www.pwc.com/ve Inicio Boletín Digital No. 16-2011 Espiñeira, Sheldon y Asociados
- No. 16-2011 Haga click en los enlaces para navegar a través del documento 4Introducción Principales medios de ataques a las cuentas en redes sociales Deducción de contraseñas Ingeniería social/ Phishing Instalación de software malicioso Captura de tráfico Debilidades de la plataforma Conclusiones 4Créditos / Suscribirse
Introducción Los ataques a cuentas de usuarios en las redes sociales ha sido un tema recurrente en las noticias, al punto que se ha hecho cotidiano el acceso no autorizado a cuentas de personalidades como Sarah Palin 1, Paris Hilton 2, Ashton Kutcher 3, Alvaro Uribe y Juan Manuel Santos 4, Daniel Samper 5, etc. Otro ejemplo: el 9 de Septiembre del 2011 la cuenta de Twitter de la cadena de NBC News fue atacada 6, logrando los agresores publicar noticias referentes a atentados terroristas similares a los del 11 de Septiembre del 2001. Venezuela no escapa tampoco a esta realidad. A comienzos del mes de Septiembre de 2011 se pudo observar una oleada de intrusiones a las cuentas de redes sociales de varios personajes públicos en Venezuela. Las cuentas se usaron luego para enviar mensajes ofensivos, afectando la imagen pública de estas personas. Al margen de los ataques notorios que hemos mencionado, y que usualmente sólo sirven como un mecanismo para incrementar la reputación de algún grupo de Hackers, la realidad es que muchos otros casos ocurren y las consecuencias son el acceso a la información confidencial de las personas, pudiendo servir luego como punto de partida para otras modalidades criminales como chantajes, robo de identidad, fraudes, secuestros, etc. La pregunta ahora es: Cómo logran los atacantes obtener el acceso a estas cuentas?, y más importante aún: Qué puedo hacer como usuario para protegerme? En una reciente encuesta realizada por Harris Interactive entre el 31 de Mayo y el 2 de Junio de 2011 7, el 10% de los usuario respondió haber sido víctimas de ataques a sus cuentas en las redes sociales y un 13% no está seguro si fue atacado o no. Adicionalmente, el 69% de los usuarios de redes sociales respondieron que están preocupados por la seguridad de sus perfiles, sin embargo, sólo el 55% actualiza el perfil de seguridad de sus cuentas al menos una vez cada seis (6) meses. Sólo el 55% de los usuarios actualiza su perfil de seguridad al menos una vez cada seis meses 55% Fuente: Eset Survey, Junio 2011 1 http://www.thetechherald.com/article.php/200839/2083/palin-hackhighlights-important-e-mail-risks 2 http://www.oreillynet.com/pub/a/mac/2005/01/01/paris.html 3 http://news.cnet.com/8301-17852_3-20038602-71.html 4 http://www.elespectador.com/noticias/politica/articulo-285824- anonymous-hackea-cuenta-de-twitter-de-uribe 5 http://www.vanguardia.com/actualidad/colombia/117112-hackearoncuenta-de-twitter-del-periodista-daniel-samper-ospina 6 http://news.cnet.com/8301-27080_3-20104165-245/nbc-news-twitteraccount-hacked/ 7 http://blog.eset.com/2011/06/22/the-social-networkingcybersafetydisconnect
