistemas
dedicados a la contabilidad o capturar informacin confidencial, como los
datos de los visitantes.

2/20/15

Aquella noche, de camino al hotel, despus de haber visitado el casino, oy


un anuncio publicitario en la radio de un gimnasio que haca una oferta
especial a los trabajadores del sector de servicios. Durmi un poco y por la
maana emprendi camino hacia el gimnasio.
Al llegar, eligi como blanco a una chica que se llamaba Lenore. "En 15
minutos establecimos una 'conexin espiritual'". Algo que result genial
porque Lenore era auditora financiera y l quera saber todo lo que tuviera
que ver con las palabras "finanzas" y "auditora" en el casino que deba
examinar. Si pudiera penetrar en los sistemas financieros durante su
auditora, lograra con toda certeza que el cliente considerara enormes las
deficiencias.
Uno de los trucos preferidos de Whurley cuando aplica la ingeniera social es
el arte de la lectura en fro. Mientras hablaban, l observaba las seales no
verbales que ella lanzaba y, entonces, solt algo que le hiciera a ella pensar
"vaya, yo tambin". Congeniaron bien y l la invit a cenar.

2/20/15

Durante la cena, Whurley le dijo que era nuevo en Las Vegas y que estaba
buscando un trabajo, que haba ido a una universidad importante y que se haba
licenciado en economa, pero que se haba mudado a Las Vegas despus de
romper con su novia. El cambio de vida le ayudara a superar la ruptura.
Entonces, l confes que le intimidaba intentar conseguir un trabajo de auditora
en Las Vegas porque no quera acabar "nadando con los tiburones". Ella pas
las dos horas siguientes insuflndole confianza y asegurndole que no debera
resultarle difcil conseguir un trabajo de economista. Con la intencin de
ayudarle, Lenore le facilit ms detalles sobre su trabajo y su empresa de los
que l necesitaba. "Ella fue lo mejor que me ha pasado hasta ahora en toda esta
experiencia y le pagu la cena con mucho gusto, que de todos modos iba a
pagar".

2/20/15

El objetivo era sencillo: intentar entrar en la zona de oficinas del casino,


tomar algunas fotos digitales (con la marca de hora y da) de s mismo en
sitios en los que no debera estar y, a continuacin, instalar un punto de
acceso inalmbrico en la red para intentar penetrar remotamente en sus
sistemas para recabar informacin confidencial. Para concluir su trabajo,
tendra que volver a entrar para recuperar el punto de acceso inalmbrico.
Unos minutos de espera y la entrada se qued sola... lo que no era lo que l
buscaba. Pero Whurley se fij en un guardia que pareca que se iba cuando
otro guardia lo par y se quedaron un rato hablando y fumando justo en la
puerta del edificio. Cuando acabaron los cigarrillos, se separaron y cada uno
tom una direccin.
Aprovechando esto, Whurley decidi dejar pasar a uno de ellos para
enseguida preguntarle la hora (Whurley haba descubierto que es ms
efectivo tener un acercamiento de esa forma ya que llegar de frente el
sujeto en cuestin adopta una posicin ms defensiva), mientras el guardia
le contestaba, Whurley pudo observar en su identificacin que su nombre
era Charlie, y con un golpe de suerte otro guardia lo llam por su apodo,
Cheesy.
2/20/15

Whurley decidi entonces dirigirse al guardia del mostrador para decirle


si no haba visto a Cheesy puesto que le deba 20 dlares y que los
necesitaba para comer algo en el descanso (olvidando que los
alimentos para empleados son gratis) por lo que el guardia pregunt
con sospecha para qu quera comprar comida.
Rpidamente Whurley contest que haba quedado de verse con una
chica para comer, tema que intrig al guardia iniciando una
conversacin sobre ello, al final, el guardia le prest 40 dlares puesto
que Cheesy se iba a tomar un descanso por el resto de la semana y
ms an, lo dej pasar sin pedirle que le mostrara la identificacin, cosa
que el guardia record demasiado tarde cuando Whurley ya estaba
entrando a la zona de empleados.

