La Ingenieria Social - McAfee

Troyanos

,

falsos clic y anuncios

de dinero fácil son algunos de los

vectores utilizados por los creadores

de malware para aprovecharse de

los usuarios de Internet

IngenIería socIal

la principal amenaza de

seguridad del mundo

McAfee Security Journal otoño 2008 Redactor jefe Dan sommer Colaboradores anthony Bettini Hiep Dang Benjamin edelman elodie grandjean Jeff green aditya Kapoor rahul Kashyap Markus Jacobsson Karthik raman craig schmugar Estadísticas Toralv Dirro shane Keats David Marcus François Paget craig schmugar Ilustrador Doug ross Diseño PaIr Design, llc Agradecimientos

Muchas personas han contribuido a la creación de este número de McAfee

Security Journal. citaremos únicamente

algunos de los colaboradores más destacados: los directivos de Mcafee, Inc. y Mcafee avert labs que han prestado su apoyo a esta creación; nuestro equipo de revisores—carl Banzhof, Hiep Dang, David Marcus, craig schmugar, anna stepanov y Joe Telafici; nuestros autores y sus jefes y compañeros que les han aportado sus ideas y comentarios; los especialistas en marketing cari Jaquet, Mary Karlton, Beth Martinez y Jennifer natwick; el especialista en relaciones públicas Joris evers, su equipo internacional y red consultancy ltd.; nuestra agencia de diseño, Pair Design; nuestra imprenta, rr Donnelley, y Derrick Healy y su equipo en nuestra oficina de localización de cork, Irlanda, que ha coordinado la traducción de esta publicación a muchos idiomas. ¡gracias a todos; esta publicación no sería una realidad sin vuestra inestimable contribución! Dan sommer

redactor jefe

¿le ha gustado? ¿no le ha gustado? envíe sus comentarios a

[email protected].

índice

4 Los orígenes de la ingeniería social Desde el caballo de Troya de la odisea hasta el phishing en Internet: el eterno engaño. Hiep Dang 9 Pedid y se os dará la psicología de la ingeniería social:

¿Por qué funciona? Karthik Raman

13 Ingeniería social 2.0: ¿Y ahora qué? el fraude del clic se vislumbra como una de las amenazas más importantes que deberemos afrontar en el futuro cercano. Markus Jakobsson

16 Los Juegos Olímpicos de Pekín: Un objetivo perfecto para el

malware de ingeniería social los Juegos olímpicos, junto con otros grandes eventos, constituyen una atracción irresistible para los creadores de malware. Elodie Grandjean

22 Vulnerabilidades en los mercados de valores ¿Pueden los piratas

informáticos obtener ganancias del Martes de parches y otras noticias de las empresas? Anthony Bettini

28 El futuro de los sitios de redes sociales la afluencia de usuarios y dinero convierte a los sitios sociales en un objetivo más del malware. Craig Schmugar

31 La nueva cara de las vulnerabilidades Trucos de ingeniería social pueden empujar a los usuarios a agujeros de software. Rahul Kashyap

34 Typosquatting: Aventuras involuntarias de navegantes

el navegante imprudente puede acabar en el lugar equivocado. Benjamin Edelman

38 ¿Qué ha sido del adware y el spyware? Una legislación más severa

puede haber apaciguado el adware, pero los programas potencialmente no deseados (PUP) y troyanos siguen entre nosotros. Aditya Kapoor 44 Estadísticas ¿cuál es el riesgo para los dominios de primer nivel?

Bienvenido al primer número de nuestra revista de seguridad

McAfee Security Journal. aunque lo llamamos "primer número", en realidad no es la primera vez que realizamos esta publicación. le hemos cambiado el nombre; hasta ahora era Análisis de amenazas globales (gTr). en McAfee Security Journal, observará la actitud crítica de siempre, junto a todo el contenido dinámico que puede esperar de los mejores investigadores y autores en el campo de la investigación de la seguridad informática: los especialistas de Mcafee® _avert® _{labs. en este número, abordamos el vector de}

ataque más insidioso e invasivo de todos: la ingeniería social. ¡Tibet libre! ¡Nuevas imágenes de la III Guerra Mundial! ¡Secretos para evadir impuestos! ¡Nuevas tecnologías para ahorrar electricidad! ¡Medicinas a buen precio a través de Internet! y la lista podría seguir, pero creo que ha quedado claro. ahora más que nunca el envío de mensajes seductores que lleguen a las víctimas potenciales es clave para el éxito de los desarrolladores de malware y los ladrones de identidad. sin embargo, el uso de la ingeniería social como método de estafa no es precisamente nuevo: existe desde que los humanos se comunican. Tú tienes algo que yo quiero. Te convenzo para que me lo des o para que hagas lo que yo quiero. el factor humano hace de la ingeniería social una de las amenazas más difíciles de combatir. es posible que la forma más fácil de apoderarse de la identidad de otra persona sea simplemente pedírsela.

Todas las técnicas de ingeniería social —estafas Ponzi, timos, estafas piramidales, fraudes sencillos, phishing o spam —siguen patrones similares. ya sean físicas o digitales, todas tienen elementos en común. comparten el mismo objetivo y en muchos casos incluso emplean las mismas técnicas. Todas pretenden manipular a las víctimas aprovechando un “fallo” en el hardware humano. Todas crean escenarios especialmente diseñados para convencer a las víctimas de que divulguen determinada información o realicen una acción concreta.

Hemos reunido a otro destacable grupo de investigadores y autores para analizar este tema y documentarlo para nuestros lectores. Incluso hemos incorporado una novedad a nuestra revista: será la primera vez que contamos con colaboradores invitados. empezamos con dos de los mejores: el Dr. Markus Jacobsson del centro de investigación Palo alto research center y el profesor Benjamin edelman de la universidad de estudios empresariales Harvard Business school.

empezaremos con una mirada retrospectiva a la historia del engaño. a continuación, analizaremos el trasfondo psicológico de este tipo de ataques. Después examinaremos la posible evolución de la ingeniería social en los próximos años. los Juegos olímpicos de Pekín de 2008 han terminado, y una vez más los autores de malware han intentado engañar a los aficionados para que visitaran sitios Web falsos. ¿se puede ganar dinero en la bolsa programando eventos como los Martes de parches de Microsoft o falsificando noticias de empresas? en nuestra exhaustiva investigación hallarán una respuesta. ¿y qué ocurrirá a partir de ahora con los sitios de redes sociales? ¿se reforzará la seguridad o están condenados a convertirse en objetivos fáciles debido a un exceso de confianza de los usuarios? Vamos a ver también cómo atacan los creadores de malware algunas vulnerabilidades del software y cómo aprovechan los errores cometidos al escribir el nombre de los sitios Web, técnica conocida como typosquatting. nuestro artículo final dará una respuesta a la pregunta “¿Qué ha pasado con el adware y el spyware?” Terminaremos con algunos datos estadísticos que muestran cómo varía el porcentaje de amenazas dirigidas a dominios de nivel superior en todo el mundo. esperamos que encuentre este número tan interesante e inquietante como nosotros. gracias por acompañarnos de nuevo en nuestro viaje a las profundidades de la seguridad informática.

Jeff Green es Vicepresidente primero de Mcafee

avert labs y del departamento de Desarrollo de productos. es responsable a nivel mundial de toda la organización de investigación de Mcafee, que se extiende por los continentes americano, europeo y asiático. su tarea es supervisar los equipos de investigación que se ocupan de los virus, ataques dirigidos y ataques de piratas, spyware, spam, phishing, vulnerabilidades y parches, así como de las tecnologías de detección/prevención de intrusiones en hosts y redes. además, green lidera la investigación sobre seguridad a largo plazo con el fin de garantizar que Mcafee vaya siempre un paso por delante de las amenazas emergentes.

el debut de "Mcafee

security Journal"

Popularizada por Kevin Mitnick (posiblemente el ingeniero social más tristemente famoso de la era informática moderna), la ingeniería social es en esencia el arte de la persuasión: convencer a las personas para que revelen datos confidenciales o realicen alguna acción. aunque el término ingeniería social es relativamente nuevo, las técnicas y filosofías que la sustentan están presentes desde los albores de la humanidad. existen historias de engaño y manipulación en muchas páginas de la historia, el folclore, la mitología, la religión y la literatura.

