Después de unos meses.... Ingeniería social?

xtremmetal

Cobre
Usuario de Bronce
Mensajes
928
Puntuación de reacción
0
Con el término ingeniería social se define el conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.

No existe una limitación en cuanto al tipo de información y tampoco en la utilización posterior de la información obtenida. Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin embargo, el origen del término tiene que ver con las actividades de obtención de información de tipo técnico utilizadas por hackers.

Un hecho importante es que el acto de ingeniería social acaba en el momento en que se ha conseguido la información buscada. Las acciones que esa información pueda facilitar o favorecer no se enmarcan bajo este término. En muchos casos los ingenieros sociales no tocan un ordenador ni acceden a sistemas, pero sin su colaboración otros no tendrían la posibilidad de hacerlo.

Contents
1 ¿Por qué el "caballo de Troya" no es Ingeniería Social?
2 ¿Qué tiene que ver la Ingeniería Social con la seguridad informática?
3 Técnicas de Ingeniería Social
4 Cuándo nace la Ingeniería Social en España
5 Algunos ingenieros sociales españoles
6 Notas
7 Enlaces externos
¿Por qué el "caballo de Troya" no es Ingeniería Social?

Existe una tendencia que trata la ingeniería social como una forma de engaño, equiparable al caballo de Troya o a cualquier forma de timo, como el de la estampita.

Tendremos en cuenta 2 factores al respecto: en primer lugar, en el caso de la IS puede no haber engaño de ningún tipo. Una persona le pide a otra su contraseña o cualquier otra información en un entorno de confianza y la otra se la da sin presión ni engaño alguno. Luego el mito de que la IS se basa en un engaño, no es correcto en todos los casos.

Y segundo: suele existir un componente técnico o tecnológico. El timo de la estampita y la ingeniería social no tienen mucho que ver porque ésta se basa en amplios conocimientos de psicología aplicada y de las tecnologías sobre las que se quiere obtener información.

Por ejemplo: en el mundo del underground, de los hackers, las relaciones se basan en el respeto. Son mundos bastante cerrados de gente que en algunos casos pueden realizar actividades ilegales. Para poder acceder a él hay que tener tantos conocimientos como ellos y así ser considerado como un "igual". Además deberán aportarse conocimientos a compartir que de forma clara permitan ganarse el respeto de estos grupos. Sólo de esta forma se tendrá acceso a determinadas informaciones.

Esto mismo ocurre en el mundo de las empresas de alta tecnología en las que se desarrollan proyectos reservados, donde la calificación técnica necesaria para entender la información que se quiere obtener es muy alta. Las operaciones de ingeniería social de este nivel pueden llevar meses de cuidada planificación y de evaluación de muchos parámetros, van más allá de una actuación puntual basada en una llamada con más o menos gracia o picardía.

Muchas veces, el Ingeniero Social simplemente observa el entorno y aprovecha datos que están a la vista cuando el sentido común indica que deberían guardarse en un lugar seguro. Es el caso de un servidor de una delegación de la Agencia Tributaria española cuya contraseña está puesta en un “post-it” en su pantalla. Sólo hay que tener capacidad de observación de este tipo de detalles.

¿Qué tiene que ver la Ingeniería Social con la seguridad informática?

La seguridad informática tiene por objetivo el asegurar que los datos que almacenan nuestros ordenadores se mantengan libres de cualquier problema, y que el servicio que nuestros sistemas prestan se realice con la mayor efectividad y sin caídas. En este sentido, la seguridad informática abarca cosas tan dispares como:

Los aparatos de aire acondicionado que mantienen los sistemas en las temperaturas adecuadas para trabajar sin caídas.
La calificación del equipo de administradores que deberá conocer su sistema lo suficiente como para mantenerlo funcionando correctamente.
La definición de entornos en los que las copias de seguridad han de guardarse para ser seguros y como hacer esas copias.
El control del acceso físico a los sistemas.
La elección de un hardware y de un software que no de problemas.
La correcta formación de los usuarios del sistema.
El desarrollo de planes de contingencia.
Debemos tener en cuenta que una gran parte de las intrusiones en sistemas se realizan utilizando datos que se obtienen de sus usuarios mediante diferentes métodos y con la intervención de personas especialmente entrenadas, los ingenieros sociales.