Principales medios de ataques a las cuentas en redes sociales Deducción de contraseñas Cualquier atacante intentará la vía más sencilla, antes de recurrir a modalidades de ataques más complejas. La deducción de una contraseña es un ataque sencillo y con un grado de éxito aceptable. La estrategia comúnmente utilizada por los atacantes consiste en realizar una pequeña investigación sobre la persona a ser atacada buscando obtener datos que tradicionalmente se utilizan para crear sus contraseñas, como nombres de familiares y allegados, fechas importantes, nombres de mascotas, ciudades donde ha vivido, etc. Con estos datos se conforma una lista de palabras o diccionario que luego puede ser introducida a una herramienta que se dedica a intentar varias combinaciones de estas, con ligeras alteraciones, hasta agotar las posibilidades o lograr el acceso a la cuenta. Para ampliar, haga click sobre el cuadro Diccionario de Palabras Internet Intentos de Acceso Figura N 1. Modelo de ataque de diccionario Atacante Web Una variante de este ataque consiste en atacar los mecanismos de recuperación de contraseñas de las páginas: muchas redes sociales o sitios de correo electrónico, permiten al usuario recuperar o reiniciar su contraseña, a través del uso de preguntas secretas, cuya respuesta únicamente el usuario debería conocer. Sin embargo, muchas de las preguntas predefinidas como: Apellido de soltera de la madre?, Color favorito?, Ciudad donde nació?, Nombre de su primera mascota?, etc., pueden ser deducidas con una investigación previa sobre la persona. La principal contramedida contra estos ataques es tan sencilla como el ataque mismo, definir contraseñas seguras no relacionadas directamente con nuestra persona. Una buena guía se encuentra en nuestro boletín 2011-15 El Password: Factor crítico de éxito para proteger la información contra los Hackers.
Principales medios de ataques a cuentas en redes sociales (cont.) De igual manera, con las preguntas secretas, se pueden implementar mecanismos sencillos, tales como, elegir palabras que recordemos y que no sean relacionables con la pregunta, por ejemplo: Color favorito?, respuesta: Caracas. Para ampliar, haga click sobre el cuadro 2 La principal defensa contra la Ingeniería Social consiste en mantener una buena cultura en Seguridad de Información, teniendo siempre presente el no revelar información confidencial, como por ejemplo las contraseñas. Ingeniería social/ Phishing Otra premisa importante para un atacante es el hecho que el ser humano tiene la naturaleza de confiar en otras personas. El método por el cual un atacante busca explotar esta característica para obtener un acceso es conocido como Ingeniería Social. 1 Víctima Envío de link 3 Envío de usuario / contraseña Web Ficticia De igual manera, el verificar las direcciones y características de seguridad (Candado de cifrado, URL, etc.) de cualquier sitio al que naveguemos, buscando tener como costumbre ingresar siempre la dirección manualmente y no utilizar enlaces enviado por terceras partes. Instalación de software malicioso Existen diversos mecanismos para realizar ataques de Ingeniería Social, que van desde llamadas telefónicas donde el atacante de hace pasar por personal de soporte técnico o telemercadeo para obtener datos del usuario, hasta mecanismos más complejos como guiar a los usuarios a sitios Web idénticos al original para obtener su información de autenticación. 4 Atacante Figura N 2. Modelo de ataque de Phishing Web Real Un tercer vector de ataque, cuando los es no han sido exitosos, consiste en el uso de software malicioso. En este escenario, el atacante busca infectar a su víctima con un programa con el cual pudiese tener acceso a los documentos almacenados en el equipo, captura de teclado y pantalla y ejecución de programas remotos.