Prometeo: ¿el Dios de la ingeniería social?

según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería social es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a creer que podía engañar a Zeus, el mayor de los dioses. en la Teogonía y Trabajos y días, el poeta épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas y sus astutos ardides. se le atribuye la creación del hombre, modelado a partir de barro. en lo que se conoce como el "engaño de Mecona", Prometeo presentó a Zeus dos ofrendas para dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el interior de su estómago, la otra era el esqueleto del buey cubierto con brillante grasa. la una era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligió la última y, como consecuencia, en lo sucesivo la humanidad debería sacrificar a los dioses sólo huesos y grasa, conservando la carne para sí. enojado por el engaño de Prometeo, Zeus castigó a los mortales quitándoles el fuego. sin embargo, en un acto

más de ingeniería social contra Zeus, Prometeo robó “el brillo que se ve de lejos del infatigable fuego en una hueca cañaheja” del monte olimpos y se lo legó a los hombres. como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada día llegaba un águila que le comía el hígado; por la noche éste le volvía a crecer. como castigo para los hombres, Zeus creó a la primera mujer, Pandora, quien portaba un ánfora que ella abrió por curiosidad, liberando incontables plagas.

el ataque de phishing de Jacob y rebeca

Del antiguo Testamento proviene la historia de Jacob y su madre rebeca, quien utilizó una técnica de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a la víctima que el atacante es alguien diferente. el padre de Jacob y esposo de rebeca, Isaac, se quedó ciego en los últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijo mayor, esaú: “tráeme caza y prepárame un buen guisado como a mí me gusta y tráemelo para que yo coma y que mi alma te bendiga antes que yo muera.” (génesis 27:2-4.) como quería que fuera Jacob en lugar de esaú el que recibiera las bendiciones de Isaac, rebeca concibió un plan. Jacob, reacio al principio, dijo: "esaú mi hermano es hombre velludo y yo soy lampiño. Quizá mi padre me toque, y entonces seré para él un engañador y traeré sobre mí una maldición y no una bendición.” (génesis 27:11-12.) Para engañar a Isaac y hacerle creer que estaba con esaú, rebeca preparó la comida de Isaac, vistió a Jacob con las mejoras ropas de esaú y le puso piel de cabrito en las partes lampiñas de las manos y el cuello. Jacob le entregó la comida a Isaac, superó la prueba de autenticación y consiguió las bendiciones que debían ser para esaú.

sería difícil hoy en día leer un artículo de prensa o un libro sobre

seguridad informática sin que apareciera el término ingeniería

social más de una vez.

los orígenes de la

ingeniería social

sansón y Dalila: espionaje a sueldo

sansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. el secreto de su fuerza estaba en su largo cabello. estando en gaza, sansón se enamoró de Dalila. los filisteos la convencieron para que averiguara el secreto de la fuerza de sansón a cambio de 1.100 monedas de plata. “Persuádelo, y ve dónde está su gran fuerza, y cómo podríamos dominarlo para atarlo y castigarlo. entonces cada uno de nosotros te dará 1.100 monedas de plata.” (Jueces 16:5.) sansón se resistió

a desvelar su secreto antes de sucumbir a su capacidad de persuasión. así que ella le dijo: “¿cómo puedes decir: 'Te quiero,' cuando tu corazón no está conmigo?” “Me has engañado tres veces y no me has declarado dónde reside tu gran fuerza.” Finalmente, tras insistir y acosarlo día y noche, se rindió. De modo que le dijo: ”nunca ha pasado navaja sobre mi cabeza, pues he sido nazareo para Dios desde el vientre de mi madre. si me cortan el cabello, mi fuerza me dejará y me debilitaré y seré como cualquier otro hombre.” (Jueces 16:15–17.) en cuanto sansón se durmió, Dalila se aprovechó de su vulnerabilidad y le cortó el pelo. Debilitado como quedó, los filisteos prendieron a sansón, le sacaron los ojos, lo encadenaron y encarcelaron para siempre.

el primer caballo de Troya

la historia del caballo de Troya, famosa gracias a la obra épica del poeta griego Homero, la Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaños de ingeniería social más inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no pudieron derribar las murallas que circundaban la ciudad. el astuto guerrero griego Ulises concibió una estratagema para inducir a los troyanos a creer que los griegos habían abandonado el asedio de la ciudad. los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera junto con un soldado griego llamado sinón. Tras ser capturado por los troyanos, sinón les dijo que los griegos habían dejado el enorme caballo de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo habían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad, ya que ello les traería mala suerte a los griegos. el relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisos de casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera jamás, y de laocoonte, un sacerdote troyano, quien en la Eneida exclamó:

la falta de juicio de los troyanos fue su perdición. esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejército. gracias a la ingeniosa táctica de ingeniería social ideada por Ulises, los griegos derrotaron a los troyanos.

el caballo de Troya actual

cuando Ulises trazó su plan para infiltrarse en Troya, poco imaginaba él que estaba sentando un precedente para los siglos venideros. el tipo de malware más frecuente que se encuentra en la actualidad, el término "caballo de Troya" electrónico lo acuñó Daniel edwards de la agencia de seguridad nacional de estados Unidos en los años setenta. edwards le puso ese nombre por la técnica de ingeniería social utilizada por los griegos. antes de Internet, los usuarios de Pc que querían compartir archivos de software lo hacían mediante dispositivos físicos (como discos flexibles o unidades de cinta) o conectándose a los sistemas de tablón de anuncios (BBs). los piratas informáticos con fines malintencionados se dieron cuenta enseguida de que podían inducir a los usuarios a ejecutar un código malintencionado sencillamente disfrazándolo como un juego o una utilidad. Debido a la simplicidad y efectividad de los troyanos, los

creadores de malware todavía emplean esta técnica de ingeniería social siglos después. en la actualidad, el número de usuarios de Pc que se dejan infectar con troyanos es alarmante. les atrae la tentación de la música, los vídeos, el software gratuitos y los simpáticos mensajes electrónicos de anónimos “seres queridos”.

“¡Oh miserables ciudadanos! ¡Qué locura tan grande!

¿Qué increíble locura es ésta?

¿Pensáis que se han alejado los Griegos de vuestras costas?

¿Así conocemos a Ulises?

O en esa armazón de madera,

hay gente aqui va oculta,

o se ha fabricado en daño de nuestros muros,

con objeto de explorar nuestras moradas y dominar desde

su altura la ciudad,

o algún otro engaño esconde.

Un timo actualizado

el fraude del pago por adelantado, más conocido como timo nigeriano (timo 419), ha circulado durante décadas y sigue siendo uno de los tipos de spam más prolíficos. el número “419” hace referencia a la sección del código Penal de nigeria

que prohíbe esta práctica. esta táctica de ingeniería social de “enriquecimiento rápido” llegó en forma de carta y empezó a distribuirse por correo postal en los setenta. el timo evolucionó hacia faxes no solicitados en los ochenta y, en la actualidad, se envía casi exclusivamente a través del correo electrónico. sus orígenes se remontan al siglo dieciséis, cuando se conocía como el timo del prisionero español. el plan es bien sencillo: se informa a una víctima ingenua sobre un prisionero español enormemente rico que necesita ayuda para ser liberado. este por así llamarlo

prisionero contaba con que el estafador recaudaría la cantidad necesaria para el rescate. el estafador abordaba a la víctima contándole la historia y “permitía” que él o ella le ayudaran con una parte de la recaudación de fondos, bajo la promesa de enormes ganancias. Hoy conocemos numerosas variantes de la carta, pero el concepto es el mismo. el timo nigeriano atrae a sus víctimas con la tentadora promesa de un pago multimillonario a cambio de una “inversión” de sólo unos pocos miles de dólares. aunque la mayoría de los receptores comprenden que la oferta es demasiado buena para ser cierta, aproximadamente un 1% de los destinatarios acaba respondiendo. según los servicios secretos de ee. UU., los timadores estafaron a sus víctimas una media de 100 millones de dólares anuales.