Técnicas de Ingeniería Social

Tres tipos, según el nivel de interacción del ingeniero social:

Técnicas Pasivas:
Observación
Técnicas no presenciales:
Recuperar la contraseña
Ingeniería Social y Mail
IRC u otros chats
Teléfono
Carta y fax
Técnicas presenciales no agresivas:
Buscando en La basura
Mirando por encima del hombro
Seguimiento de personas y vehículos
Vigilancia de Edificios
Inducción
Entrada en Hospitales
Acreditaciones
Ingeniería social en situaciones de crisis
Ingeniería social en aviones y trenes de alta velocidad
Agendas y teléfonos móviles
Desinformación
Métodos agresivos
Suplantación de personalidad
Chantaje o extorsión
Despersonalización
Presión psicológica
Cuándo nace la Ingeniería Social en España

Corre el año 1986/87, se empiezan a instalar algunos sistemas BBS en Madrid, Barcelona, Zaragoza. No había acceso a Internet mas allá de las universidades (en estas sólo el profesorado tenía acceso, es el nacimiento de RedIris) y de las conexiones UUCP que, más tarde, montaría la compañía Goya Servicios Telemáticos y que eran carísimas para la mayoría de usuarios. No existía Web, únicamente News, Mail y los protocolos de búsqueda de información tipo gopher o archie. Los servidores estaban instalados sobre todo en USA.

Lo que uno podía encontrar en una BBS de aquella época eran ficheros agrupados por temas y mensajes que corrían de unos usuarios a otros, utilizando la base de lo que después sería la red Fidonet u otras basadas en la misma tecnología.

En estas redes, las llamadas entre los nodos las realizaban usuarios "mecenas" que corrían con el precio de esas llamadas. Los módems eran muy lentos, 1200 o 2400 bps. los mas rápidos, y las llamadas eran muy caras. Esto tenía como consecuencia que un usuario no pudiera bajarse toda la información que quería ni conectarse a demasiadas BBS, so pena de arruinarse con la factura del teléfono... o arruinar a sus padres.

Así las cosas, era difícil compartir información propia con otros usuarios y más aún conseguir información técnica interesante que sí se podía encontrar en otros lugares de Europa y Estados Unidos. Los grupos de hackers buscaban formas de abaratar las llamadas de teléfono y conectarse a otros lugares. En su mayoría menores con edades entre los 11 y los 20 años, no disponían de más ingresos que la paga del domingo.

El phreaking era casi una necesidad y había en nuestro país verdaderos magos del sistema telefónico que proveían de "soluciones" para que los demás pudieran pasar el mayor tiempo posible conectados con el menor coste. Es importante entender que si un usuario español deseaba una información de una BBS finlandesa, debía llamar a Finlandia y conectarse a dicha BBS, ya que no había redes que compartieran la información de las BBS del Underground.

Se utilizaban muchas técnicas para no pagar las llamadas, desde el uso de "blue box", que eran útiles cuando el sistema de tarificación emitía para su control tonos en la "banda vocal", esto es, en la que se transmitía la voz, hasta accesos a través de sistemas PAD (Packet Assembler Dissasembler).

Sistemas casi siempre de grandes compañías que permitían, desde una conexión de teléfono normal, conectarse a redes de paquetes como la española X.25 y a los que se accedía desde números 900 (¿Cuántos hackers de la época utilizaron el famoso PAD de la Shell Oil?) y también números de tarjetas de teléfono americanas, las llamadas “callings cards” de MCI o de AT&T, que se conseguían de forma más o menos ilegal.

Virgin Boy era un danés que, con sus 15 años, había descifrado el algoritmo de creación de los códigos de 14 dígitos de las tarjetas de AT&T y se dedicó durante años a vender dichos números al módico precio de 100 dólares USA, hasta que desapareció de las redes hacia el año 1995.

En muchos casos, para conseguir informaciones de cómo utilizar ciertas funcionalidades de una central de telefónica, o el acceso a una red, era necesario el uso de ingeniería social. Así, algunos hackers comenzaron a especializarse en esas tareas. El abanico de posibilidades se multiplicó: no sólo el sistema telefónico sinó las configuraciones de servidores, contraseñas de sistemas, datos de compañías empezaron a ser objetivo de los ingenieros sociales, que al facilitárselos a otros hackers les facilitaban en mucho sus tareas, ya que se podían dedicar a lo que realmente les interesaba, aprender sistemas.

Son los tiempos en los que nacen !Hispahack, Apòstols, AFL, KhK Conspiradores y muchos otros grupos ya extinguidos. En cada uno de ellos hay por lo menos un experto en ingeniería social, o bien buscan a especialistas en esta materia para temas concretos.

Esto supone un importante cambio sociológico pues los hackers son, en su mayoría, autodidactas que han aprendido muchísimo en la soledad de su habitación, leyendo manuales, conectándose a lugares de los que aprendían; sin embargo, es cuando comienzan a trabajar en equipo cuando sus logros se hacen mas importantes y, aunque existe el celo por la información, dentro del grupo esta se comparte de una manera fluida.

