El Cuento del Tío 2.0

El Cuento del Tío 2.0

Viernes 30 Ene 2009

La mayor parte de la gente cree que con instalar los últimos parches o Service Packs de su software, sus sistemas, y sobre todo su información, están a salvo. Sin embargo, y aunque suene trillado, un sistema es tan seguro como su eslabón más débil, y en seguridad computacional el eslabón más débil es el elemento humano.

Y por mucha tecnología que se aplique para mitigar las amenazas, nunca será suficiente para evitar que algún inescrupuloso se aproveche de la ignorancia tecnológica de la mayor parte de la gente, y efectúe ataques basados en ingeniería social. La ingeniería social consiste en manipular a personas para que divulguen información, o realicen acciones que comprometan su información o incluso su vida.

La forma más típica de phishing es cuando llega un e-mail, supuestamente del banco, diciéndole al usuario que ingrese a un link determinado, bajo la premisa de corregir algún problema con su cuenta. Sin embargo el link está disfrazado, y al hacer clic sobre él, el usuario se dirige al sitio de su banco... o al menos eso es lo que él cree, ya que en realidad es un sitio fraudulento que se ve igual que el sitio del banco, pero en vez de proveer servicios bancarios, está diseñado para que cuando el usuario ingrese sus credenciales (RUT, password), éstas sean enviadas a los creadores del sitio.

Ahora, ¿Porqué este tipo de ataques es exitoso?

Porque el ser humano siempre buscará el camino más rápido y fácil. Nadie mira el link, o pasa el mouse por encima para ver si lleva efectivamente al sitio del banco, o a un sitio fraudulento (por ejemplo, mibanko.cl en vez de mibanco.cl). Muchos dirán: "Pero ahora los navegadores y clientes de E-Mail detectan automáticamente si el link es fraudulento o no". Mi respuesta es "Eso es lo que tú crees", porque lo que ese software hace en realidad es conectarse a bases de datos de sitios fraudulentos, las cuales son, por lo general, llenadas con información proporcionada por usuarios avanzados (un ejemplo de ello es Phishtank), y estas por lo general no son 100% efectivas. Incluso hay casos de inescrupulosos que deliberadamente ingresan falsos postitvos a ellas, o sea, ingresan sitios legítimos como fraudulentos.

Sin embargo, los ataques vía ingeniería social se están diversificando, aprovechándose de mecanismos psicosociales propios del ser humano (tal y como detallaba Mig hace poco), moviendo sus objetivos desde passwords bancarias hacia credenciales para redes sociales (Facebook, Twitter...), alertando a usuarios de amenazas de seguridad para que instalen aplicaciones nocivas, y cambiando de medios computacionales de ataque (ahora apareció un ataque basado en sesiones bancarias abiertas).

Estamos frente a una versión 2.0 del cuento del tío, y todos debemos ser cuidadosos.

Imagen: tomada originalmente de ToastyKen.

Foto de Injeniero Barsa Cristián Rojas Intereses: - Ingeniería de Software - Tecnologías abiertas (Opensource, Estándares) - Seguridad de la Información - Calidad de Vida http://barsalog.blogspot.com