Figura 1: La frecuencia de malware y programas potencialmente no deseados (PUP) en los archivos de firmas de McAfee ha tenido varios momentos álgidos en la última década. En 1998 entraron en escena los generadores de virus; en 2003 y 2004 se popularizaron los remitentes de correo masivo; en 2004 y 2005 aumentaron las redes de bots y en 2006 y 2007 despegaron los troyanos. 0 10 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 Virus y bots Troyanos PUP 20 30 40 50 60 70 80 90 100 110 120 130 140

Crecimiento del malware y los programas PUP

Figura 2: Los informes sobre phishing muestran un crecimiento sostenido y el número de nuevos sitios de phishing se ha incrementado espectacularmente en los dos últimos años. (Fuente: Anti-Phishing Working Group)

Informes de nuevos casos de phishing Nuevos sitios de phishing

Informes sobre casos de phishing

En miles

0 10

Nov de

2003 Mayo de 2004 Nov de 2004 Mayo de 2005 Nov de 2005 Mayo de 2006 Nov de 2006 Mayo de 2007 Nov de 2007 20 30 40 50 60

Phishing

el término phishing fue acuñado por los piratas informáticos. Proviene de fishing (pesca) porque esta técnica de ingeniería social engaña a sus víctimas para que desvelen sus nombres de usuario, contraseñas, números de tarjeta de crédito y otros datos personales. en los años noventa, muchos piratas informáticos se aprovecharon de las ofertas de prueba gratuita del servicio de Internet de america online (aol) utilizando números falsos de tarjetas de crédito generados automáticamente, que no se correspondían con cuentas reales. Después de que aol mejorase su seguridad y las pruebas de validación de tarjetas de crédito para garantizar que los números de dichas tarjetas fueran legítimos, los malhechores se lanzaron a la búsqueda de nombres

de usuario y contraseñas reales para introducirse en las redes de aol. empezaron enviando correos electrónicos y mensajes instantáneos falsos que parecían proceder del servicio técnico de aol. Muchas víctimas desprevenidas facilitaron sus datos y a continuación se les facturaron actividades y compras que los piratas informáticos realizaron en sus cuentas. los cibercriminales enseguida se dieron cuenta del margen potencial de beneficios y la tasa de éxito de tales ataques y dirigieron sus miradas a las empresas (bancos, eBay, amazon y otras) que realizaban transacciones comerciales electrónicas.

la historia se repite

ya se llame ingeniería social, artimañas, estafas, sesgos cognitivos o timos, el concepto de aprovecharse de la ingenuidad y la confianza de una persona es tan frecuente en la actualidad como lo ha sido desde los albores del tiempo. si se pregunta a expertos en seguridad, convendrán que las personas somos el eslabón más débil de la cadena de seguridad. Podemos desarrollar el software más seguro que exista para proteger nuestros equipos, implantar las directivas de seguridad más restrictivas e intentar lograr la utópica educación del usuario. sin embargo, mientras sigamos dejándonos arrastrar por la curiosidad y la codicia sin preocuparnos de las consecuencias, correremos el riesgo de sufrir nuestra propia versión de una tragedia troyana.

El progreso no consiste en cambio, sino que depende de la capacidad de retentiva. Cuando el cambio es absoluto, no quedan restos que mejorar ni dirección que definir para la posible mejora: y cuando la experiencia no se retiene, como ocurre entre salvajes, la infancia es perpetua. Aquellos que no recuerdan el pasado, están condenados a repetirlo.—George Santayana, en “La razón en el sentido común”, de “La vida de la razón o fases del progreso humano”.

BIBLIOGRAfíA

• anderson, J. P. (1972). Computer Security Technology Planning Study vol. II. (estudio sobre planificación de tecnología para la seguridad informática) U.s. air Force. • Farquhar, M. (2005). A Treasury of Deception. (Un tesoro de mentira) new york:

The Penguin group.

• Hesíodo (1914) Teogonía. (Traducción de a. Pérez Jiménez) • Hesíodo (1914) Trabajos y días. (Traducción de a. Pérez Jiménez) • Homero. La Ilíada. (Traducción de e. crespo)

Hiep Dang es director del departamento de

Mcafee avert labs encargado de la investigación de las aplicaciones de malware. es el responsable de la coordinación del equipo mundial de investigadores de malware de Mcafee dedicado a la investigación, análisis y respuesta a los brotes de malware, incluyendo virus, gusanos, troyanos, bots y spyware. Dang escribe regularmente en los blogs y libros blancos de avert labs y en la publicación McAfee

Security Journal. Ha sido entrevistado por el Wall Street Journal, MsnBc, PC Magazine y otras muchas

publicaciones y medios sobre las nuevas amenazas y las tendencias del malware. además, Dang práctica con entusiasmo el Kung Fu de la Mantis religiosa del norte Wah lum Tam Tui y el Tai chi. en la actualidad se encuentra en un paréntesis de su vida como formador concentrándose en la industria de la seguridad informática.

• Mitnick, K. (2002). The Art of Deception. (el arte del engaño) Indianapolis, Indiana: Wiley Publishing.

• Myers, M. J. (2007). Phishing and Countermeasures. (el phishing y las medidas para combatirlo) John Wiley & sons, Inc.

• santayana, g. (1905). La vida de la razón o fases del progreso humano, editorial Tecnos • Virgilio (1993). La Eneida. (Traducción de J. de echave sustaeta)

Historia de la seguridad informática

Figura 3: Cronología de los principales eventos de ingeniería social.

John von Neumann publica su teoría del autómata autorreproductor.

Dr. El Dr. Frederick Cohen publica “Virus Informáticos: teoría y experimentos” y reconoce a Leonard Adleman acuñando el término virus informático.

En la actualidad, McAfee Avert Labs protege a sus clientes contra virus, gusanos, troyanos, spyware, programas PUP; vulnerabilidades, spam, phishing, dominios malignos, intrusiones de red e intrusiones en host. Se publica en ARPANET

Creeper (el primer virus informático).

Se concibe el primer ataque de phishing para robar contraseñas de usuarios de AOL.

Se crea INTERNET a partir de ARPANET.

La película “Juegos de guerra” dramatiza sobre las consecuencias de la piratería. Hace aparición el spam (correo electrónico no solicitado), poco después de que el público tuviera acceso a Internet.

Comienzan a aparecer caballos de Troya en sistemas BBS.

Se crea el primer sistema de tablón de anuncios (BBS) público.

Kevin Mitnick publica “The Art of Deception” (El arte del engaño), en el que describe su dominio de la ingeniería social.

Aparece Brain (el primer virus para PC). Aparece Elk Cloner (el

primer virus para Apple).

Aparece el gusano Morris (el primer virus que se autorreplica).

John Draper (alias Cap’n Crunch) descubre que un silbato de juguete que venía en una caja de cereales permite utilizar la red telefónica de forma ilegal.

Spyware y adware se convierten en términos de uso común. Se crea ARPANET (precursor de

Internet).

McAfee Avert Labs se convierte en el primer equipo de respuesta de emergencia antivirus internacional de la industria.

Se crea el correo electrónico.

los clientes recibieron un correo electrónico supuestamente procedente del nordea Bank, y 250 descargaron e instalaron el software “antispam” tal como se les pedía en el mensaje. en realidad, el software antispam era un troyano que recababa información de los clientes y que los delincuentes utilizaban para conectarse al sitio Web del banco y robar dinero1_.

según un principio de seguridad universal, las personas son el punto débil de todo sistema de seguridad. si bien los ataques contra la seguridad y las medidas de protección desarrolladas para responder a dichos ataques siguen evolucionando, la naturaleza humana permanece inalterable. Para un agresor informático, la ingeniería social es más eficaz y ofrece resultados más rápidos que efectuar un ataque de fuerza bruta en algoritmos de cifrado, realizar pruebas con datos aleatorios para detectar nuevas vulnerabilidades de software o aumentar la complejidad del malware. Para los autores del fraude del nordea Bank era más sencillo pedir a los clientes del banco que instalaran un troyano que entrar en una cámara acorazada para robar dinero. somos crédulos, codiciosos y curiosos, lo que significa que los ingenieros sociales pueden manipular nuestros sentimientos y pensamientos. nos piden algo y muy a menudo se lo damos. Pero, ¿por qué nos comportamos de este modo?

en un estudio pionero sobre la psicología de la seguridad, el prestigioso experto en seguridad Bruce schneier identificó cuatro áreas de investigación—economía del comportamiento, psicología de la toma de decisiones, psicología del riesgo y neurociencia—que pueden ayudar a explicar por qué nuestra sensación de seguridad difiere de la realidad2_{. esta edición de Mcafee security Journal y}

este artículo en concreto se centran en un aspecto de la seguridad: la ingeniería social. en este análisis, recurriremos a la neurociencia, la psicología de la toma de decisiones y la psicología social básica para analizar por qué nos dejamos embaucar por la ingeniería social sin percatarnos del engaño.