Se produce un fenómeno interesante a este respecto: la práctica de técnicas de ingeniería social para conseguir información de otros grupos de hackers.

Estos grupos crecían de 2 formas: la primera porque los componentes estaban en la misma ciudad o eran usuarios de la misma BBS y, en reuniones de usuarios de las BBS, se conocían hablando de sus temas favoritos y se ponían a trabajar juntos.

La otra era cuando en alguno de esos grupos se te invitaba a entrar porque habían leído un documento escrito por ti en alguna BBS, o algún mensaje dejado en las áreas de hackers que estaban abiertas a todo el mundo. En casi todas las BBS se abrían áreas ocultas sólo para un grupo determinado de usuarios y otras abiertas que servían un poco como cantera o filtro.[1]

Algunos ingenieros sociales españoles

Agnus Young
D-Orb
LeStEr ThE TeAcHeR
Omega
The Saint
Notas

↑ Ingeniería Social 1.0. LeStEr ThE TeAcHeR
Enlaces externos

Ingeniería Social. Adrián Ramírez.
Ingeniería Social: Mentiras en la red. Mercè Molist.
Ingeniería social (Seguridad informática). Wikipedia.
social engineering. Jargon File.

- - - Actualización- - -

Este es un método que muchos no saben,. Lo sé, esto está copiado, ¡ja! Gente mostrando facturas de cientos de Euros o dolares al día y que al día siguiente venden guías....
 

maestrodellaves

Diamante
Usuario de Bronce
Mensajes
2,830
Puntuación de reacción
5
Se te olvidó mencionar a Kevin Mitnick, aunque luego vi que enfocabas más hacia lo español.
Interesante artículo, de todo lo que has nombrado sólo conocía a Hispahack.
 

xtremmetal

Cobre
Usuario de Bronce
Mensajes
928
Puntuación de reacción
0
Se te olvidó mencionar a Kevin Mitnick, aunque luego vi que enfocabas más hacia lo español.
Interesante artículo, de todo lo que has nombrado sólo conocía a Hispahack.

Es copiado y solo es la punta del iceberg... Pero sabiendo lo que se dice, y como ya sabrás, vale más que una guía de 100 Euros, ¡je!

Hoy en día, y a mis años, nunca pensé que estos temas volverían a estar de moda.

Lo que me da a pensar... ¿Estamos evolucionando?
 

maestrodellaves

Diamante
Usuario de Bronce
Mensajes
2,830
Puntuación de reacción
5
Bueno, vuelven a estar de moda a la vista, pero es algo que se sigue utilizando y mucho aunque no se haya dicho nada sobre ello en años.

- - - Actualización- - -

Pero haces bien de copiarlo y publicarlo para los que desconocían el tema :mola:
 

xtremmetal

Cobre
Usuario de Bronce
Mensajes
928
Puntuación de reacción
0
Bueno, vuelven a estar de moda a la vista, pero es algo que se sigue utilizando y mucho aunque no se haya dicho nada sobre ello en años.

- - - Actualización- - -

Pero haces bien de copiarlo y publicarlo para los que desconocían el tema :mola:

Claro! Véndeme una guía por 6 Euros y que gane yo 400 en un par de días o al mes, da igual...

Lo más gracioso es que la gente lo compra... esa entrada queda en el olvido y... ¿Qué es lo que pasó? ¿Dio dinero esa guía? ¿Por qué nadie contesta?

No sé... Quizás si valió la pena, ¡ja!
 

maestrodellaves

Diamante
Usuario de Bronce
Mensajes
2,830
Puntuación de reacción
5
Tambien hay que pensar fríamente: Imagínate que la guía sirve de veras. Si mucha gente la compra y hace lo mismo, al final se dan cuenta los afectados (Adsense, Youtube, Facebook, otras empresas de publicidad, etc), cambian algo y se jodió el invento...
 

xtremmetal

Cobre
Usuario de Bronce
Mensajes
928
Puntuación de reacción
0
Tambien hay que pensar fríamente: Imagínate que la guía sirve de veras. Si mucha gente la compra y hace lo mismo, al final se dan cuenta los afectados (Adsense, Youtube, Facebook, otras empresas de publicidad, etc), cambian algo y se jodió el invento...

AAAAAAAAAAAAAY.... Creo que nos hace falta a todos visitar mas webs yankees.... Que es de donde se sacan el 99% de las guías que se venden aquí y gratis :p Solo hay que darle a traducir y ya está...


¿De verdad piensas que alguien que saca 900 dolares al mes va a vender el método?

