Ataques sobre cuentas de redes sociales| PwC Venezuela

8/3/2019 Ataques sobre cuentas de redes sociales| PwC Venezuela

1/9

Boletn de Consultora GerencialAtaques sobre cuentas de redes sociales

Boletn DigitalNo. 16 - 2011

www.pwc.com/ve

Espieira, Sheldon y Asociados

Inicio


2/9

Pginasiguiente

PginaanteriorCerrar ImprimirContenido

ContenidoHaga click en los enlaces para navegar a travs del documento

Boletn de Consultora Gerencial - No. 16 - 2011

4Introduccin

Principales medios de ataques a las cuentas en redessociales

Deduccin de contraseas

Ingeniera social/ Phishing

Instalacin de sotware malicioso

Captura de trco

Debilidades de la plataormaConclusiones

4Crditos / Suscribirse
http://nextpage/http://prevpage/http://print/http://close/


3/9


No. 16 - 2011Pgina

siguientePginaanteriorCerrar ImprimirContenido

Introduccin

Los ataques a cuentas de usuarios en las redessociales ha sido un tema recurrente en las

noticias, al punto que se ha hecho cotidiano elacceso no autorizado a cuentas depersonalidades como Sarah Palin1, Paris Hilton2,

Ashton Kutcher3, Alvaro Uribe y Juan ManuelSantos4, Daniel Samper5, etc.

Otro ejemplo: el 9 de Septiembre del 2011 lacuenta de Twitter de la cadena de NBC News ueatacada6, logrando los agresores publicarnoticias reerentes a atentados terroristassimilares a los del 11 de Septiembre del 2001.

Venezuela no escapa tampoco a esta realidad. Acomienzos del mes de Septiembre de 2011 sepudo observar una oleada de intrusiones a lascuentas de redes sociales de varios personajespblicos en Venezuela. Las cuentas se usaronluego para enviar mensajes oensivos, aectandola imagen pblica de estas personas.

Al margen de los ataques notorios que hemosmencionado, y que usualmente slo sirven como

un mecanismo para incrementar la reputacinde algn grupo de Hackers, la realidad es quemuchos otros casos ocurren y las consecuenciasson el acceso a la inormacin condencial delas personas, pudiendo servir luego como puntode partida para otras modalidades criminalescomo chantajes, robo de identidad, raudes,secuestros, etc.

La pregunta ahora es: Cmo logran losatacantes obtener el acceso a estas cuentas?, y

ms importante an: Qu puedo hacer comousuario para protegerme?

En una reciente encuesta realizada por HarrisInteractive entre el 31 de Mayo y el 2 de Juniode 20117, el 10% de los usuario respondi habersido vctimas de ataques a sus cuentas en lasredes sociales y un 13% no est seguro si ueatacado o no.

Adicionalmente, el 69% de los usuarios de redessociales respondieron que estn preocupados

por la seguridad de sus perles, sin embargo,slo el 55% actualiza el perl de seguridad desus cuentas al menos una vez cada seis (6)meses.

1http://www.thetechherald.com/article.php/200839/2083/Palin-hack-highlights-important-e-mail-risks2http://www.oreillynet.com/pub/a/mac/2005/01/01/paris.html3http://news.cnet.com/8301-17852_3-20038602-71.html4http://www.elespectador.com/noticias/politica/articulo-285824-anonymous-hackea-cuenta-de-twitter-de-uribe5http://www.vanguardia.com/actualidad/colombia/117112-hackearon-cuenta-de-twitter-del-periodista-daniel-samper-ospina6 http://news.cnet.com/8301-27080_3-20104165-245/nbc-news-twitter-account-hacked/7http://blog.eset.com/2011/06/22/the-social-networkingcybersaety-disconnect

Slo el 55% de los usuarios actualiza

su perfl de seguridad al menos una vez

cada seis meses 55%Fuente: Eset Survey, Junio 2011


4/9


No. 16 - 2011Pgina


Principales medios de ataques alas cuentas en redes sociales

Deduccin de contraseas

Cualquier atacante intentar la va ms sencilla,antes de recurrir a modalidades de ataques mscomplejas. La deduccin de una contrasea esun ataque sencillo y con un grado de xitoaceptable.

La estrategia comnmente utilizada por losatacantes consiste en realizar una pequeainvestigacin sobre la persona a ser atacadabuscando obtener datos que tradicionalmente seutilizan para crear sus contraseas, comonombres de amiliares y allegados, echasimportantes, nombres de mascotas, ciudadesdonde ha vivido, etc.

Con estos datos se conorma una lista depalabras o diccionario que luego puede serintroducida a una herramienta que se dedica aintentar varias combinaciones de estas, conligeras alteraciones, hasta agotar las

posibilidades o lograr el acceso a la cuenta.

