Los ataques informáticos más sencillos

Dentro del mundo de la seguridad de la información es muy común encontrar denominaciones en inglés para técnicas de acciones y ataque que, no por tener un nombre curioso o humorístico, dejan de ser peligrosas y dignas de tener en cuenta.

Para solventar todos estos ataques no queda más que aplicar un mínimo de prudencia dentro de nuestras organizaciones, complementado con unas políticas de seguridad firmes y rigurosas. No obstante, toda nuestra labor organizativa puede quedar en nada si no se complementa con un programa de formación que ponga en conocimiento de nuestros usuarios toda esta cultura general asociada con la seguridad de la información y las operativas que contrarrestan los posibles ataques. Bien es cierto que para contrarrestar técnicas y acciones tecnológicamente avanzadas deberán confiar en el equipo de auditoria, sistemas y seguridad que respalde el departamento de TI de la compañía. Sin embargo, hay una serie de ataques, los más sencillos, en los que sí podemos contar con la ayuda de nuestros usuarios.


Masquerading y PiggyBacking:

El ataque denominado de masquerading consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno; esta suplantación puede realizarse electrónicamente - un usuario utiliza para acceder a una máquina un login y password que no le pertenecen - o de forma personal y presencial. Este ataque, en su formato físico, no es habitual en entornos normales, ya que en general serán áreas de acceso restringido y controlado por el propio personal de la organización, como despachos o laboratorios. En este caso un ataque de este tipo no suele ser efectivo, ya que es muy fácil detectar al intruso por tratarse de áreas dentro de las cuales todo el personal ‘habitual' se conoce. El masquerading es más corriente en entornos donde existen controles de acceso físico, y donde un intruso puede `engañar' al dispositivo - o persona - que realiza el control, por ejemplo con una tarjeta de identificación robada que un lector acepta o con un carné falsificado que un guardia de seguridad da por bueno.

Una variante del masquerading lo constituye el ataque denominado piggybacking, que consiste simplemente en seguir a un usuario autorizado hasta un área restringida y acceder a la misma gracias a la autorización otorgada a dicho usuario (En nuestra vida personal, se relaciona con el cuidado debido de no dejar pasar a nadie en nuestro portal aunque aparentemente esté buscando las llaves para abrir). Contra esto se deben aplicar las mismas medidas que contra la mascarada física: controles de acceso estrictos, y convenientemente verificados. Los ejemplos de piggybacking son muy habituales: desde un atacante que se viste con un mono de trabajo y que carga con equipos en la puerta de una sala de operaciones, para acceder junto a un usuario autorizado. Otra modalidad de esta técnica se relaciona con los reconocedores de tarjetas inteligentes que abren la puerta de una sala pero que, una vez abierta, no se preocupan en contar cuantas personas la atraviesan.


Dumpster Diving:

La basura generada por nuestras corporaciones puede contener importantes detalles: nombres, números de teléfonos, datos internos de empresas, informes desechados.

Téngase en cuenta que tanto si lo desechado contiene datos correctos como si no, es un vector de transferencia de información importante. Si los informes parecen correctos, porque transmitirían la información válida, si están tachados o desechados, el atacante sabrá qué datos no son correctos, eliminando así información posible de los espacios de búsqueda.

El ‘bucear’ en ese material es lo que se denomina Dumpster Diving (literalmente, bucear en basureros). Es una técnica bastante común, tanto es así que, aparentemente, Oracle, por ejemplo, encargó “Dumpster Diving“ en contra de Microsoft. Ni siquiera es ilegal, porque la basura no cae bajo la protección de datos. Si se tiene el descuido y la imprudencia de dejar al alcance de cualquiera información valiosa y que otra la recoja no podremos extender responsabilidad más que a nosotros mismos.

.
Shoulder Surfing:

Otro tipo de ataque relacionado con la ingenuidad de los usuarios del sistema (pero también con el control de acceso físico) es el denominado shoulder surfing. Consiste en ‘espiar' físicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que lamentablemente utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en un papel pegado al monitor de su equipo o escribirlas bajo el teclado; cualquiera que pase por delante del puesto de trabajo puede leer el login, password y el nombre de máquina a la que pertenecen. Además es relativamente fácil, mirando las manos sobre el teclado, memorizar las teclas pulsadas (o una gran mayoría) para tener acceso a las claves de los usuarios. Esto es mucho más grave de lo que parece en apariencia y se utiliza más de lo que muchos administradores o responsables de seguridad piensan; y no sólo en entornos ‘privados' o con un control de acceso restringido, como pueda ser una sala de operaciones de un centro de cálculo, sino en lugares a los que cualquiera puede llegar sin ninguna acreditación.
.
Cualquiera situado cerca de una persona que está accediendo a un sistema puede leer más o menos claramente una clave tecleada. Hay que tener en cuenta, también, si realmente estamos tecleando sobre el campo de contraseña ya que es muy habitual escribir la clave a continuación de la identificación, sin cambiar de caja de texto, o sobrescribir el nombre de usuario con la contraseña. Estos errores facilitarían mucho la labor del que espía.


Ingeniería Social:

La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Podemos encontrarnos ante el método de ataque más sencillo, menos peligroso para el atacante y uno de los más efectivos. Dicho atacante puede aprovechar el desconocimiento de unas mínimas medidas de seguridad por parte de personas relacionadas de una u otra forma con el sistema para poder engañarlas en beneficio propio. Si el atacante se hace pasar por un gerente o director enfadado que exige acceso a cierta información amenazando con oscuros castigos si no es obedecido o, por el contrario, finge ser un pobre y pusilánime compañero que ruega, por favor, cierta información porque si no la obtiene a tiempo será despedido, puede conseguir, ante usuarios no prevenidos ante estas técnicas, los datos buscados. Frente a cualquier duda en este sentido, nada mejor que comunicar el evento a nuestros responsables y, en general, mantener mucha cautela cuando oigamos tales peticiones o coacciones.

Como hemos visto en este desglose existen técnicas para las cuales no hace falta ninguna preparación técnica, únicamente la combinación debida de un poco de sagacidad y bastante ingenuidad por parte de los usuarios. Contra lo primero, poco podemos hacer, contra lo segundo, se impone la definición de políticas estrictas y la formación debida y necesaria a nuestros compañeros y usuarios.

Jesús Estrada Villegas 
Fuente: Belt Ibérica S.A.