El informe “Riesgo de la ingeniería social en la seguridad informática” de Check Point señala el phishing y las redes sociales como las principales fuentes de amenazas en ingeniería social y anima a las empresas a combinar estrategias tecnológicas y de concienciación para minimizar la frecuencia y el coste de los ataques.
Tradicionalmente, estos ataques tenían como objetivo a personas con información delicada o que tienen acceso a la misma. En la actualidad, los hackers recurren a una amplia gama de técnicas y aplicaciones de ingeniería social para obtener información personal y profesional y detectar el eslabón más débil en una organización.
Las fuentes más comunes de ataques de ingeniería social son los correos electrónicos de phishing (47%), seguidos de las redes sociales, donde se expone información personal y profesional (39%) y dispositivos móviles inseguros (12%). El ánimo de lucro es la principal motivación de estos ataques (51%), por delante del acceso a información propietaria (46%), la obtención de ventajas competitivas (40%) y la venganza (14%).
“Los resultados de la encuesta muestran que casi la mitad de las empresas son conscientes de que han sufrido ataques de ingeniería social. Sabiendo que muchos de estos ataques pasan desapercibidos, debemos tener en cuenta que este es un vector de ataque muy amplio y peligroso que no debe ser ignorado”, señala Oded Gonda, vicepresidente de productos de seguridad de red de Check Point Software Technologies.
Si bien las técnicas de ingeniería social confían en aprovecharse de las vulnerabilidades de una persona, la omnipresencia de la Web 2.0 y las tecnologías móviles también han incrementado las alternativas de cara a acceder a información personal, creando nuevas vías de penetración para la ejecución de estos ataques concretos. Los nuevos empleados (60%) y contratistas (44%), menos familiarizados con las políticas de seguridad corporativas, fueron señalados como los colectivos más susceptibles de convertirse en víctimas de estas amenazas, seguidos por personal de contratas, administrativos, recursos humanos y el departamento de informática.
“A fin de cuentas, las personas son un componte crítico del proceso de seguridad, en tanto y en cuanto son susceptibles ser víctimas de los engaños de los criminales y cometer errores que pueden llevar a infecciones por malware o pérdidas de datos no intencionadas. Muchas organizaciones no ponen suficiente empeño en involucrar a sus usuarios, cuando, de hecho, los empleados deberían ser la primera línea de defensa”, añade Gonda. “Una buena manera de hacer que los usuarios sean más conscientes de su importancia es involucrarlos en el proceso de seguridad, otorgándoles capacidades para evitar y remediar incidentes de seguridad en tiempo real.”
Shane O’Neill, CIO America Latina
El Telegrafo Domingo 21 de Agosto del 2011
Paola Ulloa
Pasaron del rumor a los hechos: todo empezó a las 11:30 del pasado 10 de agosto. Los anuncios a través de @anonopshispano, la cuenta del colectivo Anonymous en Twitter, eran reiterados, luego de que se iniciara la Operación Cóndor Libre en Ecuador.
En el transcurso de ese día se anunciaron por lo menos una decena de ciberataques, a sitios web gubernamentales y privados. Los sitios de Aliméntate Ecuador y de varios ministerios dejaron de estar en línea y evidenciaban que el servidor no respondía.
Los servidores de esas páginas de Internet colapsaron frente a un ataque DDOS (Ataque distribuido de denegación de servicio, por sus siglas en inglés), que consistió en crear una aplicación que disparaba un promedio de 10.000 hits por cada click que daban los visitantes al sitio web al que direccionaban los mensajes de Anonymous en Twitter.
Gustavo Buitrón, Product Manager de AccroachCode, explica que de esta manera la banda ancha donde están los servidores colapsa, ante el intenso tráfico de las miles de visitas que registra el site. “La banda de navegación de Internet en Ecuador no es igual que la de otros países, como Argentina, que tiene un terabit”, señala Buitrón.
Explica que en Ecuador la banda ancha de navegación es de apenas 30 gigabits, lo que es inferior si se toma en cuenta que un terabit tiene 1.024 gigabits. El desarrollador señala que esta situación permite que frente a un ataque la banda se sature con facilidad, por ello en Ecuador es más cómodo ejecutar un ataque DDos.