2/20/15

Una vez dentro, Whurley no saba hacia dnde ir, por lo que estuvo caminando
hasta encontrarse con la sala de monitoreo, diciendo al personal que miraran a
la chica del monitor 23 a lo que la multitud fij su atencin para ver qu tramaba
la chica.
Cuando Whurley se preparaba para salir, anunci: "Ah! Me he metido tanto en
la situacin que casi se me olvida presentarme. Soy Walter, estoy con Auditora
Interna. Me acaban de contratar para el departamento de Dan Moore", dijo
utilizando el nombre del director de Auditora Interna que haba obtenido en una
de sus conversaciones. "Nunca he estado en este centro y estoy un poco
perdido. Podran decirme cmo llegar a las oficinas de administracin?".
Los guardias estaban muy dispuestos a librarse de un ejecutivo, por lo que le
facilitaron la informacin.

2/20/15

Despus de husmear un poco, lleg a una sala de descanso en donde


encontr a una joven mujer.
"Era Megan, una chica encantadora. Hablamos unos minutos. Entonces dice
ella: "Ah! Si ests en Auditora Interna, yo tengo que llevar all algunas
cosas'". Result que Megan tena dos tarjetas de identificacin, algunos
informes internos y una caja de papeles que pertenecan a la oficina de
Auditora Interna del edificio central. Whurley se alegr de saber que ya tena
tarjeta.
Cuando me iba, vi una oficina abierta y vaca. Tena dos puertos de red, pero
no s si estn o no activos a simple vista. As que volv donde estaba Megan
sentada y le dije que haba olvidado decirle que yo tena que echar un
vistazo a su sistema y al de la oficina del jefe. Ella, muy amablemente,
accedi y me dej sentarme en su escritorio. Me dio su contrasea cuando
se la ped y despus se fue al bao. Le dije que iba a aadir un "monitor de
seguridad de la red" y le mostr el punto de acceso inalmbrico. Ella
contest: "Como t veas. La verdad es que yo no s mucho de eso ".

2/20/15

Mientras ella estaba fuera, l instal el punto de acceso inalmbrico y


reinici el ordenador. Entonces se dio cuenta que l tena una unidad
flash USB (bus serie universal) de 256MB en el llavero y acceso total al
ordenador de Megan. "Empec a navegar por su disco duro y encontr
un montn de material interesante". Result que Megan era la secretaria
de direccin de todos los directivos y que tena organizados sus archivos
por nombre, "todo bien bonito y ordenado". Tom una foto de l mismo
sentado en la oficina principal de administracin, con la funcin de fecha
y hora activada. Unos minutos despus, Megan volvi y l pidi algunas
direcciones del Centro de Operaciones de Red (COR).
Cuando lleg al COR se dio cuenta de que no iba a ser sencillo entrar
puesto que haba una cerradura que solicitaba una tarjeta que l no
tena, decidi llamar a la puerta a lo que un hombre le pregunt quien
era, y Whurley le cont la misma historia que a los dems, que era de
auditora interna, pero el hombre le dijo que tena que consultarlo con
Richard.

2/20/15

Cuando Richard lleg comenz a hacerle muchas preguntas, como su


nombre, el porqu no tena una tarjeta, y otra media docena de
preguntas. Al final, Richard le dijo que lo acompaara a su oficina para
aclarar el asunto con auditora interna.
Whurley pens: "Este tipo me ha pillado por completo". Pero, entonces:
"Pensando muy rpido, le dije: 'Me has pillado' y le di la mano. 'Mi nombre
es Whurley'. Y le saqu de mi bolsa una tarjeta de presentacin. Le dije
que llevaba dos horas merodeando por las entraas del casino y que ni
una sola persona me haba detenido y que l haba sido el primero y que
probablemente saldra muy bien parado en mi informe. Entonces aad:
'Vamos a su oficina para que pueda llamar y sepa que todo es autntico.
Adems, tengo que seguir y decirle a Martha, que est al cargo de esta
operacin, un par de cosas que he visto por aqu'".

2/20/15

Empezamos a hablar sobre en el casino. El hecho es que el estaba


compartiendo todo tipo de informacin interna y privilegiada con
Whurley a pesar de no haber dado ni el paso ms bsico para comprobar
su identidad.
Despus de la comida, Richard acompa a Whurley de vuelta al COR.
"Cuando entramos me present a Larry, el administrador de
sistemas principal del AS400s. Le explic a Larry que iba a "rajar" de
ellos en una auditora unos das despus y que haba comido conmigo y
que me haba convencido para hacer una auditora preliminar y ahorrarles
que pasaran un rato amargo" cuando llegara el momento de la auditora
real. Entonces, Whurley pas algunos minutos con Larry, mientras ste le
haca un repaso de los sistemas, lo que le sirvi para recabar ms
informacin til para su informe
Le dije que para ayudarle ms rpido me sera til tener un diagrama de la
red, Listas de Control de Acceso de cortafuegos, etc. Y me lo dio todo
despus de llamar a Richard para que diera su aprobacin