¡OJo!

Yo mismo hace poco intente vender una guía pero ciertas personas que se creían muy listas/os, ¡ja! Pensaron que lo copie de ellos/as...

Tenemos a un redactor fijo, ¡ja! y a una pornógrafa experta en sentimientos, ja!
 
Mensajes
280
Puntuación de reacción
0
Esto creo que sirve para atraer a jóvenes e inexpertas mentes como la mía, que queremos entrar en el mundo de Internet y vemos este tipo de guías que dicen que ganaremos "x" monto de dinero y decimos wow, si hasta tienen comprobación de pagos y todo. Y terminamos creyéndoles ya que hablan muy "profesionalmente" jaja
 

xtremmetal

Cobre
Usuario de Bronce
Mensajes
928
Puntuación de reacción
0
Esto creo que sirve para atraer a jóvenes e inexpertas mentes como la mía, que queremos entrar en el mundo de Internet y vemos este tipo de guías que dicen que ganaremos "x" monto de dinero y decimos wow, si hasta tienen comprobación de pagos y todo. Y terminamos creyéndoles ya que hablan muy "profesionalmente" jaja

Todo está planeado y no es solo uno quien vende la guía... Hay unos cuantos, ¡je! Al igual que pasa con gente que se vende por promocionar hostings, empresas CPA, etcétera... Y hace muy poquito puse un buen ejemplo de alguien que vendió en zona de negocios y que hasta el día de hoy, cosa que está prohibido, por falta de mensajes... y no pasó nada por ser un buen amiguete :p

¡OJO!

A mí me la pela...

Pero me pongo a pensar y me digo...

SERÁN GILIPOLLAS!!
 

maestrodellaves

Diamante
Usuario de Bronce
Mensajes
2,830
Puntuación de reacción
5
Yo tengo un ejemplo mejor:
-Puse a la venta en este foro una guía que de verdad funcionaba y sólo me la compró 1 persona.
-Puse otra guía de una técnica sexual secreta y... ¡Me la compraron 27 personas, la mayoría con el hilo ya cerrado!
No digo que la técnica sexual fuera una estafa, funciona y la verdad que muy bien, pero se vendió más por el morbo del sexo que por otra cosa.
 

xtremmetal

Cobre
Usuario de Bronce
Mensajes
928
Puntuación de reacción
0
Yo tengo un ejemplo mejor:
-Puse a la venta en este foro una guía que de verdad funcionaba y sólo me la compró 1 persona.
-Puse otra guía de una técnica sexual secreta y... ¡Me la compraron 27 personas, la mayoría con el hilo ya cerrado!
No digo que la técnica sexual fuera una estafa, funciona y la verdad que muy bien, pero se vendió más por el morbo del sexo que por otra cosa.


Sí, me acuerdo de esa guía y del cachondeo que se armo.... Qué como dices, seguro que algunos de esos te compro la guía poco después...

Pasame sus correos que tengo mas de 50 chicas por webcam :mola:
 

Jota Marquez

Administrador
Miembro del equipo
Usuario de Piedra
Usuario de Bronce
Mensajes
4,255
Puntuación de reacción
161
Todo está planeado y no es solo uno quien vende la guía... Hay unos cuantos, ¡je! Al igual que pasa con gente que se vende por promocionar hostings, empresas CPA, etcétera... Y hace muy poquito puse un buen ejemplo de alguien que vendió en zona de negocios y que hasta el día de hoy, cosa que está prohibido, por falta de mensajes... y no pasó nada por ser un buen amiguete :p

¡OJO!

A mí me la pela...

Pero me pongo a pensar y me digo...

SERÁN GILIPOLLAS!!

Dime quien es ese que hace negocios sin tener los mensajes por ser "amigos", ya que teoricamente el foro lo limita automáticamente.
Respecto al tema de las guias, la mayoria son basuras, pero siempre hay alguien que si vende algo interesante, aunque luego se joda como dice @maestrodellaves.
 

xtremmetal

Cobre
Usuario de Bronce
Mensajes
928
Puntuación de reacción
0
Dime quien es ese que hace negocios sin tener los mensajes por ser "amigos", ya que teoricamente el foro lo limita automáticamente.
Respecto al tema de las guias, la mayoria son basuras, pero siempre hay alguien que si vende algo interesante, aunque luego se joda como dice @maestrodellaves.

José, estoy hablando por mi, vamos, dando mi opinion... Como comprenderás, no tengo acceso a esas guías y menos a los usuarios.

Me puedo equivocar, claro está. Y estoy seguro de que alguna guía cumple con los requisitos.
 
Arriba