El 10 de agosto pasado, los comentarios sobre los pormenores de la Operación Cóndor estaban en IRC (Internet Relay Chat), una plataforma que permite que dos o más personas debatan, en tiempo real, sobre cualquier temática en diferentes canales, creados por los usuarios. Esa tarde, el usuario Chino_D colocó los enlaces que solicitaban a los internautas atacar el sitio web oficial de la Presidencia de Ecuador.
Desde @Anonopshispano se mostró un enlace que llevaba a los diagramas de lo que aparentemente eran las IP de la red local de los servidores de la Corporación Nacional de Telecomunicaciones (CNT). El link iba acompañado de la frase “un regalo”.
En caso de ser cierto, el anuncio era grave. Xavier García Bustamante, director de tecnología de Walker Brands, sostiene que la información que obtuvieron tiene mucha importancia, porque se trata de la estructura tecnológica de la CNT.
“Ellos quieren demostrar que lograron tener datos confidenciales con facilidad”, señala el experto en tecnología.
El uso de software libre y la falta de inversión en programas de seguridad permiten que los sitios nacionales sean vulnerables a los ataques electrónicos.
Buitrón explica que es común en Ecuador que los sites no tengan un software que les permita estar más protegidos frente a los ciberataques de piratas electrónicos. Los programas que permiten tener un escenario menos inseguro a los sitios webs cuestan hasta 150 mil dólares. Buitrón sostiene que es importante contratar programas pagados para hacer un sitio web, porque son menos vulnerables ante un ataque y existen manuales con claras advertencias para asegurar el site.
Pero no hay un software que sea 100 por ciento seguro ante los ataques de piratas electrónicos, afirma Luis Corrons, director del laboratorio de Panda Security. El 10 de agosto pasado también se registró un Deface, que consiste en un ataque que básicamente reemplaza la página principal de un site por otra. Esa tarde, los internautas vieron cómo el site de Hunter, una compañía privada especializada en equipos de seguridad de vehículos, mostraba una cara distinta.
Anonymous afirmó que atacaron el site de la compañía porque tenía agujeros en su seguridad. En esta operación se sustituyó la página principal del sitio por un mensaje con fotos y texto del colectivo de piratas electrónicos. El colectivo explicó que no tienen nada contra Hunter, pero que momentáneamente usaron su hompage para colocar su firma en los ataques del pasado 10 de agosto.
En los últimos meses ha sido evidente que se ha ejecutado una serie de ataques piratas en el mundo. En julio, la policía española detuvo a tres miembros de Anonymous y las autoridades de Turquía y Estados Unidos investigaban a sospechosos de ejecutar ataques electrónicos a sitios oficiales o de instituciones privadas. Y en Malasia se detuvo a 33 sospechosos de ejecutar ataques electrónicos a sitios web. Localizar a este tipo de agrupaciones es difícil para los equipos policiales. En España se lograron las detenciones tras una serie de correos en los que se acordó una cita con uno de los reos y posteriormente se llegó a otros dos involucrados.
Esta situación generó una serie de manifestaciones de respaldo, en varios países de Europa. En las marchas, grupos de personas salían a demandar la libertad de sus compañeros apresados, pero los manifestantes cubrían sus rostros con una máscara de un personaje de V de Vendetta, símbolo de Anonymous. V de Vendetta es el personaje de una historia ambientada en Gran Bretaña durante un futuro cercano y tras una guerra nuclear parcial, con la mayor parte del mundo destruido. En la película, un partido fascista ostenta el poder en el Reino Unido.
Pero un misterioso anarquista revolucionario apodado «V», oculto tras una máscara de Guy Fawkes, empieza una elaborada y violenta campaña con el fin de derrocar al gobierno e incitar a la población a adoptar una sociedad anarquista. Corrons sostiene que las operaciones de hackers no son más frecuentes ahora, pero admite que son más evidentes.
Ahora los ciudadanos comunes se enteran de las acciones de los grupos de piratas porque tienen una comunicación directa con ellos, a través de las redes sociales, como Twitter, sostiene Corrons. Anoymous usa por lo menos cuatro cuentas oficiales en Twitter, donde anuncia sus acciones o el resultado de ellas.