Dos cerebros

el cerebro humano es posiblemente el sistema más complejo del universo. Parte de su complejidad radica en su complicada estructura e intrincada interacción de subsistemas.

en el cerebro, las emociones parecen emerger de las partes internas más antiguas, como la amígdala, y el razonamiento de las partes externas más recientes, como el neocórtex3_{. Pero los centros}

de la emoción y la razón no son mutuamente excluyentes, como observó Isaac asimov en su libro El cerebro humano4_:

Según parece, las emociones no surgen de una pequeña parte del cerebro en particular, sino que muchas partes, incluidos los lóbulos frontal y temporal del córtex, participan en una interacción compleja.

las partes del cerebro responsables de la emoción y la razón a veces pueden actuar en convergencia o en divergencia. ese es el motivo por el que nos resulta difícil mantener separadas razón y emoción, y por el que le resulta fácil a la emoción imponerse a la razón cuando ambas se contradicen.

examinemos cómo nos enfrentamos al miedo, por ejemplo. al analizar cómo reaccionamos ante un peligro inminente, el escritor científico steven Johnson señala que la respuesta al miedo es “una combinación orquestal de instrumentos psicológicos que se suceden con una velocidad y precisión magistrales”5_:

Es lo que en lenguaje llano denominamos respuesta de lucha o huida. Sentir como se activa es uno de los mejores modos de percibir el cerebro y el cuerpo como un sistema autónomo que funciona independientemente de la voluntad consciente. cuando volvemos a experimentar las condiciones que

desencadenaron una respuesta de lucha o huida en el pasado, nos rendimos a la respuesta emocional aunque podamos pensar de forma objetiva que la respuesta no está fundamentada.

en enero de 2007, un grupo de ciberdelincuentes recurrió a

tácticas de ingeniería social para cometer el fraude online más

importante del mundo del que se tienen datos: el robo de

877.000 euros de clientes del banco sueco nordea Bank.

Pedid y se os dará

Políticos deshonestos, espías y estafadores saben que apelar a las emociones —especialmente al miedo— para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. los ingenieros sociales mantienen viva esta tradición.

Teorías de la ingeniería social

Manipulación de las emociones

Muchos ingenieros sociales se centran en las emociones de miedo, curiosidad, codicia y compasión. es un hecho arraigado que estas emociones son universales; en algún momento, todos sentimos miedo o curiosidad o nos dejamos llevar por la codicia o la compasión.

el miedo y la curiosidad son útiles en muchas situaciones. escapar de un edificio en llamas es algo positivo. la curiosidad puede ayudar a motivarnos y aprender algo nuevo. aún así, actuar movidos por el miedo o la curiosidad puede empujarnos a hacer cosas peligrosas o no deseadas6_.

algunos ataques pueden perpetrarse incluso sin que el ingeniero social esté presente, manipulando la curiosidad de una víctima. en abril de 2007, se dejaron en un aparcamiento de londres varias unidades UsB infectadas con un troyano bancario. los que no pudieron resistir la tentación de saber qué contenían esas unidades, probablemente contentos por hacerse con un dispositivo de almacenamiento gratis, conectaron las unidades a sus equipos y los infectaron de malware7_.

los delincuentes que amenazan o chantajean a sus víctimas manipulan su miedo. el troyano gPcoder.i, que hizo su aparición en junio de 2008, es un ejemplo de malware que manipulaba el miedo: cifraba los archivos de los usuarios y exigía un rescate a cambio de descifrarlos8_{. De igual forma, los delincuentes que}

sobornan a sus víctimas manipulan su codicia y los que fingen necesitar ayuda, su compasión.

Atajos mentales erróneos

en ocasiones, los ingenieros sociales apelan a un elemento externo a nuestras emociones. Intentan alterar nuestras reglas mentales de procesamiento de la información, conocidas como heurística o reglas generales.

si bien hay que admitir que nuestra heurística es falible, también hay que decir que no podemos funcionar sin ella. nuestras vidas serían demasiado complicadas si tuviéramos que analizar detenidamente todo lo que percibimos, decimos o hacemos. necesitamos desespe radamente nuestros atajos mentales. el psicólogo robert cialdini explica esta necesidad9_:

No se puede pretender que reconozcamos y analicemos todos los aspectos de cada persona, circunstancia y situación con las que nos encontramos incluso en un solo día. No disponemos de tiempo, energía ni capacidad para ello. Debemos recurrir muy a menudo a nuestros estereotipos, nuestras reglas generales, para

clasificar las cosas en función de algunas características clave y luego responder de forma mecánica cuando alguna de estas características de activación se manifiesta.

analicemos cómo los ingenieros sociales pueden provocar en nosotros respuestas automáticas que les beneficien.

Activación de sesgos cognitivos

Un sesgo cognitivo es un error mental causado por una estrategia de procesamiento de la información simplificada10_{. cuando una}

heurística falla, se convierte en un sesgo. los ingenieros sociales transforman nuestra heurística en errores “graves y sistemáticos”11_.

a continuación se describen algunos sesgos cognitivos que pueden explicar la ingeniería social:

• Sesgo de la elección comprensiva recordamos una elección que hemos hecho en el pasado con más aspectos positivos que negativos12_{. Un internauta podría habituarse a comprar}

artículos con descuento en Internet a partir de recomendaciones de amigos. Un simple mensaje de spam podría parecer una recomendación más y llevar al comprador a proporcionar los datos de su tarjeta de crédito a un sitio Web fraudulento.

• _{Sesgo de confirmación recabamos e interpretamos la}

información de modo que confirme nuestros puntos de vista13_{. Veamos un ejemplo hipotético. supongamos que}

acme corporation firma un contrato con Best Printers para el mantenimiento de sus impresoras y que el personal de servicio de Best Printers viste camisa gris de manga larga con placa de identificación. con el tiempo, los empleados de acme se acostumbrarán a ver al personal de servicio de Best Printers con sus uniformes e identificarán a cualquier persona con una camisa gris de manga larga y una placa de identificación como un técnico. Un ingeniero social podría confeccionar o robar un uniforme de Best Printers para hacerse pasar por personal de servicio, y no ser conminado a identificarse debido al sesgo de confirmación de los empleados de acme.

• _{Efecto de exposición nos gustan las cosas (y otras personas)}

según lo familiarizados que estemos con ellas14_{. las noticias}

sobre desastres naturales y provocados por el hombre a menudo dan pie a sitios Web de phishing que se aprovechan

Políticos deshonestos, espías y estafadores

saben que apelar a las emociones

—especialmente al miedo— para provocar

una respuesta emocional es un medio

extremadamente eficaz para lograr sus

fines. Los ingenieros sociales mantienen

viva esta tradición.

de ese sentimiento15_{.las personas expuestas a estas noticias}

podrían ser fácilmente manipuladas para que visiten sitios Web de phishing que afirman guardar algún tipo de relación con estas noticias. Por último, su exposición a las noticias podría hacerles bajar la guardia en relación con la naturaleza maliciosa del sitio Web que están visitando.

• _{Anclaje las personas nos centramos en un rasgo de}

identificación inicialmente manifiesto cuando tomamos decisiones sobre algo16_{.Un sitio Web falso de un banco que}

muestre ostensiblemente el logotipo específico de la entidad puede engañar a los usuarios, aunque haya otros indicadores de seguridad que les alerten del engaño17_.