2/20/15

le explic a Larry que necesitaba volver para quitar el punto de acceso que
haba dejado. "Para hacerlo necesitara una tarjeta y poder as volver al COR
y entrar y salir cuando quiera".
Larry se mostr un poco reticente a hacerlo, as que Whurley le
recomend que llamara a Richard de nuevo. Lo llam y le dijo que el
visitante quera que le emitieran una tarjeta; pero Richard tuvo una idea
mejor todava. Algunos empleados haban salido recientemente de la
empresa, sus placas estaban en el COR y nadie haba encontrado el
momento de desactivarlas, "podra utilizar una de sas
Entr una llamada para Larry, era su esposa,aparentemente enfadada y
disgustada por algn motivo. Whurley se agarr bien a esta situacin voltil
al darse cuenta de que poda sacar beneficio . despus le ofreci consejo
sobre lo importante que era para l tratar el problema con su esposa. Y se
prest a tomar una de las tarjetas si Larry le mostraba dnde estaban.
"As que Larry me acompa al archivador, abri un cajn y dijo
'elige una de sas'. Entonces volvi a su mesa y volvi al telfono. Me
fij en que no haba hoja de salida ni un registro Ahora tena una placa,
que le daba acceso al COR a cualquier hora.
2/20/15

A continuacin, Whurley dio la vuelta para visitar a Megan, recuperar su


punto de acceso inalmbrico y ver qu ms poda averiguar.
Whurley esperaba descubrir el ordenador desde el que se controlaban los
privilegios de acceso de las tarjetas para poder modificar el acceso de las
dos que tena
Whurley se dirigi al guardia, el pregunto que necesitaba, y le dijo que
buscaba la Pc que tena que ver con el sistema de control de acceso al
edificio. El guardia ni siquiera le pregunt para qu. No haba ningn
problema. Le dijo exactamente dnde encontrara lo que buscaba.(Para
entonces, ya lo haba visto mucha gente con Richard, de modo que las
sospechas eran casi inexistente)

2/20/15

Localic el sistema de control y me acerqu al pequeo armario de red


donde se encontraba. All encontr un PC en el suelo con la lista de las
placas de identificacin ya abierta. No haba salvapantallas, ni contrasea,
nada que me obstaculizara la tarea
Pens que deba tener una placa extra, asignarle algunos privilegios de
acceso, cambiarle el nombre y, despus, cambirsela a algn empleado que
merodeara por el casino, ayudndome, sin saberlo, a embarrar los registros
de auditora. A quin elegira? A Megan, por supuesto,

2/20/15

Cuando Whurley volvi a la oficina de Larry, ste, consternado, estaba


acabando de hablar con su esposa. Finalmente colg y estuvo listo para
continuar su conversacin. Whurley le pidi que le explicara detenidamente
los diagramas de la red, pero despus lo interrumpi y, para desarmarlo, le
pregunt cmo iban las cosas con su esposa. Los dos hombres pasaron
cerca de dos horas hablando del matrimonio y otras cosas de la vida.
Al final de nuestra conversacin, yo estaba seguro de que Larry
ya no me causara ningn problema.
Despus de un rato, Larry se apart para hacer algunas llamadas
y atender otros asuntos. Whurley, al que haban dejado solo, explor la
red y pudo comprometer varios sistemas, tanto en las mquinas de
Windows, como en Linux, a causa de una deficiente gestin de
contraseas, y despus pas casi dos horas comenzando y deteniendo
copias de informacin de la red e, incluso, pasando algunas cosas a un
DVD, "sobre el que nunca preguntaron".

2/20/15

Despus de haber terminado con eso, pens que sera divertido, y til,
intentar algo ms. Me acerqu a cada una de las personas con las que haba
estado en contacto y algunas de las que me haban visto brevemente con
otras personas y les dije alguna variante de: "Bien, ya he terminado. Me
haras un favor? Me gustara llevarme fotos de toda la gente y de los lugares
en los que he trabajado. Te importara hacerte una foto conmigo?" Y result
sorprendentemente fcil.
Algunos hasta se ofrecieron a hacerle fotos a l con otras personas de
oficinas cercanas. Adems, consigui tarjetas de identificacin, diagramas
de la red y acceso a la red del casino. Y tena fotos para probarlo todo.
En la reunin de revisin, el jefe de Auditora Interna se quej de que
Whurley no tena derecho a intentar acceder a los sistemas fsicamente
porque "no iba a ser as como los atacaran". Tambin dijeron a Whurley que
lo que hizo rayaba en lo "ilegal" y que el cliente no haba apreciado en
absoluto sus acciones.