La popularidad del colectivo es tal que solo en una de sus cuentas de Twitter, @anonymouspress, utilizada para sus comunicados a la prensa, sumó hasta la tarde del viernes 23.588 seguidores. El colectivo de hackers aceptó la autoría de Operación Cóndor Libre, que contó con el apoyo de miembros radicados en Colombia, México, Perú, Argentina y otros países de hispanoamérica. Explicaron que las páginas atacadas tenían fallas básicas en su seguridad y ello facilitó la ejecución de las acciones.
Los piratas señalaron que no pueden definir un número de integrantes porque todos son Anonymous. Tampoco creen que se deba identificarlos como hackers de sombrero blanco o negro, ni como crackers. Explican que la agrupación refleja el sentir de los pobladores cansados de tanto abuso en el mundo. Admiten que están trabajando en América Latina y en otras regiones.
Corrons explica que el colectivo no tiene una estructura que permita visualizar un líder o jerarquías. “Se trata de un grupo heterogéneo a cuyas acciones se pueden sumar todos, sin que haya un filtro que detenga a ciertos elementos”. Asimismo, el experto en seguridad informática destacó que las decisiones sobre sus operaciones las toman sobre la marcha.
“Todos somos iguales y tenemos las mismas funciones (…) la toma de decisiones se basa en un foro común de libre acceso, pero se le da prioridad a los nativos del lugar donde se ejecuta la operación, ya que ellos conocen mejor que nadie la situación de su país”, confirmaron los miembros del colectivo sobre la estructura de su agrupación.
La falta de seguridad en los sitios web es el escenario ideal para que actúen los hackers. Corrons destaca que en esas circunstancias está Latinoamérica, por ello, los piratas pueden actuar y tirar abajo un site. Buitrón explica que luego de los ataques electrónicos que se han producido en las últimas semanas, las empresas privadas se han preocupado por proteger sus sitios. Pero explica que la vulnerabilidad de los sitios nacionales es el resultado de años de despreocupación en cuanto a seguridad informática.
“Me parece que la página web de Banco del Pacífico es segura”, señala Buitrón. Explica que el hecho de que tenga un servidor en el exterior, sumado a que se ha utilizado software pagado, con seguridad, lo hace menos vulnerable. “Pero vemos otras instituciones que evidentemente están mal asesoradas, una de ellas es Banco Pichincha”, destaca el desarrollador.
Buitrón señala que el site de la institución financiera advierte a los usuarios sobre la utilización de la clave biométrica, que consiste en responder una serie de preguntas. “Primero, si la clave fuera biométrica se trataría de la huella digital, pero no es así”, señala el experto en tecnología. Esa, opina, es una señal clara de la mala asesoría que recibe el banco.
Por su parte, García-Bustamante señala que el modo de operación de Anonymous no indica que se trate de un grupo que robe cuentas para ganar dinero con las ventas de ellas en el mercado negro. “Su intención es demostrar cuán vulnerables pueden ser los sitios web”, sostiene.
La semana pasada la agrupación ejecutó otra operación contra sitios gubernamentales, esta vez, en Colombia. Esta operación fue similar a la ejecutada en Ecuador. Pero el tema de debate entre los seguidores de Anonymous, en Twitter e IRC es otro: Operación Facebook, que consiste dejar offline la popular red social.
Corrons cree que el anuncio es solo una leyenda urbana, que difícilmente podrá ejecutarse. Asimismo, los blogs especializados han indicado que al parecer en la agrupación no hay un acuerdo. Anonymous admite que aún no hay un consenso al respecto, porque un grupo de sus agremiados no apoya la ejecución del plan. Argumentan que OpFacebook se realizaría porque dicha empresa vende los datos privados de sus usuarios. Pero, la posición de los miembros que se oponen es que Facebook es un medio de comunicación.
Anonymous explicó que pese a los desacuerdos internos, un grupo de integrantes ejecutará la operación, el 5 de noviembre. Señalan que así demuestran que su agrupación es una organización horizontal. La administración de la red social no se ha pronunciado aún. Por otro lado Buitrón cree que difícilmente los desarrolladores de Facebook permitirán que su site sea vulnerado.
