Ingeniería Social

ing-social

La ingeniería social es el arte de manipular a las personas, a través de la influencia y la persuasión, para que entreguen información sensible. Implica confiar en los elementos de nuestra naturaleza humana que nos hacen querer ayudar a los demás y suele ser uno de los muchos pasos de una prueba de penetración.

La ingeniería social se basa en cuatro pilares clave para ser considerada eficaz;

  • Autoridad (la solicitud de información proviene de un lugar de autoridad)
  • Familiaridad (la persona que habla usa la terminología correcta)
  • Urgencia (la información se necesita rápidamente debido a las consecuencias del incumplimiento)
  • Escasez (no proporcionar información significará perder una oportunidad)

Cuando uno o más de estos pilares se combinan en un enfoque de ingeniería social, mejoramos enormemente nuestras posibilidades de éxito.

«La ingeniería social pasa por alto todas las tecnologías, incluidos los cortafuegos.» – Kevin Mitnick

Tipos de Ingeniería Social

  • Suplantación de identidad – Phishing
  • Pretextando – Pretexting
  • Gotas de medios – Media drops
  • Chupar rueda – Tailgating
  • Robo de documentos / activos in situ – On-site document/asset theft

Nuestro Proceso en Detalle

El alcance nos permite asegurarnos de «hacerlo bien» al definir a quién y a qué nos dirigimos. Si se va a llevar a cabo una campaña de phishing, debemos tener una idea clara de qué personas entran en el ámbito de la campaña de phishing. Específicamente, para una campaña de spear phishing, ¿quién será el objetivo o los objetivos principales?

En los casos en los que se incluye el envío de mensajes de texto previo, debemos aclarar qué números de teléfono entran dentro del alcance y cuántas llamadas se realizarán.

Las reglas de participación cubren los tiempos de inicio y finalización de las pruebas, la duración de los compromisos de ingeniería social y las actividades posteriores a la explotación que se consideran permisibles. También debemos acordar los métodos de entrega aprobados, así como la forma en que rastreamos a los usuarios a través de la campaña de phishing. La pregunta clave que se debe responder aquí es: ¿solo buscamos rastrear la cantidad de usuarios que hacen clic en un enlace en un correo electrónico, o pretendemos seguir adelante con la explotación activa del punto final y entrar en la red subyacente?

La diferencia importante entre una prueba de penetración y un compromiso de ingeniería social es que interactuamos más con las personas en una prueba de ingeniería social y, por lo tanto, es mucho más probable que encontremos datos personales durante el transcurso de la prueba. Por ejemplo, si un usuario objetivo toma un USB que hemos dejado caer y lo conecta a una computadora personal o doméstica, ¿cómo manejamos esa situación? Estos son los detalles que buscaremos abordar en el documento Reglas de compromiso.

Los objetivos son de suma importancia para obtener el mayor valor de una prueba de ingeniería social. ¿Qué está tratando de ganar el cliente con esta prueba? Los objetivos típicos de las pruebas de ingeniería social incluyen:

  • Evaluación de la conciencia del usuario
  • Explotar la ejecución
  • Exfiltración de datos
  • Prueba de parche
  • Seguridad física

La fase de implementación es donde ejecutamos la prueba de ingeniería social e intentamos alcanzar los objetivos establecidos.

El informe final variará dependiendo de si se trata de un compromiso independiente o si la ingeniería social fue parte de una prueba de penetración más amplia. El informe contiene un resumen ejecutivo del compromiso, así como un desglose adicional de los objetivos que se acordaron y cómo avanzamos en la prueba.