Una variante de este ataque consiste en atacar

los mecanismos de recuperacin de contraseasde las pginas: muchas redes sociales o sitios decorreo electrnico, permiten al usuariorecuperar o reiniciar su contrasea, a travs deluso de preguntas secretas, cuya respuestanicamente el usuario debera conocer. Sinembargo, muchas de las preguntas predenidascomo: Apellido de soltera de la madre?, Coloravorito?, Ciudad donde naci?, Nombre desu primera mascota?, etc., pueden ser deducidascon una investigacin previa sobre la persona.

La principal contramedida contra estos ataqueses tan sencilla como el ataque mismo, denircontraseas seguras no relacionadasdirectamente con nuestra persona.

Una buena gua se encuentra en nuestro boletn2011-15 El Password: Factor crtico de xitopara proteger la inormacin contra losHackers.

Figura N1. Modelo de ataque de diccionario

Para ampliar, haga click sobre el cuadro

Diccionario

de Palabras

Atacante

Intentos

de Acceso

Internet

Pgina Web


5/9


No. 16 - 2011Pgina


Principales medios de ataques acuentas en redes sociales (cont.)

De igual manera, con las preguntas secretas, se

pueden implementar mecanismos sencillos,tales como, elegir palabras que recordemos yque no sean relacionables con la pregunta, porejemplo: Color avorito?, respuesta: Caracas.

Ingeniera social/ Phishing

Otra premisa importante para un atacante es elhecho que el ser humano tiene la naturaleza deconar en otras personas. El mtodo por el cualun atacante busca explotar esta caractersticapara obtener un acceso es conocido comoIngeniera Social.

Existen diversos mecanismos para realizarataques de Ingeniera Social, que van desdellamadas telenicas donde el atacante de hacepasar por personal de soporte tcnico otelemercadeo para obtener datos del usuario,hasta mecanismos ms complejos como guiar alos usuarios a sitios Web idnticos al original

para obtener su inormacin de autenticacin. Figura N2. Modelo de ataque de Phishing


La principal deensa contra la Ingeniera Social

consiste en mantener una buena cultura enSeguridad de Inormacin, teniendo siemprepresente el no revelar inormacin condencial,como por ejemplo las contraseas.

De igual manera, el vericar las direcciones ycaractersticas de seguridad (Candado decirado, URL, etc.) de cualquier sitio al quenaveguemos, buscando tener como costumbreingresar siempre la direccin manualmente y noutilizar enlaces enviado por terceras partes.

Instalacin de sotware malicioso

Un tercer vector de ataque, cuando losanteriores no han sido exitosos, consiste en eluso de sotware malicioso. En este escenario, elatacante busca inectar a su vctima con unprograma con el cual pudiese tener acceso a losdocumentos almacenados en el equipo, capturade teclado y pantalla y ejecucin de programas

remotos.

Vctima

Inicio de Sesin

Inicio de Sesin

Pgina Web

Ficticia

Pgina Web

RealAtacante

Envo

de link

Envo

de usuario /contrasea

2

3

4

1


6/9


No. 16 - 2011Pgina



Los mtodos ms comunes para inectar al

usuario consisten en hacer llegar al usuarioarchivos troyanos, que al ejecutarse instalen elsotware malicioso. Estos troyanos sonusualmente enviados por correos electrnicos,memorias USB o CD-ROMs, donde se busqueexplotar la curiosidad del usuario para ejecutarla aplicacin maliciosa.

La mejor deensa para estos ataques consiste encontar con sotware antivirus actualizado, quedetecte y elimine cualquier sotware maliciosopresente en el equipo.

De igual manera, se recomienda tener cuidadode programas que sean enviados por correos oque se descarguen por Internet, as comotambin el insertar medios removibles noconables en los equipos.

Captura de trfco

Otro mecanismo utilizado para obtener lainormacin de los usuarios consiste en lacaptura del trco de red (snifng) por parte delatacante. Para poder ejecutar este tipo deataques, el usuario debe encontrarse en lamisma red que el atacante, esto puede darse,por ejemplo, al usar redes inalmbricas (Wi-Fi)pblicas, tales como: aeropuertos, hoteles,restaurants, o en algunos casos el mismoproveedor de Internet (ISP).

