RESUMEN
Hace ya algunos años vengo estudiando el comportamiento de los usuarios de mi red hacía el uso del correo electrónico. A medida que se han ido incorporando nuevas entidades y nuevos usuario a la red donde trabajo, se han incrementado la cantidad de usuarios de correo y se hace necesario brindarles a todos estos una capacitación para el uso correcto de este medio que brindamos.

Como dato inicial podemos decir que desde el 1 de enero del 2008 hasta inicios del mes de abril del presente año se han procesado más de 22 296 correos electrónicos y como dato estadístico podemos afirmar que el 26 % de estos correos han sido correos no deseados, según hemos podido comprobar en los lóg. obtenidos del servidor de correo, si ha estos datos le sumamos los reportes de los usuarios sobre supuestos Virus que al final no han sido más que Hoax, nos ha llamado la atención por lo que hemos decidido hacer este trabajo para ayudar a nuestros usuarios en la importancia del uso correcto del correo electrónico .

Para ello debemos conocer que o quienes están de tras de todas estos ataques recibidos por la vía del correo electrónico, debemos saber que es la Ingeniería Social y quienes son las personas que hacen de las misma vulnerable nuestros sistemas.

DESARROLLO
¿Qué es la Ingeniería Social?
En el campo de la seguridad informática, “Ingeniería Social” (IS) es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón débil” en seguridad; éste es el principio por el que se rige la ingeniería social.

Un ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en el correo electrónico que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, luego de que los primeros correo electrónicos maliciosos llevaron a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar los archivos adjuntos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, dan clic ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

Quizá el ataque más simple que aún es efectivo sea engañar a un usuario llevándolo a pensar que una persona es un administrador del sistema y solicitando una contraseña para varios propósitos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama Phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores del sistema. En realidad, los administradores de redes (nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario en una encuesta realizada por la empresa InfoSecurity, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.

En muchos casos vemos a diario usuarios de nuestra red que se nos acercan y nos comunican que han perdido su cuenta de usuario o que perdieron la información almacenada en su backup, o tal vez que han sido victimas pues su cuenta de correo electrónica fue blanco de ataques de spam, suplantación de identidad o envió de información no autorizada por la misma.

¿Cómo yo como usuario puedo contribuir o ayudar a que un Ingeniero Social me haga daño?
La ingeniería social se concentra en el eslabón más débil de cualquier cadena de políticas de seguridad. Se dice a menudo que la única computadora segura es aquella que nunca será encendida. El hecho es que se ha visto como el password (contraseña) de inicio de sesión en la red se puede encontrar debajo del teclado, escrito en el PAD del mouse, en la mesa y en ocasiones hasta en las libretas de notas con el acceso de todo el personal que labora en su oficina o en los laboratorios.

También el factor humano es una parte esencial del juego de seguridad. No existe un sistema informático que no dependa de algún dato ingresado por un operador humano. Esto significa que esta debilidad de seguridad es universal, independiente de plataforma, el software, red o edad de equipo.

Cualquier persona con el acceso a alguna parte del sistema, físicamente o electrónicamente, es un riesgo potencial de inseguridad.

Una de las herramientas esenciales usadas para la ingeniería social es una buena recolección de los hábitos de los individuos.

Sí nos referimos a Ingeniería Social como ya hemos visto es bien amplio todo lo que se refiere a esta ‘‘especialidad”, pero el interés principal de este trabajo es mostrarle a nuestros usuarios la necesidad de aprender a usar correctamente el correo electrónico para ello debemos explicar que son los molestos SPAM, Phishing, y los HOAX, de estos la importancia que tienen pues llegan a veces a saturar los servidores de correos por el exceso de información que suelen trasmitirse diariamente en la red pues causan a los usuarios que los reciben, alertas, curiosidad, ingenuidad, pánico y hasta el interés de ayudar en muchos casos sin saber que se están perjudicando la privacidad de su información.

¿Qué es el Spam?
Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en cantidades masivas que perjudican de una u otra manera al receptor. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. Otras tecnologías de Internet que han sido objeto de correo basura incluyen grupos de noticias usenet, motores de búsqueda, wikis, foros, blogs, también a través de popups y todo tipo de imágenes y textos en la Web.
El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Kmail, Webmail, etc.

También se llama spam a los virus sueltos en la red y páginas filtradas (casino, sorteos, premios, viajes y pornografía), se activa mediante el ingreso a páginas de comunidades o grupos que acceden a links en diversas páginas.
Estás son algunas de las situaciones que vemos a diario con el uso del correo electrónico, esto lleva a que al final nuestra computadora en el menor de los casos sea infectada con cualquier programa maligno (malware), aquí veremos algunos ejemplos más comunes a diario en nuestras redes.

Algunos ejemplos que se pueden citar:
La ejecución de un virus troyano por parte del usuario, adjunto a un correo electrónico enviado por una dirección que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", "mira a Shakira desnuda", etc.

