¿Cuánto vale tu contraseña?- Experimentos de Ingeniería Social
La importancia de los passwords y la seguridad no es algo que voy a poner en tela de juicio en este post. Incluso ya escribí mis opiniones al respecto anteriormente.
Pero del dicho al hecho hay una distancia importante y, aunque es de creerse que en el ámbito empresarial la gente está más educada que en el hogareño respecto a la seguridad, no siempre es tan así. La realidad es que hay un gran déficit en cualquier contexto respecto a la concientización en seguridad. Y hoy quiero contarles sobre dos experimentos diferentes que se realizaron para medir cuánto las personas consideran primordial la seguridad.
primer experimento
Según cuenta The Register en Office workers give away passwords for a cheap pen los organizadores de la feria Infosecurity Europe 2003 hicieron una encuesta informal, sobre una muestra de unos pocos trabajores, referente a un aspecto básico en lo que a seguridad informática se refiere — la contraseña de su ordenador.
Conclusiones estilo dilbert: un 90% de los encuestados reveló su contraseña a cambio de un bolígrafo barato. El 95% de los hombres y el 85% de las mujeres mostraban predisposición a revelar la contraseña con sólo pedírselo. Si en una batería de preguntas se incluía la que específicamente interrogaba cuál era su contraseña, en el 75% de los casos contestaban al momento y sin miramientos.
En este último caso si inicialmente rechazaron contestar a la pregunta pasaban a otra ronda de rudimentarias técnicas de ingeniería social en el que inicialmente no tenían que revelar la contraseña, sino tan sólo indicar en qué se basaba (es el nombre de mi hija) para con otra pregunta o através de otro y de manera indirecta (¿cómo se llama su hija?) pescar a otro 15% de los encuestados.
A esto se suma que el 80% de los encuestados afirmó que se llevaría información confidencial si se cambiase de trabajo y que el 75% si se encontrase un archivo con los sueldos de sus compañeros lo cotillearía para luego, en el 38% de los casos, compartirlo con el resto de la oficina.
segundo experimento,
Ingeniería social vía memorias USB
Durante una auditoría de seguridad informática en una empresa que se dedica a conceder créditos en la que los responsables de ésta se mostraron especialmente preocupados por el factor humano y lo fácilmente que en el pasado sus empleados habían revelado claves o compartido información, así como el riesgo de seguridad que suponen las memorias USB, la gente de Dark Reading, la empresa que llevó a cabo la auditoría, consiguió entrar en los sistemas y averiguar todo tipo de información utilizando un truco tan sencillo.
Para ello cogieron veinte memorias USB de propaganda, las llenaron con archivos de varios tipos, incluyendo un troyano que una vez ejecutado en un ordenador empezaría a enviar información a los ordenadores de Dark Reading, y los fueron dejando «olvidados» en el aparcamiento, zonas de fumadores y otros sitios de la empresa bajo auditoría.
De las veinte memorias, quince fueron encontradas por empleados de la empresa en cuestión, y las quince terminaron por ser enchufadas en ordenadores conectados a la red de la empresa, ordenadores que en seguida empezaron a enviar datos a Dark Reading que les permitieron entrar en sus sistemas sin ningún problema.
Y eso que los empleados de la empresa estaban sobre aviso de que estaba teniendo lugar la auditoría de seguridad; parece claro que los responsables hacían bien en estar preocupados por el riesgo que suponen las memorias USB.
La historia completa está en Social Engineering, the USB Way.
Lo más sorprendente del método utilizado es el bajísimo riesgo que supone para el que lo quiera utilizar, ya que basta con dejar algunas memorias de esas por ahí desperdigadas, sin tan siquiera tener que acercarse a un ordenador y si me apuras tan siquiera sin entrar en la empresa, y confiar en que la curiosidad de la gente termine por hacer el resto, como sucedió en este caso.
Hace años el mítico Kevin Mitnick ya había utilizado un truco similar a este para infiltrarse en los sistemas de una empresa, en este caso dejando un diskette con el software malicioso en uno de los baños de ejecutivos… pero es que ya nadie usa diskettes ;-)
Probablemente a ningúno de ustedes se les ocurriría, al encontrarse un USB, utilizarlo primero en una Pc fuera de riesgo (llámese un cyber café) y formatear el dispositivo. Sin embargo, no sería una mala práctica.
Estas experiencias están enmarcadas en técnicas que involucran a la Ingeniería Social. Ésta, consiste en manipular al usuario para lograr que éste, o bien brinde la información necesitada o ejecute una acción deseada. Si prestan atención, no hay robo de información ni un acto delictivo explícito por parte del “atacante” en estos hechos. Incluso es la misma víctima quién termina siendo el principal complice del delito.
Kevin Mitnick, (es uno de los ingenieros sociales mas conocidos) postula que la Ingeniería Social se basa en cuatro principios, que resultan muy interesantes para entender mejor:
* Todos queremos ayudar.
* El primer movimiento es siempre de confianza hacia el otro.
* No nos gusta decir No.
* A todos nos gusta que nos alaben.
En fin, no está mal que querramos ayudar, o que nos guste confiar, pero todos estos actos, hay que hacerlos en un marco de conocimiento y conciencia. Caso contrario, las probabilidades de que seamos víctimas de algún ataque informático, son mayores de las que creemos.
FUENTE: