www.pwc.

com/ve

Inicio

Boletn de Consultora Gerencial

Ataques sobre cuentas de redes sociales
Boletn Digital No. 16 - 2011

Espieira, Sheldon y Asociados

Boletn de Consultora Gerencial - No. 16 - 2011

Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Contenido
Haga click en los enlaces para navegar a travs del documento
4Introduccin Principales medios de ataques a las cuentas en redes sociales Deduccin de contraseas Ingeniera social/ Phishing Instalacin de software malicioso Captura de trfico Debilidades de la plataforma Conclusiones 4Crditos / Suscribirse

No. 16 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Ataques sobre cuentas de redes sociales
Introduccin
Los ataques a cuentas de usuarios en las redes sociales ha sido un tema recurrente en las noticias, al punto que se ha hecho cotidiano el acceso no autorizado a cuentas de personalidades como Sarah Palin1, Paris Hilton2, Ashton Kutcher3, Alvaro Uribe y Juan Manuel Santos4, Daniel Samper5, etc. Otro ejemplo: el 9 de Septiembre del 2011 la cuenta de Twitter de la cadena de NBC News fue atacada6, logrando los agresores publicar noticias referentes a atentados terroristas similares a los del 11 de Septiembre del 2001. Venezuela no escapa tampoco a esta realidad. A comienzos del mes de Septiembre de 2011 se pudo observar una oleada de intrusiones a las cuentas de redes sociales de varios personajes pblicos en Venezuela. Las cuentas se usaron luego para enviar mensajes ofensivos, afectando la imagen pblica de estas personas. Al margen de los ataques notorios que hemos mencionado, y que usualmente slo sirven como un mecanismo para incrementar la reputacin de algn grupo de Hackers, la realidad es que muchos otros casos ocurren y las consecuencias son el acceso a la informacin confidencial de las personas, pudiendo servir luego como punto de partida para otras modalidades criminales como chantajes, robo de identidad, fraudes, secuestros, etc. La pregunta ahora es: Cmo logran los atacantes obtener el acceso a estas cuentas?, y ms importante an: Qu puedo hacer como usuario para protegerme? En una reciente encuesta realizada por Harris Interactive entre el 31 de Mayo y el 2 de Junio de 20117, el 10% de los usuario respondi haber sido vctimas de ataques a sus cuentas en las redes sociales y un 13% no est seguro si fue atacado o no. Adicionalmente, el 69% de los usuarios de redes sociales respondieron que estn preocupados por la seguridad de sus perfiles, sin embargo, slo el 55% actualiza el perfil de seguridad de sus cuentas al menos una vez cada seis (6) meses.

Slo el 55% de los usuarios actualiza su perfil de seguridad al menos una vez cada seis meses
Fuente: Eset Survey, Junio 2011

55%

http://www.thetechherald.com/article.php/200839/2083/Palin-hackhighlights-important-e-mail-risks 2 http://www.oreillynet.com/pub/a/mac/2005/01/01/paris.html 3 http://news.cnet.com/8301-17852_3-20038602-71.html 4 http://www.elespectador.com/noticias/politica/articulo-285824anonymous-hackea-cuenta-de-twitter-de-uribe 5 http://www.vanguardia.com/actualidad/colombia/117112-hackearoncuenta-de-twitter-del-periodista-daniel-samper-ospina 6 http://news.cnet.com/8301-27080_3-20104165-245/nbc-news-twitteraccount-hacked/ 7 http://blog.eset.com/2011/06/22/the-social-networkingcybersafetydisconnect

1

No. 16 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Ataques sobre cuentas de redes sociales
Principales medios de ataques a las cuentas en redes sociales
Para ampliar, haga click sobre el cuadro

Deduccin de contraseas Cualquier atacante intentar la va ms sencilla, antes de recurrir a modalidades de ataques ms complejas. La deduccin de una contrasea es un ataque sencillo y con un grado de xito aceptable. La estrategia comnmente utilizada por los atacantes consiste en realizar una pequea investigacin sobre la persona a ser atacada buscando obtener datos que tradicionalmente se utilizan para crear sus contraseas, como nombres de familiares y allegados, fechas importantes, nombres de mascotas, ciudades donde ha vivido, etc. Con estos datos se conforma una lista de palabras o diccionario que luego puede ser introducida a una herramienta que se dedica a intentar varias combinaciones de estas, con ligeras alteraciones, hasta agotar las posibilidades o lograr el acceso a la cuenta.
Diccionario de Palabras Atacante

Una variante de este ataque consiste en atacar los mecanismos de recuperacin de contraseas de las pginas: muchas redes sociales o sitios de correo electrnico, permiten al usuario recuperar o reiniciar su contrasea, a travs del uso de preguntas secretas, cuya respuesta nicamente el usuario debera conocer. Sin embargo, muchas de las preguntas predefinidas como: Apellido de soltera de la madre?, Color favorito?, Ciudad donde naci?, Nombre de su primera mascota?, etc., pueden ser deducidas con una investigacin previa sobre la persona. La principal contramedida contra estos ataques es tan sencilla como el ataque mismo, definir contraseas seguras no relacionadas directamente con nuestra persona.

Internet

Intentos de Acceso

Pgina Web

Una buena gua se encuentra en nuestro boletn 2011-15 El Password: Factor crtico de xito para proteger la informacin contra los Hackers.

Figura N1. Modelo de ataque de diccionario

No. 16 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Ataques sobre cuentas de redes sociales
Principales medios de ataques a cuentas en redes sociales (cont.)
Para ampliar, haga click sobre el cuadro

De igual manera, con las preguntas secretas, se pueden implementar mecanismos sencillos, tales como, elegir palabras que recordemos y que no sean relacionables con la pregunta, por ejemplo: Color favorito?, respuesta: Caracas. Ingeniera social/ Phishing Otra premisa importante para un atacante es el hecho que el ser humano tiene la naturaleza de confiar en otras personas. El mtodo por el cual un atacante busca explotar esta caracterstica para obtener un acceso es conocido como Ingeniera Social. Existen diversos mecanismos para realizar ataques de Ingeniera Social, que van desde llamadas telefnicas donde el atacante de hace pasar por personal de soporte tcnico o telemercadeo para obtener datos del usuario, hasta mecanismos ms complejos como guiar a los usuarios a sitios Web idnticos al original para obtener su informacin de autenticacin.
Vctima

2
Inicio de Sesin

La principal defensa contra la Ingeniera Social consiste en mantener una buena cultura en Seguridad de Informacin, teniendo siempre presente el no revelar informacin confidencial, como por ejemplo las contraseas. De igual manera, el verificar las direcciones y caractersticas de seguridad (Candado de cifrado, URL, etc.) de cualquier sitio al que naveguemos, buscando tener como costumbre ingresar siempre la direccin manualmente y no utilizar enlaces enviado por terceras partes. Instalacin de software malicioso Un tercer vector de ataque, cuando los anteriores no han sido exitosos, consiste en el uso de software malicioso. En este escenario, el atacante busca infectar a su vctima con un programa con el cual pudiese tener acceso a los documentos almacenados en el equipo, captura de teclado y pantalla y ejecucin de programas remotos.

3
Envo de link Envo de usuario / contrasea

Pgina Web Ficticia

4
Inicio de Sesin

Atacante

Pgina Web Real

Figura N2. Modelo de ataque de Phishing

No. 16 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Ataques sobre cuentas de redes sociales
Principales medios de ataques a cuentas en redes sociales (cont.)
Para ampliar, haga click sobre el cuadro

Los mtodos ms comunes para infectar al usuario consisten en hacer llegar al usuario archivos troyanos, que al ejecutarse instalen el software malicioso. Estos troyanos son usualmente enviados por correos electrnicos, memorias USB o CD-ROMs, donde se busque explotar la curiosidad del usuario para ejecutar la aplicacin maliciosa. La mejor defensa para estos ataques consiste en contar con software antivirus actualizado, que detecte y elimine cualquier software malicioso presente en el equipo. De igual manera, se recomienda tener cuidado de programas que sean enviados por correos o que se descarguen por Internet, as como tambin el insertar medios removibles no confiables en los equipos.

Captura de trfico
2
Inicio de Sesin

Vctima

3 1
Envo de troyano Envo de usuario / contrasea Pgina Web

Otro mecanismo utilizado para obtener la informacin de los usuarios consiste en la captura del trfico de red (sniffing) por parte del atacante. Para poder ejecutar este tipo de ataques, el usuario debe encontrarse en la misma red que el atacante, esto puede darse, por ejemplo, al usar redes inalmbricas (Wi-Fi) pblicas, tales como: aeropuertos, hoteles, restaurants, o en algunos casos el mismo proveedor de Internet (ISP). Una vez que el atacante identifica que la victima esta en la misma red, procede a utilizar herramientas especializadas para obtener los datos de autenticacin (Password y Contrasea) o la informacin de sesin de la pgina Web (Cookies). Una vez que el atacante posee esta informacin, puede proceder a suplantar la identidad o robar la sesin del usuario. En Internet existen numerosas herramientas como el plugin firesheep para Firefox, que hacen muy sencillo este tipo de ataque.

4
Inicio de Sesin

Atacante

Figura N3. Modelo de ataque por infeccin de troyano

No. 16 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Ataques sobre cuentas de redes sociales
Principales medios de ataques a cuentas en redes sociales (cont.)
Para ampliar, haga click sobre el cuadro

En algunos casos, el trfico de red puede encontrarse cifrado, como por ejemplo, cuando la pgina utiliza conexiones Web seguras (HTTPS). En estos casos, el atacante debe realizar ataques para forzar que el trfico de la victima sea enviado primero a su equipo, antes de ir al sitio final. Estos tipos son conocidos como Hombre en el Medio. Normalmente al generarse este tipo de ataques, los navegadores generan mensajes de error del certificado digital, sin embargo muchos usuarios tienden a ignorar estos errores, hacindole ms sencillo el trabajo al atacante. La manera de defenderse contra este tipo de ataques consiste en evitar acceder a las cuentas de redes sociales desde redes pblicas y en caso de requerirlo asegurarse de ingresar a las mismas por las versiones cifradas (HTTPS) y validar y revisar cualquier mensaje de error de certificados digitales que se presenten al iniciar sesin y en caso de duda no ingresar al sitio.

Debilidades de la plataforma Otro recurso que el atacante puede buscar con hechos, son vulnerabilidades presentes en la plataforma de la pgina de la red social o servicio de correo electrnico.
Vctima

1
Ataque de redireccin del trfico Intercepcin del trfico

2
Inicio de Sesin

An cuando no son comunes y normalmente son del conocimiento de pocos, estas vulnerabilidades pueden ser muy poderosas permitiendo al atacante obtener acceso a la informacin de las vctimas. Estas debilidades tienden a ser detectadas y corregidas rpidamente por los proveedores del servicio, por lo cual la ventana de exposicin tiende a ser muy corta. Sin embargo, el usuario final no tiene ninguna defensa para este tipo de ataque.

Pgina Web

4
Inicio de Sesin

Atacante

Figura N4. Modelo de ataque por redireccin de trfico

No. 16 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Boletn de Consultora Gerencial

Ataques sobre cuentas de redes sociales
Conclusiones
Despus de analizar los principales mtodos por los cuales un atacante puede obtener los datos de las redes sociales para ingresar a las cuentas de sus vctimas, se puede observar que muchos de estos ataques pueden ser evitados contando con una buena cultura de Seguridad de Informacin, donde el usuario busque proteger sus datos a travs de contraseas robustas, accediendo a sus cuentas desde redes conocidas y seguras y desconfiando de fuentes externas que hagan envo de archivos desconocidos o que indaguen datos personales del usuario.

No. 16 - 2011
Contenido Cerrar Imprimir

Pgina anterior

Pgina siguiente

Crditos
El presente boletn es publicado por la Lnea de Servicios de Consultora Gerencial (Advisory) de Espieira, Sheldon y Asociados, Firma miembro de PwC. Este boletn es de carcter informativo y no expresa opinin de la Firma. Si bien se han tomado todas las precauciones del caso en la preparacin de este material, Espieira, Sheldon y Asociados no asume ninguna responsabilidad por errores u omisiones; tampoco asume ninguna responsabilidad por daos y perjuicios resultantes del uso de la informacin contenida en el presente documento. Las marcas mencionadas son propiedad de sus respectivos dueos. PwC niega cualquier derecho sobre estas marcas

Para suscribirse al Boletn

Consultora Gerencial

Sganos en

Editado por Espieira, Sheldon y Asociados Depsito Legal pp 1999-03CS141 Telfono master: (58-212) 700 6666
2011 Espieira, Sheldon y Asociados. Todos los derechos reservados. PricewaterhouseCoopers se refiere a Espieira, Sheldon y Asociados. A medida que el contexto lo exija PricewaterhouseCoopers puede referirse a la red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espieira, Sheldon y Asociados no ser responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podr ejercer control sobre su juicio profesional ni tampoco podr comprometerlas de manera alguna. Ninguna firma miembro ser responsable por los actos u omisiones de cualquier otra firma miembro ni podr ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podr comprometer de manera alguna a otra firma miembro o a PwCIL. R.I.F.: J-00029977-3