Provocación de errores en esquemas

los psicólogos sociales definen un “esquema” como la imagen de la realidad que utilizamos como referencia para poder extraer conclusiones sobre nuestro entorno. De niños, aprendemos que tratar bien a los demás es algo bueno. el reputado ingeniero social Kevin Mitnick señala que los agresores lo saben y elaboran una petición para sus víctimas que “parezca tan razonable que no levante sospechas, al tiempo que se valen de su confianza”18_.

Por lo tanto, los ingenieros sociales se aprovechan del diseño de nuestro esquema social.

a continuación se incluye una lista de valoraciones o errores sociales comunes, con ejemplos de cómo los ingenieros sociales se aprovechan de ellos:

• _{Error fundamental de atribución las personas asumimos}

que los comportamientos de los demás reflejan sus características internas estables19_{. Éste es el error de las}

primeras impresiones equivocadas. Un ingeniero social se empleará con diligencia para crear una primera impresión favorable. Un agresor podría mostrarse amable a la hora de hacer una solicitud, o dominante a la hora de coaccionar a sus víctimas para que hagan algo. las víctimas pueden no percatarse de que sus interlocutores son actores y de que su comportamiento es circunstancial, un medio para lograr un fin.

• _{Efecto de saliencia Dado un grupo de personas, tendemos}

a creer que la persona con mayor o menor influencia es la que más sobresale20_{.los ingenieros sociales son expertos en}

mezclarse y confundirse con su entorno, y tratan por todos

los medios de tergiversar el efecto de saliencia en su favor. se pueden hacer pasar por un cliente trajeado o por un guardia uniformado, pero nunca por un malabarista con zancos. la confusión no se limita exclusivamente a la vestimenta y al aspecto: también puede implicar conocer la jerga, anécdotas o empleados de una empresa, e incluso imitar acentos regionales. Un ingeniero social de Madrid que pretenda infiltrarse en una empresa de sevilla, puede saber que “ana” ha vuelto a ser madre o que “Julio” va a dejar la empresa para irse a la competencia, e intercambiar unas palabras al respecto con la recepcionista utilizando acento de sevilla con tal de conseguir acceso a las instalaciones como “técnico de mantenimiento”.

• _{Conformidad, cumplimiento y obediencia respondemos}

a las presiones de conformidad, cumplimiento y obediencia alterando nuestro comportamiento. Muchos ataques de ingeniería social pueden explicarse a partir de las respuestas predecibles de las víctimas a estas presiones. Una ingeniera social podría hacerse pasar por una ejecutiva de visita y persuadir a un joven guardia de seguridad para que la dejara entrar en las instalaciones pese a no llevar placa de identificación. (la promesa de la agresora en forma de recompensa o amenaza de castigo puede suponer otro elemento de presión para el guardia.) el guardia podría sentirse abrumado y obedecer. no se han registrado ataques de ingeniería social en grupo, pero son perfectamente viables. Varios ingenieros sociales podrían hacerse pasar por empleados legítimos e incomodar a una recepcionista hasta conseguir que les dejara entrar en la oficina espetando frases como “no nos haga perder el tiempo” o “Déjenos hacer nuestro trabajo”. la recepcionista simplemente podría dejarles pasar para no ganarse la antipatía de los demás. otra técnica distinta que se sabe que utilizan los espías es relacionarse durante un tiempo con la víctima. el agresor solicita en un primer momento información "inocente" a la víctima y posteriormente intenta sonsacarle información confidencial. la víctima se siente atrapada; presionada para satisfacer la siguiente solicitud, dado su historial de condescendencia, o se arriesga a sufrir algún tipo de chantaje.

NOTAS

1 “Bank loses $1.1M to online fraud” (Un banco sufre pérdidas de 1,1 millones de dólares a causa de un fraude online), BBc (2007).

http://news.bbc.co.uk/2/hi/business/6279561.stm

2 schneier, B., “The Psychology of security” (la psicología de la seguridad), essays and op eds (2007). http://www.schneier.com/essay-155.html

3 Ibid.

4 asimov, I. “el cerebro humano”, Barcelona: ediciones Toray, 1967. 5 Johnson, s. “la mente de par en par: nuestro cerebro y la neurociencia en la

vida cotidiana”, Madrid: ediciones Turner, 2006.

6 svoboda, e. “cultivating curiosity; how to explore the world: Developing a sense of wonder can be its own reward” (cultivar la curiosidad; cómo explorar el mundo: el desarrollo del sentido del asombro puede ser su propia recompensa),

Psychology Today (2006).

http://psychologytoday.com/articles/index.php?term=pto-4148.html 7 leyden, J. “Hackers debut malware loaded UsB ruse” (los piratas estrenan la

estratagema de las unidades UsB infectadas con malware), The register (2007). http://www.theregister.co.uk/2007/04/25/usb_malware/

8 Mcafee VIl: gPcoder.i, 9 de junio de 2008. http://vil.nai.com/vil/content/v_145334.htm

9 cialdini, r. “Influence: The Psychology of Persuasion” (Influencia: la psicología de la persuasión), nueva york: Harpercollins, 1998.

10 Heuer, richard J., Jr. “The Psychology of Intelligence analysis” (la psicología del análisis de la inteligencia), Center for the Study of Intelligence, cIa (2002). http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html

11 Tversky, a. y Kahneman, D. “Judgment under uncertainty: Heuristics and biases” (Juicio ante la incertidumbre: heurística y sesgos), science, 185, 1124-1130 (1974).

http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf 12 Mather, M., shafir, e., y Johnson, M. K. “Misrememberance of options past:

source monitoring and choice” (Distorsión de opciones pasadas: supervisión del origen y elección), Psychological Science, 11, 132-138 (2000).

http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf

13 nickerson, r. s. “confirmation Bias: a Ubiquitous Phenomenon in Many guises” (sesgo de confirmación: un fenómeno ubicuo con muchas formas), Review of

General Psychology, Vol. 2, no. 2, 175-220 (1998).

http://psy.ucsd.edu/~mckenzie/nickersonconfirmationBias.pdf

14 Zajonc, r. B. “attitudinal effects of Mere exposure” (efectos actitudinales de la mera exposición), Journal of Personality and Social Psychology, 9, 2, 1-27 (1968). 15 Kaplan, D. “Virginia Tech massacre may spawn phishing scams” (la masacre de

Virginia Tech puede dar pie a fraudes de tipo phishing), SC Magazine (2007). http://www.scmagazineuk.com/Virginia-Tech-massacre-may-spawn-phishing-scams/ article/105989/

16 Tversky, a. y Kahneman, D. “Judgment under uncertainty: Heuristics and biases” (Juicio ante la incertidumbre: heurística y sesgos), Science, 185, 1124-1130 (1974). Disponible en http://psiexp.ss.uci.edu/research/teaching/ Tversky_Kahneman_1974.pdf.

17 Dhamija, r., ozment, a., schecter, s. “The emperor’s new security Indicators: an evaluation of website authentication and the effect of role playing on usability studies” (los nuevos indicadores de seguridad de emperor: una evaluación de la autenticación de sitios Web y el efecto de los juegos de rol en los estudios de la usabilidad), (2008). http://www.usablesecurity.org/emperor/ 18 Mitnick, Kevin D., simon, William l. “el arte de la intrusión”, México: ra-Ma, 2007. 19 gilbert, D. T., y Malone, P. s. “The correspondence bias” (el sesgo de

correspondencia), Psychological Bulletin, 117, 21–38 (1995). http://www.wjh.harvard.edu/~dtg/gilbert%20&%20Malone%20 (corresPonDence%20BIas).pdf

20 Taylor, s.e. y Fiske, s.T. “Point of view and perception so causality” (Punto de vista y percepción de la causalidad), Journal of Personality and Social

Psychology,, 32, 439-445 (1975).