2/20/15

Le pagaron la totalidad, as que no le import demasiado. Le


habra gustado dejar una mejor impresin, pero perciba que, por el
contrario, su cliente odiaba el planteamiento del proyecto y pensaba que
era injusto para la empresa y los empleados. "Dejaron muy claro que no
queran volver a verme por all".

2/20/15

Dilucidacin
Brad Sagarin, doctor en psicologa social y autor de un
estudio de la persuasin, Dr. Sagarin que nos describiera
los principios
psicolgicos en los que se fundamentan las tcticas ms
comunes de los
ingenieros sociales.

Los rasgos de un rol


El ingeniero social exhibe algunas caractersticas de conducta del
papel que interpreta. Muchos de nosotros tendemos a completar las
lagunas de informacin cuando slo recibimos algunas
caractersticas de un rol, por ejemplo, si vemos a un hombre vestido
de ejecutivo,suponemos que es inteligente, centrado y de confianza.
En prcticamente todos los ataques de ingeniera social, el
atacante utiliza los rasgos (que pueden ser de actitud, de
comportamiento,de apariencia, del habla, etc.) de un rol para que el
blanco infiera el resto de caractersticas del rol y acte en
consonancia. El rol que desempee podra ser el de tcnico de
informtica, cliente, recin contratado o cualquier otro que
normalmente induzca a la vctima a responder a una
peticin.

Credibilidad
Establecer la credibilidad constituye el primer paso en la mayora de
los ataques de ingeniera social.
El Dr. Sagarin identific tres mtodos a los que recurren los ingenieros
sociales para construir su credibilidad.
En un mtodo, el atacante dice algo que parece ir en contra
de su inters personal.
En el segundo mtodo, el atacante advierte a la vctima de algo que
(sin que la vctima lo sepa) ha provocado el propio atacante.
El tercero de estos mtodos, es en el que el atacante "confirma"
que merece credibilidad ayudando a la vctima a solventar un
problema.

Causar que el objetivo adopte un rol


El ingeniero social manipula a otra persona para que adopte un
rol alternativo, como provocar que la sumisin torne en agresividad.
En su forma ms comn, el ingeniero social hace que su objetivo
tome un papel de colaboracin. Una vez que una persona ha aceptado
ese papel, le resultar incmodo o difcil retroceder y negar la ayuda.
Un ingeniero social astuto intentar averiguar con qu rol se
sentira a gusto la vctima.
Entonces, manipular la conversacin para atribuir a la persona ese
papel;es muy probable que la gente acepte roles positivos y que les
hagan sentir bien.

Desviar la atencin del pensamiento sistemtico


Los psiclogos sociales han determinado que los seres humanos procesan la
informacin entrante de dos formas, que han calificado como sistemtica y
heurstica.
El Dr. Sagarin explica: "Cuando procesamos la informacin
sistemticamente, pensamos con detenimiento y de forma racional una
peticin antes de tomar una decisin. Por el contrario, si la procesamos
heursticamente, tomamos atajos mentales para tomar las decisiones.

Los ingenieros sociales quieren dirigirse a personas que estn en


modo heurstico y hacer que continen as. Una tctica consiste en
llamar a alguien cinco minutos antes de que acabe la jornada de
trabajo, contando con que la ansiedad por salir a su hora de la oficina
haga que la vctima acceda a una peticin que, de otra forma, se
habra cuestionado.

El impulso de la conformidad
Los ingenieros sociales crean un impulso de conformidad
realizando una serie de peticiones, comenzando por las inofensivas.
Los ingenieros sociales utilizan con frecuencia la tctica de "una cosa
ms...
El deseo de ayudar
Los psiclogos han identificado muchos beneficios que recibe la
gente cuando ayuda a otras personas. Ayudar nos puede hacer sentir
que tenemos el poder. Nos puede hacer salir del mal humor. Nos
puede hacer sentirnos bien con nosotros mismos. Los ingenieros
sociales encuentran muchas formas de aprovechar nuestra inclinacin
a prestar ayuda.

