Pruebas de penetración en ingeniería social: cuatro técnicas efectivas

La ingeniería social se ha convertido en uno de los métodos de ataque más frecuentes en nuestros días, provocando graves fallos de seguridad. El fallo de RSA en 2011, por ejemplo, se baso en una campaña de phishing dirigido y un exploit incrustada en un archivo Excel. Además las empresas deben conocer las amenazas reales a las que se enfrentan, por lo que realizar pruebas frente a ataques de ingeniería social debe ser algo obligado para todas las compañías.

Los atacantes en pruebas deben poder acceder rápidamente a datos sensibles, o poder instalar un dispositivo en poco tiempo para probar su éxito ya que la ventana de la que disponen es muy breve.

La ingeniería social se basa en la psicología. Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a su víctima a actuar. Por ejemplo el Dr. Robert Cialdini define en su libro Influence: The Psychology of Persuasion (lanzado en 1984), estos seis motivadores claves:

• Reciprocidad: sentir que le debemos un favor a quien hace algo por nosotros.
• Orientación social: buscamos a una persona que nos diga que tenemos que hacer.
• Consistencia/ compromiso: desarrollamos patrones de conducta que se convierten en hábitos.
• Aceptación: queremos “encajar” y nos persuaden más fácilmente aquellas personas que nos gustan.
• Autoridad: somos receptivos a las órdenes y peticiones de las figuras de autoridad.
• Tentación: tenemos más motivación para perseguir lo exclusivo o limitado.

Los atacantes usan estos motivadores para realizar sus ataques de ingeniería social.

Existen cuatro técnicas de ingeniería social que los atacantes pueden usar para probar la seguridad de la organización: phishing, pretexting, media dropping y tailgating.

Pruebas de seguridad de penetración mediante ingeniería social: Phishing
El phishing implica el envió de un correo a un usuario donde se le convence para que haga algo. El objetivo de este ataque de prueba debería ser que el usuario haga click en algo y después registrar esa actividad, o incluso instalar un programa como parte de un programa de pruebas mucho más extenso. En última instancia pueden instalar exploit adaptados al software del cliente para verificar problemas con los navegadores, contenido dinámico, plugins o software instalado

Mejorando la calidad de las pruebas internas

La clave del éxito de este sistema es la personalización. Personalizar el correo dirigido al usuario objetivo, con técnicas como el envió a través de una fuente de confianza (o que perciba como tal) incrementa la disponibilidad del usuario a leer y seguir las instrucciones del correo. Un buen atacante en pruebas no debe olvidar la ortografía ni la gramática. Un correo bien escrito, aunque sea breve, es mucho más creíble.

Seguramente la mejor solución para crear ataques phishing sea el Social Engineering Toolkit (SET) de código abierto. Su menú para crear ataques a través de email es una de las herramientas más sencillas de crear ataques mediante phishing. Otras herramientas comerciales como PhishMe de PhishMe Inc. y  PhishGuru de Wombat Security también son interesantes.

Pruebas de seguridad de penetración mediante ingeniería social: Pretexting

El pretexting (pretextos) implica llamar por teléfono al usuario y pedirle cierta información, generalmente simulando ser alguien que precisa su ayuda. Esta técnica puede funcionar bien si se usa mediante aquellos usuarios de bajo nivel técnico y que tengan acceso a información sensible.

La mejor estrategia para empezar es empezar con nombres reales y pequeñas peticiones al personal de la organización que esté esperando algo. En la conversación el atacante simula necesitar ayuda de la victima (Mucha gente está dispuesta a hacer pequeñas tareas que no sean percibidas como algo sospechoso). Una vez establecido el contacto el atacante puede pedir algo más sustancial.

La búsqueda de información de interés, usando Google y herramientas como Maltego de Paterva puede impedir el éxito de este tipo de ataque. El uso de herramientas de mascaras telefónicas y proxy como SpoofCard (filial de TelTech Systems) y Spoof App de SpoofApp.com LLC, así como los addons de Asterisk PBX de Digium Inc., pueden llegar a mostrar el número de teléfono del atacante, aun cuando trate de hacerse pasar por un numero interno de la empresa.

Pruebas de seguridad de penetración mediante ingeniería social: Media dropping

La descarga en medios suele implicar la presencia de un disco USB en un lugar razonable, como un aparcamiento o la entrada al edificio. El ingeniero social busca el interés de la persona que, al utilizar esta unidad flash, lanza un ataque contra el equipo donde se conecta.

Dispositivos Drop box para pruebas de ataques

Los atacantes en pruebas pueden instalar un pequeño programa, sin riesgo, dentro de la red del cliente y después ejecutarlo de forma remota. Existen productos comerciales como Pwnie Express’ PwnPlug, o bien los programas y dispositivos que los atacantes puedan crear con herramientas de sniffing y spoofing.

Una herramienta gratuita para crear estos archivos es Metasploit, que genera automáticamente cargas maliciosas. El SET “Generador de Medios infecciosos” también utiliza Metasploit porque ayuda a automatizar el proceso. Mediante SET creamos un ejecutable que automáticamente se activa en el PC objetivo. Mediante técnicas de ejecución automática y ejecución conjunta de archivos podemos mejorar las posibilidades de éxito del ataque.

Una solución más sofisticada para este tipo de ataques es el desarrollo de ataques personalizados que se incluyan en un disco USB, o la compra directa de unidades USB creadas para tal fin. Para incrementar las posibilidades de éxito se recomienda incluir archivos conocidos como parte de esos exploits autorizados (los formatos PDF, Word y Excel son los mejores). Etiquetar el dispositivo de forma “apetitosa”, como “Datos de RRHH” o “Laboral” también puede ayudar.

Pruebas de seguridad de penetración mediante ingeniería social: Tailgating

El tailgating supone lograr acceso a una instalación física mediante engaño a su personal, o simplemente colándose dentro. El objetivo de este test es demostrar que el atacante puede superar a la seguridad física.

Los atacantes deberían ser capaces de obtener información sensible o poder instalar un dispositivo rápidamente para mostrar su éxito, ya que tienen poco tiempo para hacerlo antes de salir de la instalación. Si el atacante puede tomar fotos de los documentos presentes en impresoras o escritorios, o instalar un sistema de pruebas dropo box con acceso a la red Wifi o 3G podrá acceder posteriormente a los datos sensibles de la empresa.

Mediante el uso de estas cuatro técnicas de ingeniería social, el personal de pruebas puede determinar las vulnerabilidades de la organización y recomendar las medidas correctoras y formativas que reduzcan el riesgo de sufrir ataques maliciosos basados en ingeniería social.

Sobre el autor:
Dave Shackleford es propietario y consultor principal de Voodoo Security, Vicepresidente de investigación y CTO de IANS y analista, formador y autor sobre SANS. Ha trabajado para cientos de empresas en aspectos de seguridad y cumplimiento legal, así como infraestructura de red e ingeniería. Es experto en VMware y tiene gran experiencia en el diseño y configuración de infraestructuras de redes virtualizadas. Ha trabajado anteriormente como CSO de Configuresoft, CT para el Center for Internet Security y analista de arquitectura de seguridad, analista y gestor en diversas empresas del Fortune 500. Dave es coautor de Hands-On Information Security, del Curso de Tecnología así como del capítulo relativo a"Managing Incident Response" del curso de Tecnología y los Casos de Gestión de Seguridad de la Información. Recientemente Dave también ha colaborado en el primer curso sobre virtualización de seguridad del instituto SANS. Dave actualmente trabaja como directivo del SANS Technology Institute y colabora con Alianza de Seguridad en la nube de Atlanta.