21 computer security Institute, csI computer crime and security survey (2007). http://www.gocsi.com/forms/csi_survey.jhtml (es necesario registrarse)

conclusión

nuestra susceptibilidad a la ingeniería social tiene su origen en la estructura del cerebro humano, en la compleja interacción entre los centros de la emoción y la razón. la ingeniería social es la manipulación del miedo, la curiosidad, la codicia o la compasión de la víctima. los sesgos y errores cognitivos en nuestros esquemas sociales permiten explicar el éxito de la ingeniería social. entonces, ¿por qué esta información es tan importante para nosotros? en la encuesta anual sobre seguridad y crimen informático (computer crime and security survey) de 2007 realizada por el instituto para la seguridad informática (csI), sólo un 13% de los encuestados manifestó haber comprobado cuán eficaz era la formación de sus empleados frente a los ataques de ingeniería social21_{.aunque un 13% es un cifra baja, la encuesta no incluía a}

los encuestados que no tenían un programa de formación sobre ataques de ingeniería social.

Un paso obvio es crear y mejorar las políticas de seguridad y los programas de formación de los usuarios sobre ingeniería social. cualquier política en materia de ingeniería social resultará más convincente si utiliza estudios científicos que la avalen. asimismo, los materiales formativos de los usuarios también

serán más eficaces si incluyen los sesgos cognitivos que suelen aprovechar los ingenieros sociales, y los vídeos didácticos más provechosos si reproducen ataques que aprovechan cada uno de nuestros sesgos cognitivos.

no podemos cambiar la naturaleza humana. Hemos nacido con nuestras emociones y razón divididas, y somos propensos a cometer errores mentales. esto es normal, pero dicho comportamiento es peligroso bajo el dictado de los ingenieros sociales. si entendemos la psicología de la ingeniería social y formamos a los usuarios para que conozcan sus efectos, podremos defendernos de estos ataques con mayor éxito.

Karthik Raman, cIssP, es científico de

investigación en Mcafee avert labs. sus áreas de investigación incluyen el análisis de vulnerabilidades y la seguridad de redes y software. además de la seguridad, también está interesado en las ciencias cognitiva y social, y en la programación de equipos. Para divertirse, raman juega al cricket, toca la guitarra y estudia idiomas. raman se licenció en Informática y seguridad Informática en la norwich University (Vermont) en 2006.

Markus Jakobsson

Ingeniería social 2.0:

¿y ahora qué?

aunque posiblemente la ingeniería social ha estado entre nosotros

desde los orígenes de la civilización, son muchos los que muestran

su preocupación porque en la actualidad se está transformando y

sembrando el caos en Internet. en este artículo, ofrecemos algunas

previsiones sobre lo que cabe esperar en el futuro.

Parece obvio que la ola de crimeware que vivimos está motivada por los incentivos económicos. la situación actual nada tiene que ver con la que observamos en el pasado. los primeros virus eran sólo una expresión de curiosidad intelectual, competitividad y quizás algo de hastío. esto es especialmente patente en el caso de los fraudes de clic y el phishing. ¿Qué otra motivación se puede encontrar que no sea la de conseguir algo de dinero? (o a veces, incluso mucho dinero.) Igual ocurre con el spam en sus distintos formatos. si los remitentes de spam no ganaran dinero, no habría spam. Por lo tanto, si deseamos prever cuáles serán las tendencias en el futuro, tiene sentido plantearse cómo pueden obtener beneficios los delincuentes mediante el uso fraudulento de las funciones actuales de Internet.

Fraudes en Internet: un delito sociotécnico

cada vez más expertos reconocen que el fraude ya no es únicamente un problema de carácter técnico, sino que existe un componente de ingeniería social que está cada día más presente. el phishing es un buen ejemplo, pero no el único. cada vez son más habituales los ataques de crimeware que dependen de la ingeniería social para su instalación. Un ejemplo reciente es el timo denominado "Better Business Bureau", que se ilustra en la Figura 1. en este ataque de phishing, la víctima potencial recibe un mensaje de correo electrónico que parece proceder de la empresa Better Business Bureau, en relación con una reclamación contra la empresa del destinatario. el adjunto, que supuestamente contiene los detalles de la queja, en realidad incluye un troyano de descarga. y lo que es peor, estos mensajes se suelen enviar a las personas con más responsabilidad en la empresa, normalmente a los encargados de atender las quejas de los clientes a diario.

los defensas configuran los ataques

Desde el punto de vista de los delincuentes, cometer fraudes a través de Internet es una actividad relativamente cómoda y segura. aparte de ser el teletrabajo perfecto para un gamberro, ofrece escalabilidad, alta rentabilidad y le permite en gran medida ocultar su rastro, por lo que el riesgo es mínimo. así que, no es de extrañar que el fraude a través de Internet se haya disparado. Pero, para comprender los ataques, debemos comprender también las defensas. es evidente que en la actualidad la lucha contra los delitos se articula en tres planos diferentes: las herramientas técnicas (como el software antivirus, los filtros para el correo spam y los complementos del navegador para impedir el phishing); las campañas educativas (como las organizadas por FTc, eBay, securitycartoon.com, bancos y el grupo carnegie Mellon University Usable Privacy and security laboratory [cUPs]) y, por último, los medios legales. estos últimos normalmente implican la localización del origen, la requisición de la caja de caudales y, por último, el procesamiento de los responsables. las iniciativas en el campo técnico y educativo, si funcionaran, reducirían la rentabilidad para los delincuentes y, por otro lado, los esfuerzos legales aumentarían el riesgo de sus actividades. estos riesgos son importantes, especialmente si tenemos en cuenta lo fácilmente que escala el fraude a través de Internet. Por lo tanto, no es descabellado pensar que la próxima frontera en la ciberdelincuencia incluirá un componente que dificulte el seguimiento. Tomemos como válido este supuesto e investiguemos qué podría significar en el futuro. Para ello, vamos a considerar dos tipos de ataques muy difíciles de localizar. Hasta la fecha no se ha producido ninguno de ellos, pero ambos están preparados. Pero, en primer lugar, para entender realmente la importancia del aspecto legal, nos saldremos por la tangente y analizaremos por qué el “ransomware” no se convirtió nunca en el desastre que muchos vaticinaban.

el fracaso del ransomware

a finales de la década de los 90, algunos investigadores de la Universidad de columbia afirmaron que la siguiente ola de malware podría intentar secuestrar los archivos de los equipos de las víctimas codificándolos mediante una clave pública incluida en el cuerpo del malware. a continuación, los delincuentes pedirían un rescate a cambio de la clave secreta que proporcionaría acceso a los archivos cifrados. años después, el troyano archiveus realizó un ataque de estas características, aunque con una pequeña diferencia: utilizó criptografía de clave simétrica, en lugar de una clave pública. el ataque se frustró cuando, mediante un proceso de ingeniería inversa del troyano, se extrajo la clave de cifrado/descifrado y se distribuyó a todas las personas que habían sido víctimas del ataque. sin embargo, es posible que el ataque de archiveus nunca hubiera prosperado aunque hubiese utilizado criptografía de clave pública (que, por su naturaleza, habría impedido revertir la ingeniería de la clave de cifrado del código, ya que, en primer lugar, nunca habría estado ahí). el motivo por el que archiveus habría fracasado no es de carácter técnico; sino que es más bien de carácter financiero: los delincuentes no podrían nunca haber recogido el rescate de forma segura sin dejar ningún rastro.

el azote del vandalware

sin perder de vista el ejemplo del ransomware, consideraremos un nuevo tipo de ataque, que podemos denominar "vandalware". no se trata de vandalismo por diversión o rebeldía, sino más bien como medio de conseguir dinero. el delincuente actuaría de la siguiente forma: en primer lugar, seleccionaría una empresa como objetivo y utilizaría técnicas de extracción de datos para obtener el máximo de información sobre los empleados que son vulnerables. entendemos por empleado vulnerable aquel que tiene acceso a datos confidenciales o bien a las páginas de la “fachada” de la página Web de la empresa. a partir de ellos, uno de estos vándalos puede conseguir información de la estructura interna de la empresa, los nombres de los empleados clave y el formato utilizado para las direcciones de correo electrónico. en segundo lugar, el delincuente adquiriría opciones de venta de la empresa. (Damos por supuesto que se trata de una empresa que cotiza en bolsa.) Una opción de venta es un instrumento financiero que aumenta su valor si el precio de la acción correspondiente cae; los inversores y especuladores utilizan las opciones de venta para obtener ganancias cuando disponen de información de que una acción determinada va a perder valor. con toda probabilidad, otros inversores, no sólo el delincuente, comprarían también opciones de venta, especialmente si el volumen de negociación de las acciones de la empresa es considerable. en tercer lugar, el delincuente desencadenaría un ataque contra la empresa, quizás enviando a los empleados seleccionados mensajes falsos como si procedieran de otro empleado, como su jefe: “Hola Juan. Mira las diapositivas de PowerPoint que adjunto y dime qué piensas. si es posible, envíame una evaluación rápida para mañana por la mañana. espero que puedas hacerlo.” o, quizás, de un administrador del sistema: “Hay un nuevo virus informático y nuestros sistemas no disponen aún de los parches necesarios para neutralizarlo. Instalar inmediatamente en vuestros equipos el programa que adjunto. es importante hacerlo cuanto antes.”

¿y qué ocurriría si alguien abriera o ejecutara el archivo adjunto? Pongamos por caso que el mensaje no terminara en la carpeta de spam y que el sistema antivirus no lo detectara, entonces, tendríamos una infección en un equipo con acceso a información confidencial o al sitio Web de la empresa. ¿y qué pasaría si parte de esa información confidencial acabara en Internet, incluso en el sitio Web de la propia empresa? el revuelo sería inevitable y el precio de las acciones se vería afectado. entonces, el delincuente haría efectivas sus opciones de venta, aprovechándose de que conocía de antemano que el precio de las acciones de la empresa iba a descender. su comportamiento no parecería sospechoso, no sería posible localizarlo, ya que todos los inversores con opciones de venta estarían en la misma situación. ¿Quién sería el delincuente? nadie podría decirlo.

Falsificación de clics

el fraude del clic es otro tipo de fraude habitual en Internet. aprovecha el hecho de que cuando un particular hace clic en un anuncio, el anunciante paga una comisión al sitio Web que contiene el anuncio y al portal que proporciona el anuncio al sitio Web. otros tipos de fraude relacionados aprovechan la publicidad en la que se transfiere dinero cuando el particular ve un anuncio de banner, con independencia de lo que haga, y otras modalidades en las que se genera una venta u otra acción cuando alguien ve un anuncio. el objetivo puede ser obtener beneficios económicos de estas transferencias (los delincuentes obtienen ganancias cuando sus sitios Web muestran los anuncios) o agotar el presupuesto para publicidad de sus competidores (cuando éstos son los anunciantes desde los que se transfiere el dinero). con frecuencia, los delincuentes generan tráfico de forma automática, de forma que parezca que personas reales han visto los anuncios. la automatización puede incluir distintas formas de malware, como las redes de bots. otro método habitual entre los delincuentes es contratar a personas para que hagan clic en determinados anuncios; esto se denomina "click farm" (literalmente, "fábrica de clics").

Figura 1: Timo del Better Business Bureau. El mensaje contiene un adjunto infectado que el agresor espera que abra el destinatario.

Reclamación contra BBB Michael Taylor Business Name: Contact: BBB Member: -Contract Issues 2/28/2008

-BBB CASE #569822971

*** Attached you will find a copy of the complaint. Please download and keep this copy so you can print it for your records.***

On February 26 2008, the consumer provided the following information: (The consumer indicated he/she DID NOT received any response from the business.)

The form you used to register this complaint is designed to improve public access to the Better Business Bureau of Consumer Protection Consumer Response Center, and is voluntary. Through this form, consumers may electronically register a complaint with the BBB. Under the Paperwork Reduction Act, as amended, an agency may conduct or sponsor, and a person is not required to respond to, a collection of information unless it displays a currently valid OMB control number. That number is 502-793. © 2008 BBB.org, All Rights Reserved.

<Complaint_569822971.doc> Complaint filed by: Complaint filed against: Complaint status: Category: Case opened date: Case closed date:

a continuación, describiremos cómo se puede utilizar la ingeniería social en una nueva clase de fraude de clic. en primer lugar, empezaremos por explicar el caso más habitual que no constituye un fraude de clic:

• Caso 1 sitio Web estándar. Pensemos en un sitio Web legítimo que proporciona determinados servicios y que muestra anuncios relativos a dichos servicios. los portales de anuncios (por ejemplo, google y yahoo) normalmente determinan de forma automática el contenido de los anuncios. Para ello, examinan el contenido del sitio Web y seleccionan anuncios sobre temas relacionados con dicho contenido. si, por ejemplo, el sitio Web se dedica a la cocina, los anuncios pueden referirse a baterías de cocina, sartenes o cafeteras. normalmente estos sitios colocan anuncios que atraen tráfico. en este sitio cabe esperar ver anuncios que utilicen las palabras clave “cuchillo”, “horno”, “teflón” y otros similares. no hay nada inusual en este tipo de sitio.

• Caso 2 Uso de arbitraje. ahora, consideremos un segundo

sitio Web que tiene contenido que selecciona anuncios corres-pondientes a las palabras clave “buscar abogados” (“find a attorney”). (exactamente “buscar abogados” y no “buscar abogado.” Pronto explicaremos por qué.) el sitio puede utilizar para esto mucho texto (visible o no) que repite esta frase. supongamos que, cuando se escribió este artículo, el coste de este tipo de estrategia era de 1,07 a 7,05 dólares por palabra clave (precio en estados Unidos para las palabras correspondientes en inglés). el precio exacto depende del lugar, la hora del día y, naturalmente, las demás ofertas que haya para las palabras clave en cuestión, ya que todos los precios de palabras clave se establecen en subastas. De este modo, si un usuario hace clic en un anuncio de este sitio, el propietario del anuncio tendría que pagar ese importe al portal, que a su vez transferiría ese importe, descontando su comisión, al sitio Web que muestra el anuncio. ahora, imaginemos que el sitio en cuestión incluye un anuncio

que utiliza la palabra clave “buscar abogado.” la única diferencia es una “s”. el precio de esta palabra clave va de 0,87 a 3,82 dólares. supondremos que el sitio Web paga 2 dólares por cada visitante que consigue y recibe 4 por cada visitante que hace clic en un anuncio del sitio. siempre que el cincuenta por ciento de los visitantes que llegan a través del anuncio de 2 dólares hagan clic en un anuncio de 4 dólares, el sitio Web consigue ganancias, sin proporcionar ningún servicio. esto se conoce como arbitraje de palabras clave. no es exactamente igual que el fraude de clic, pero, como podremos ver, se acerca.

• Caso 3 Un ataque utilizando ingeniería social. ahora veremos

cómo podría utilizar un delincuente la ingeniería social y explotar la técnica del arbitraje con el fin de conseguir

ganan cias espectaculares. supongamos que el delincuente crea un sitio Web que genera la palabra clave “mesotelioma” (un tipo de cáncer poco frecuente provocado por la exposición al amianto). en el momento de redacción de este documento, esta palabra clave de google cuesta 63,42 dólares (precio en estados Unidos de la palabra en inglés). el delincuente compra tráfico para la palabra clave “asma” (0,10 dólares) para atraer visitantes al sitio. si de 634 personas que entren al sitio una hace clic en el anuncio del mesotelioma, el delincuente gana dinero. Pero, ¿por qué haría alguien algo así? supongamos que el contenido del sitio Web es un artículo, supuestamente escrito por un médico, que pregunta: “¿sabía que el diez por

ciento de los enfermos de asma tienen riesgo de contraer mesotelioma?” aunque esta afirmación no es cierta, habrá muchas personas a las que les preocupa el asma y que no saben nada del mesotelioma. estas personas harán justo lo que pretende el delincuente: hacer clic. ¿serán la mitad de los visitantes? si hay mil visitantes al día, esto significa que las ganancias diarias superarán los 30.000 dólares. e incluso si utilizara palabras clave menos llamativas, el delincuente conseguiría unas ganancias nada desdeñables.

lo que distingue estos tres casos es la intención y el uso que se hace de la ingeniería social. Desde la perspectiva de los proveedores de anuncios, estos tres casos son muy similares en cuanto a estructura. Un visitante entra, lee el contenido y hace clic en un anuncio. aunque es posible comparar las palabras clave que entran y las que salen para localizar anomalías, los delincuentes también pueden utilizar un proveedor de servicios para generar respectivamente el tráfico entrante y el tráfico saliente. esta estrategia dificulta la detección y la neutralización de estos tipos de ataques, especialmente si se llevan a cabo a pequeña escala con un número reducido de sitios.

conclusión

la ingeniería social ha llegado a Internet para quedarse. sus efec tos ya son patentes a través de timos de phishing y ahora empezamos a observar cómo los delincuentes utilizan la

ingeniería social para mejorar la eficacia del spam y el crimeware. además, mucho nos tememos que nos aguardan aplicaciones aún más sofisticadas a la vuelta de la esquina, resultado de la cada vez mayor complejidad del uso de la ingeniería social en otros tipos de fraude, como el fraude de clic. conscientes de esto, podemos diseñar medidas técnicas y gracias al conocimiento de los posibles modos de ataque en el futuro, podremos mejorar las defensas. Pero debemos entender también que nuestra estrategia requiere mejores interfaces de usuario, mejores procedi mientos, una legislación más restrictiva y mejores campañas educativas. Todavía queda mucho por hacer.