Principales medios de ataques a cuentas en redes sociales (cont.) Los métodos más comunes para infectar al usuario consisten en hacer llegar al usuario archivos troyanos, que al ejecutarse instalen el software malicioso. Estos troyanos son usualmente enviados por correos electrónicos, memorias USB o CD-ROMs, donde se busque explotar la curiosidad del usuario para ejecutar la aplicación maliciosa. La mejor defensa para estos ataques consiste en contar con software antivirus actualizado, que detecte y elimine cualquier software malicioso presente en el equipo. De igual manera, se recomienda tener cuidado de programas que sean enviados por correos o que se descarguen por Internet, así como también el insertar medios removibles no confiables en los equipos. Para ampliar, haga click sobre el cuadro 1 Víctima Envío de troyano Atacante 4 Web Figura N 3. Modelo de ataque por infección de troyano 2 3 Envío de usuario / contraseña Captura de tráfico Otro mecanismo utilizado para obtener la información de los usuarios consiste en la captura del tráfico de red (sniffing) por parte del atacante. Para poder ejecutar este tipo de ataques, el usuario debe encontrarse en la misma red que el atacante, esto puede darse, por ejemplo, al usar redes inalámbricas (Wi-Fi) públicas, tales como: aeropuertos, hoteles, restaurants, o en algunos casos el mismo proveedor de Internet (ISP). Una vez que el atacante identifica que la victima esta en la misma red, procede a utilizar herramientas especializadas para obtener los datos de autenticación (Password y Contraseña) o la información de sesión de la página Web (Cookies). Una vez que el atacante posee esta información, puede proceder a suplantar la identidad o robar la sesión del usuario. En Internet existen numerosas herramientas como el plugin firesheep para Firefox, que hacen muy sencillo este tipo de ataque.
Principales medios de ataques a cuentas en redes sociales (cont.) Para ampliar, haga click sobre el cuadro En algunos casos, el tráfico de red puede encontrarse cifrado, como por ejemplo, cuando la página utiliza conexiones Web seguras (HTTPS). En estos casos, el atacante debe realizar ataques para forzar que el tráfico de la victima sea enviado primero a su equipo, antes de ir al sitio final. Estos tipos son conocidos como Hombre en el Medio. Normalmente al generarse este tipo de ataques, los navegadores generan mensajes de error del certificado digital, sin embargo muchos usuarios tienden a ignorar estos errores, haciéndole más sencillo el trabajo al atacante. La manera de defenderse contra este tipo de ataques consiste en evitar acceder a las cuentas de redes sociales desde redes públicas y en caso de requerirlo asegurarse de ingresar a las mismas por las versiones cifradas (HTTPS) y validar y revisar cualquier mensaje de error de certificados digitales que se presenten al iniciar sesión y en caso de duda no ingresar al sitio. Intercepción del tráfico 3 Víctima 1 Ataque de redirección del tráfico Atacante 2 4 Web Debilidades de la plataforma Otro recurso que el atacante puede buscar con hechos, son vulnerabilidades presentes en la plataforma de la página de la red social o servicio de correo electrónico. Aún cuando no son comunes y normalmente son del conocimiento de pocos, estas vulnerabilidades pueden ser muy poderosas permitiendo al atacante obtener acceso a la información de las víctimas. Estas debilidades tienden a ser detectadas y corregidas rápidamente por los proveedores del servicio, por lo cual la ventana de exposición tiende a ser muy corta. Sin embargo, el usuario final no tiene ninguna defensa para este tipo de ataque. Figura N 4. Modelo de ataque por redirección de tráfico
Conclusiones Después de analizar los principales métodos por los cuales un atacante puede obtener los datos de las redes sociales para ingresar a las cuentas de sus víctimas, se puede observar que muchos de estos ataques pueden ser evitados contando con una buena cultura de Seguridad de Información, donde el usuario busque proteger sus datos a través de contraseñas robustas, accediendo a sus cuentas desde redes conocidas y seguras y desconfiando de fuentes externas que hagan envío de archivos desconocidos o que indaguen datos personales del usuario.
Créditos Para suscribirse al Boletín Consultoría Gerencial Síganos en El presente boletín es publicado por la Línea de Servicios de Consultoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PwC. Este boletín es de carácter informativo y no expresa opinión de la Firma. Si bien se han tomado todas las precauciones del caso en la preparación de este material, Espiñeira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daños y perjuicios resultantes del uso de la información contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueños. PwC niega cualquier derecho sobre estas marcas Editado por Espiñeira, Sheldon y Asociados Depósito Legal pp 1999-03CS141 Teléfono master: (58-212) 700 6666 2011 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira, Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni tampoco podrá comprometerlas de manera alguna. Ninguna firma miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J-00029977-3