www.social-engineer.org

 
Alberto Partida Rodríguez
Especialista en Seguridad TI
Securityandrisk.blogspot.com
apartidar@gmail.com
Aprovecharse de los sistemas de información actuales para obtener algún beneficio ilícito es tan moderno como esta tecnología, que tiene sólo unas décadas de historia. Sin embargo, explotar la bondad o la ingenuidad de un individuo para conseguir algún valor de modo poco ético es tan antiguo como la humanidad. Algunas personas nacen ya con la habilidad de contar una historia que convenza a sus interlocutores para que proporcionen dinero o, simplemente, información. La visita que recomiendo en la séptima entrega de esta sección nos puede ayudar a defendernos e, incluso, a mejorar nuestra práctica de estas técnicas, incluidas dentro del arte y la ciencia de la “ingeniería social”.
Social-engineer.org es un sitio de reciente creación. Su primer boletín mensual apareció en octubre de 2009. Con tan sólo unos meses de vida, esta web se ha convertido en una referencia en Internet para aquellos interesados en el complejo mundo de la ingeniería social. Con una muy asequible estructura, los tres creadores de estas páginas, David Kennedy (conocido como ReL1K), Scott Hazel y Matt Churchill, proponen ideas sobre cómo explotar el “sistema operativo” del ser humano (“Human OS”). Junto a cuatro desarrolladores y una serie de colaboradores (usted lector puede ser uno de ellos), estos tres profesionales han construido una web con productos tan interesantes como:
• Un blog con un número limitado de entradas al mes, donde se comentan noticias, técnicas o no, relacionadas con la ingeniería social, la privacidad y la seguridad.
• Una sección que presenta todo un árbol de ideas (framework) para tratar la ingeniería social desde un punto de vista científico. Aquí se encuentran valiosas referencias al mundo de la seguridad lógica.
• Un podcast mensual con invitados muy alternativos. Destaco dos ejemplos: primero, una entrevista a Tom Mishcke, icono de la radio en Estados Unidos que emplea métodos de diálogo muy útiles para realizar ingeniería social, y segundo, una conversación con Sam Yagan, creador de www.okcupid.com, un sitio en Internet dedicado a la búsqueda de pareja que está triunfando en Estados Unidos por su carácter gratuito y por los cuestionarios que proponen para emparejar usuarios.
• Un boletín, también de periodicidad mensual, con muchos casos prácticos de ingeniería social. Por ejemplo, se habla de las técnicas de manipulación empleadas actualmente en el marketing comercial.
• Una sección de recursos técnicos donde se mencionan herramientas como Maltego o Metasploit y se presenta SET (“social engineering toolkit”): herramienta creada por David Kennedy, cuya versión cuatro se acaba de dar a conocer en Shmoocon en febrero. Con SET, siguiendo un sencillo menú de opciones, se puede comprometer una máquina explotando la ingenuidad del usuario y las vulnerabilidades de su navegador.
En definitiva, un sitio atípico, pero muy recomendable, que recoge temas técnicos y humanos relacionados con la seguridad. Es ya hora de ofrecer a las empresas pruebas de ingeniería social junto a los tradicionales tests de intrusión. Además de conocer el estado de la seguridad en nuestras redes, tenemos que saber cómo de vulnerable es la empresa frente a un ataque de ingeniería social. La pregunta que queda sin respuesta es cómo se puede aplicar parches al sistema operativo “Human OS”.

Documento en PDF
 

<volver