IEEE Spectrum, Cultura hacker está vivo y bien en Facebook por David Kushner / junio de 2011
Esto es parte de IEEE Spectrumdel informe especial sobre la batalla por el futuro de la Web social.
Un chico joven desaliñado de blanco con gafas de sol y un cabo largo azul grita en un pequeño megáfono negro: «Bienvenido a hackmeeting 23!»
Pero él no es un infame cibercriminal. Es un ingeniero de Facebook, y él esta permanente en la sede de Palo Alto a las 17:00h, rodeado de otros 60 programadores ansiosos de iniciar lo que parece ser un partido de programación de forma libre, toda la noche. Pero un hackmeeting no es solo diversión y juegos. Mientras el público en general ha llegado a asociar hacking con black hat crooks, Facebook busca reclamar el término que evoca sus raíces «hacking ético» de laboratorios de informática en la década de 1970.
Hacking en Facebook es un ejercicio intelectual y creativo y mucho más. De estos eventos hackaton interno anual, aproximadamente bimensual se abre la Copa Hacker a los programadores de todo el mundo, hacking es, como el hacker fundador Mark Zuckerberg dice, «una impresionante parte de nuestra cultura.»
«La idea es trabajar con pasión hacia un objetivo y dejar de lado normas estándar, convencionales, que otros piensan aplicar,» dice Pedram Keyani, Gerente de ingeniería de equipo de integridad de sitio de Facebook. «Imagínese si usted no tiene que preocuparse de escalar; ¿Qué producto puede construir? Imagine que no está limitado por procesamiento de velocidad; ¿Qué puede desarrollar? Para nosotros, hacking es apasionadamente estar trabajando hacia una meta y no tener miedo del fracaso».
Hacking en Facebook no es nuevo. De hecho, la película dramatizada La red Social, muestra como el sitio comenzó cuando su fundador Zuckerberg una noche se sentó en su equipo en Harvard y ha escrito las infames palabras «Que el pirateo inicie…». Su intención era entrar en Facebook de la Universidad para hacer algo nuevo, y el éxito de ese momento aún inspira la actual empresa.
Como la compañía creció, «cada noche era hackmeeting,» recuerda Keyani, que estudió ingeniería informática en Stanford y fue el Gerente de ingeniería en Google antes de venir a Facebook en 2007 para iniciar su equipo de integridad del sitio, que busca estafas y otras cuestiones de seguridad. Ingenieros de Facebook se reunirían durante la cena y hablarían de nuevas características para el sitio, para luego permanecer hasta llevarlas a la vida toda la noche. «, Fue sólo parte de la cultura de empresa», añade. «Usted sólo puede seguir trabajando hasta que tenga algo que mostrar.»
Hackathons escala que el personal creció a aproximadamente 500 ingenieros de hoy (la empresa quiere tener al menos un ingeniero por cada millón de miembros en todo momento). «La única regla», ha dicho Zuckerberg, «es que no está permitido trabajar en lo mismo que su trabajo es».
¿Hackathons generalmente comienzan cuando un ingeniero de Facebook envía un correo electrónico alrededor preguntando, nadie quiere quedarse hasta hacking todos de noche? Word se propaga. Se establece una fecha. Se piden alimentos y barriles. Frigoríficos están provistos de Red Bull. La cocina: Comida China — no varía, aunque, como Facebook sí, ha madurado. La empresa utilizada para ordenar un conjunto de barrio, pero hoy en día sus cocineros los encuentras en casa. Una vez, post-hackmeeting, docenas de frikis cansados apareció en la Casa Internacional de panqueques, causando revuelo. Un ingeniero mencionó posteriormente, «mi Consejo: no rodar en 45 profundo a un IHOP a 6 de la mañana»
El informe “Riesgo de la ingeniería social en la seguridad informática” de Check Point señala el phishing y las redes sociales como las principales fuentes de amenazas en ingeniería social y anima a las empresas a combinar estrategias tecnológicas y de concienciación para minimizar la frecuencia y el coste de los ataques.