Dr. Markus Jakobsson es científico jefe en el

centro de investigación Palo alto research center. se encarga de la investigación del phishing y de las medidas para combatirlo, los fraudes de clic, el factor humano en la seguridad, la criptografía, la protección de las redes y el diseño de protocolos. es editor de Phishing and Countermeasures (el phishing y las medidas para combatirlo; Wiley, 2006) y coautor de Crimeware: Understanding

New Attacks and Defenses (crimeware: los nuevos

ataques y las defensas; symantec Press, 2008).

Elodie Grandjean

Un objetivo perfecto

para el malware de

ingeniería social

los creadores de malware suelen emplear métodos de ingeniería

social para infectar directamente un sistema o un host o para

iniciar una cascada de descargas y ejecutar malware.

la mayoría de nosotros hemos recibido algún mensaje de correo electrónico que contenía adjuntos o Url maliciosos con información sobre una importante actualización de seguridad o sobre un viejo amigo deseoso de restablecer el contacto perdido. Pero no vaya a creerse que el correo electrónico es el único vector de ataque utilizado para propagar malware con trucos de ingeniería social. Hay muchas otras trampas, incluido el uso de conocidos servicios de mensajería instantánea. el sistema infectado de un amigo puede enviarle un mensaje solicitándole que vea unas imágenes con una Url que señala a un archivo. el problema está en que confía en el contacto y no sabe que el otro sistema está afectado. en muchos casos, la Url le lleva al malware.

otras aplicaciones de malware recurren a la ingeniería social para robar información confidencial, como credenciales de inicio de sesión, números de tarjetas de crédito, etc. estas técnicas suelen utilizarse en ataques de phishing o intrusiones en servidores. los trucos más frecuentes de ingeniería social que emplean los creadores de malware son los de servicios para “adultos”, pero hay otros. He aquí una lista, aunque es claramente incompleta:

• _{Vínculos e imágenes pornográficos}

• _{Uso de nombres de mujer en el campo del remitente}

• _{Programas políticos que solicitan contribuciones en nombre de}

un candidato célebre

• _{Mensajes falsos de correo electrónico procedentes de bancos,}

servicios de pago electrónico y otros servicios financieros que solicitan la confirmación o actualización de las credenciales de inicio de sesión o información sobre la tarjeta de crédito

• _{Mensajes de correo electrónico amenazadores sobre penas de}

cárcel o procedimientos de actuación como miembro de un jurado

• salvapantallas y juegos gratuitos que contienen un troyano, o herramientas antispyware gratuitas que con frecuencia son programas no autorizados

• _{grandes acontecimientos, como encuentros deportivos,}

desastres climáticos o noticias urgentes

• _{nombres de famosos y noticias sobre sus aventuras y escándalos} • _{relaciones que pueden ser de confianza o secretas, como}

afiliaciones a sitios Web de redes sociales, listas de amigos, compañeros de clase, familiares y amantes secretos

el catálogo de temas es prácticamente ilimitado, lo que significa que es posible acercarse a grandes grupos de usuarios de todo el mundo y que la ingeniería social puede dirigirse con frecuencia a grupos de usuarios nacionales e incluso locales. Por ejemplo, con un ataque global que tenga como marco un sitio Web de red social muy visitado, el creador de malware puede obtener respuestas de todo el mundo; por su parte, es probable que un ataque similar en las elecciones presidenciales estadounidenses sólo capte víctimas norteamericanas.

¿Por qué las olimpiadas?

Durante meses, china ha estado en el punto de mira a causa de los Juegos olímpicos de Pekín 2008. el interés de los medios de comunicación ha sido enorme y ha abarcado a atletas, aficionados, infraestructura, medio ambiente y política, entre otros.

en el terreno político, las protestas por la situación del Tíbet han sido un tema muy delicado; muchas organizaciones de todo el mundo a favor del Tíbet libre se han beneficiado del protagonismo de las olimpiadas. También otros asuntos, como la esclavitud laboral y los derechos humanos, han cobrado más relieve. y numerosos usuarios de Internet están lo suficientemente interesados como para leer noticias y otros artículos online. la antorcha olímpica se convirtió en un símbolo candente de los manifestantes en los meses anteriores a los Juegos. el viaje de la antorcha por todo el mundo tuvo una tremenda difusión en los medios de comunicación y acrecentó si cabe el interés y la participación de seguidores y oponentes. este interés creciente también amplió el área de ataque potencial que podían explotar los creadores de malware.

Muestreo de víctimas

normalmente, los ataques de ingeniería social necesitan

“muestrear” antes a sus víctimas para tener éxito. Veamos quiénes podían ser las víctimas potenciales de un ataque que tuviera como cebo el conflicto china-Tíbet o los Juegos olímpicos.

ya hemos visto que, en los grupos a favor del Tíbet, algunas personas recibían mensajes de correo electrónico sobre la situación tibetana, china en general o las olimpiadas, con datos adjuntos cHM (archivos de ayuda compilados), PDF, PPT, Xls o Doc. Todos estos mensajes parecían proceder de una organización o persona de confianza. Probablemente estos usuarios estaban acostumbrados a recibir este tipo de documentos de sus

simpatizantes y habían bajado la guardia. estos datos adjuntos en concreto eran malintencionados: utilizaban varias vulnerabilidades de la ayuda de HTMl compilado de Microsoft, adobe acrobat, Microsoft excel, Microsoft PowerPoint o Microsoft Word para introducir y ejecutar sigilosamente archivos ejecutables incrustados. en ese momento el área de ataque elegida era relativamente pequeña, pero la difusión mediática de las protestas en el Tíbet contribuyó a avivar la llama.

Más adelante se piratearon algunos sitios Web legítimos dedicados a apoyar al Tíbet para incrustar el troyano Fribet1_,

que se descarga por sí solo en los equipos de los visitantes aprovechando vulnerabilidades de los navegadores Web.

llegado este punto, la base de víctimas, que hasta entonces incluía a las organizaciones elegidas al principio y a sus simpatizantes, pasó a englobar a cualquiera que sintiera curiosidad sobre la situación en el Tíbet. Una vez más, la atención de los medios favoreció este incremento entre la población vulnerable.

a continuación, los creadores de malware se aprovecharon de los propios Juegos olímpicos para propagar ataques de ingeniería social con la aparición del rootkit pro-Tíbet2_{. este conjunto de}

archivos malintencionados funcionaba oculto bajo un archivo de película de animación que ridiculizaba el esfuerzo de un gimnasta chino; durante su reproducción, varios archivos maliciosos se introducían inadvertidamente en el sistema de la víctima e instalaban un rootkit para esconderse.

el uso de los Juegos olímpicos como eje de ingeniería social permitió a los creadores de malware dirigirse a muchos entusiastas del deporte, además de a todas las personas previamente

identificadas por su interés en el conflicto entre el Tíbet y china.

El uso de los Juegos Olímpicos como eje de

ingeniería social permitió a los creadores

de malware dirigirse a muchos entusiastas

del deporte, además de a todas las personas

previamente identificadas por su interés en

el conflicto entre el Tíbet y China.