Una vez que el atacante identica que la victimaesta en la misma red, procede a utilizarherramientas especializadas para obtener losdatos de autenticacin (Password y Contrasea)o la inormacin de sesin de la pgina Web(Cookies). Una vez que el atacante posee estainormacin, puede proceder a suplantar laidentidad o robar la sesin del usuario. EnInternet existen numerosas herramientas como

el plugin resheep para Fireox, que hacen muysencillo este tipo de ataque.Figura N3. Modelo de ataque por ineccin de tr oyano


Pgina Web

Inicio de Sesin

4

Vctima

Inicio de Sesin

Atacante

Envo detroyano

Envo

de usuario /

contrasea

2

3

1


7/9


No. 16 - 2011Pgina



En algunos casos, el trco de red puede

encontrarse cirado, como por ejemplo, cuandola pgina utiliza conexiones Web seguras(HTTPS). En estos casos, el atacante deberealizar ataques para orzar que el trco de la

victima sea enviado primero a su equipo, antesde ir al sitio nal. Estos tipos son conocidoscomo Hombre en el Medio. Normalmente algenerarse este tipo de ataques, los navegadoresgeneran mensajes de error del certicadodigital, sin embargo muchos usuarios tienden aignorar estos errores, hacindole ms sencillo eltrabajo al atacante.La manera de deenderse contra este tipo deataques consiste en evitar acceder a las cuentasde redes sociales desde redes pblicas y en casode requerirlo asegurarse de ingresar a lasmismas por las versiones ciradas (HTTPS) y

validar y revisar cualquier mensaje de error decerticados digitales que se presenten al iniciarsesin y en caso de duda no ingresar al sitio.

Debilidades de la plataorma

Otro recurso que el atacante puede buscar conhechos, son vulnerabilidades presentes en laplataorma de la pgina de la red social oservicio de correo electrnico.

An cuando no son comunes y normalmente sondel conocimiento de pocos, estas

vulnerabilidades pueden ser muy poderosaspermitiendo al atacante obtener acceso a lainormacin de las vctimas.

Estas debilidades tienden a ser detectadas ycorregidas rpidamente por los proveedores delservicio, por lo cual la ventana de exposicintiende a ser muy corta. Sin embargo, el usuarional no tiene ninguna deensa para este tipo deataque.

Figura N4. Modelo de ataque por redireccin de trco


Pgina Web

Inicio de Sesin

4

Vctima

Atacante

Intercepcindel trfico

Inicio de Sesin

2

3

1

Ataque deredireccin del

trfico


8/9


No. 16 - 2011Pgina


Conclusiones

Despus de analizar los principales mtodos porlos cuales un atacante puede obtener los datos

de las redes sociales para ingresar a las cuentasde sus vctimas, se puede observar que muchosde estos ataques pueden ser evitados contandocon una buena cultura de Seguridad deInormacin, donde el usuario busque protegersus datos a travs de contraseas robustas,accediendo a sus cuentas desde redes conocidas

y seguras y desconando de uentes externasque hagan envo de archivos desconocidos o queindaguen datos personales del usuario.


9/9

Pginasiguiente

PginaanteriorCerrar ImprimirContenido

Crditos

2011 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede reerirse a la

red de frmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada frma miembro es una entidad separada e independiente y Espieira,

Sheldon y Asociados no ser responsable por los actos u omisiones de cualquiera de sus frmas miembro ni podr ejercer control sobre su juicio proesional ni tampoco podr comprometerlas de manera alguna. Ninguna frmamiembro ser responsable por los actos u omisiones de cualquier otra frma miembro ni podr ejercer control sobre el juicio proesional de otra frma miembro ni tampoco podr comprometer de manera alguna a otra frma

miembro o a PwCIL. R.I.F.: J-00029977-3

Editado por Espieira, Sheldon y AsociadosDepsito Legal pp 1999-03CS141

Telono master: (58-212) 700 6666

El presente boletn es publicado por la Lnea de Servicios deConsultora Gerencial (Advisory) de Espieira, Sheldon yAsociados, Firma miembro de PwC.

Este boletn es de carcter inormativo y no expresa opinin de laFirma. Si bien se han tomado todas las precauciones del caso en lapreparacin de este material, Espieira, Sheldon y Asociados noasume ninguna responsabilidad por errores u omisiones; tampocoasume ninguna responsabilidad por daos y perjuicios resultantesdel uso de la inormacin contenida en el presente documento. Lasmarcas mencionadas son propiedad de sus respectivos dueos. PwCniega cualquier derecho sobre estas marcas

No. 16 - 2011

Sganos enPara suscribirse al Boletn

Consultora Gerencial
mailto:[email protected]://twitter.com/pwc_venezuelahttp://www.facebook.com/pwcVenezuelahttp://linkedin.com/company/pwc-venezuelamailto:[email protected]://prevpage/http://print/http://close/

Documents

Ataques sobre cuentas de redes sociales| PwC Venezuela