Atribucin
La atribucin significa la forma en que la gente explica su propia
conducta y la de otras personas. Un objetivo del ingeniero social es
conseguir que la vctima se atribuya determinadas caractersticas, como son la
pericia, la honradez, la credibilidad o la facilidad para resultar simptico.
Ganarse la simpata

Los ingenieros sociales se aprovechan con frecuencia del hecho


de que todos tenemos ms probabilidad de decir que s a peticiones
de
gente que nos cae bien. A todos nos gustan las personas que son
como nosotros, que tengan, por ejemplo, los mismos intereses
profesionales, una educacin similar y las mismas aficiones
personales. El ingeniero social investigar con frecuencia la historia de
su vctima y se preparar para fingir inters en cosas que gustan a su
vctima: la vela o el tenis, aviones histricos, coleccionar armas
antiguas o cualquier otra cosa.

Miedo
Un ingeniero social har a veces creer a su vctima que algo horrible est a
punto de pasar, pero que el desastre inminente puede evitarse si la vctima
sigue las instrucciones del atacante. De esta forma,el atacante se sirve del
miedo como arma.
Los ataques basados en el estatus suelen servirse del miedo. Un ngeniero
social que se haga pasar por directivo de una empresa puede dirigirse a una
secretaria o a un empleado de menor rango con la exigencia de "urgente" y
con la insinuacin de que el subalterno podra
tener problemas o, incluso, ser despedido si no cumple la orden.

Reactancia
La reactancia psicolgica es la reaccin negativa que
experimentamos cuando sentimos que nos han arrebatado nuestra
capacidad de eleccin y nuestras libertades. Cuando nos encontramos
sumidos en la reactancia, perdemos el sentido de la perspectiva
porque nuestro deseo de recuperar lo que hemos perdido lo eclipsa
todo.

Contramedidas
Directrices para la formacin
Despertar la conciencia de que es prcticamente seguro que los
ingenieros sociales atacarn su compaa en alguna ocasin y,
quizs, repetidas veces.
Hacer una representacin para demostrar la
vulnerabilidad personal a las tcnicas de ingeniera
social y formar a los empleados para oponer resistencia.
Inducir a los empleados a pensar que se sentirn
humillados si se dejan manipular por un ataque de
ingeniera social despus del seminario.

Programas para contraatacar la ingeniera social


Desarrollar procedimientos para las acciones de los
empleados cuando estos detecten o sospechen un ataque
de ingeniera social.
Desarrollar directrices sencillas para los empleados que
definan qu informacin considera la empresa
confidencial.
Modificar las normas de cortesa de la organizacin. Se
puede decir "no ".
Desarrollar procedimientos para verificar la identidad y
la autorizacin.
Conseguir la participacin de los altos cargos

2/20/15

2/20/15

2/20/15

La ultima lnea
En nuestro primer libro juntos, Bill Simn y yo calificamos la
ingeniera social como el "punto dbil de la seguridad de la informacin".
Tres aos despus, qu nos encontramos? Empresas y ms
empresas que implementan tecnologas de seguridad para proteger sus
recursos informticos contra la invasin tcnica de los hackers o de
espas industriales contratados y que mantienen una fuerza de seguridad
fsica efectiva para protegerse contra las entradas no autorizadas.
Pero tambin encontramos que se presta poca atencin a
contraatacar las amenazas que suponen los ingenieros sociales. Es
primordial formar a los empleados en materia de amenazas y formas en
que deben protegerse a s mismos para no ser embaucados y terminar
ayudando a los intrusos. Defenderse de las vulnerabilidades de fondo
humano es un reto considerable. Proteger a la organizacin para que no
sea vctima de hackers mediante tcticas de ingeniera social debe ser
responsabilidad de todos y cada uno de los empleados, incluso de los que
no utilizan ordenadores en el desempeo de sus funciones. Los directivos
son vulnerables, la gente que est en primera lnea es vulnerable, los
operadores de la centralita son vulnerables, los recepcionistas, el personal
de limpieza, el personal del aparcamiento y, por encima de todo, los
empleados recin llegados, todos pueden ser utilizados por ingenieros
sociales como un paso ms hacia la consecucin de su propsito ilcito.
Se ha demostrado que el factor humano es el punto dbil de la
seguridad de la informacin desde siempre. La pregunta del milln es:
va a ser usted el punto dbil de su empresa que puede aprovechar un
ingeniero social?