También lo podemos ver con este típico asunto en que promueve mensajes publicitarios y cosas del estilo "hágase millonario mientras duerme".
Descarga los últimos emoticones de este link www.ejemplo.com y disfruta de las nuevas variedades.

Esto son algunos ejemplos, citados simplemente para mostrar algunos conceptos anteriormente explicados.

¿Qué son los Phishing?
Phishing o pesca de información es el uso de mensajes y páginas Web falsas para engañarte y hacerte enviar información confidencial o personal.

En general, recibes un correo que parece proceder de una organización acreditada, como un banco. El correo incluye lo que parece ser un enlace a la Web de la organización. Sin embargo, si haces clic en el enlace, te llevará a una copia falsa de la Web. Cualquier dato que introduzcas, como números de cuenta, números PIN o contraseñas, pueden ser robados y usados por las personas que crearon la página falsa.

¿Qué son los HOAX?
Un hoax (engaño, bulo, mofa) es un intento de hacer creer a un grupo de personas que algo falso es real.
A diferencia del fraude el cual tiene normalmente una o varias víctimas y es cometido con propósitos delictivos y de lucro ilícito, el hoax tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicación, siendo el más popular de ellos en la actualidad Internet y no suelen tener fines lucrativos o no son su fin primario.
Es un mensaje de correo electrónico con contenido falso o engañoso. Normalmente es distribuido en cadena por sus sucesivos receptores debido a su contenido impactante que parece provenir de una fuente seria y fiable o por que el mismo mensaje pide ser reenviado.

El Primer hoax surgió en diciembre de 1994, y casi al mismo tiempo de creación del spam, se envía el primer hoax masivo, que tenía como asunto Good Times.

El contenido de este correo es:
""¡Cuidado! Si llega un mensaje titulado 'Good Times', simplemente leyéndolo, el virus malicioso actúa y puede borrar todos los contenidos del disco duro"".

Los usuarios de nuestra red nos preguntan, ¿Por que recibimos spam en nuestros buzones de correo, cómo saben nuestra dirección electrónica?

Tanto los Spam como los Hoax, usan las técnicas similares los primeros con el fin de promover algún producto o simplemente recuperar direcciones electrónicas con el fin de venderlas y/o intercambiarlas , o simplemente hacerse de una gran cantidad de direcciones electrónicas para posteriormente distribuir por esa vía cualquier programa maligno (malware), los Hoax por su parte en el mayor de los casos buscan mover la opinión pública, engañar y fomentar falsas expectativas acerca de un tema especifico, pero siempre con el fin de recopilar la mayor cantidad de direcciones electrónicas para usarlas con el mismo fin que los creadores de los Spam.

En muchas ocasiones los usuarios de correo electrónico rechazan a un spam o simplemente no lo ven pues existen en los servidores de correo los Anti spam, pero si aceptan los Hoax o cartas en cadenas pues se sienten motivados por el asunto, es entonces que se convierten en víctimas de los Spam y los Hoax pues sus direcciones electrónicas pasan hacer propiedad de los Ingenieros Sociales que promueven esta información.

Veamos las técnicas más comunes utilizadas por los Ingenieros Sociales para atraer a sus victimas.

Los Ingenieros Sociales que crean hoax suelen tener alguno de los siguientes objetivos:
· Captar direcciones de correo (para mandar spam, virus, mensajes con Phishing o más hoax a gran escala).
· Intentar engañar al destinatario para que revele su contraseña o acepte un archivo de malware.
· Confundir a la opinión pública
· Básicamente, podemos dividir los hoaxes en las siguientes categorías:
· Alertas sobre virus incurables.
· Mensajes de temática religiosa.
· Cadenas de solidaridad.
· Cadenas de la suerte.
· Leyendas urbanas.
· Métodos para hacerse millonario.
· Regalos de grandes compañías.
· Otras cadenas.
· Algunos detalles sobre los hoaxes.
· No tienen firma.
· Algunos invocan los nombres de grandes compañías.
· Piden al receptor que lo envíe a todos sus contactos.
· Te amenazan con grandes desgracias si no lo reenvías.
· En algunos casos son bastante convincentes.
· Te hacen pedir deseos y al final del mensaje te dicen que si no lo reenvías no se te cumple el deseo.
· Vienen enviados por alguien de confianza que ya ha caído en el engaño.
· Algunos indican que por cada reenvío una empresa donará unos cuantos centavos a alguna persona en problemas.
· Algunos contienen numerosas faltas de ortografía.
· Suelen estar escritos en mayúscula.

A continuación mostramos algunos HOAX que más hemos detectado en nuestros servidores hasta la fecha.
· Cadenas religiosas o de la suerte.
· Peligros para la seguridad (Irak, robo de órganos humanos).
· Peligros para la salud (Sustancias que producen cáncer, intoxicaciones).
· Cadenas de solidaridad (la niña que si no es operada pierde la vida, personas enfermas y sino lo reenvías pierden la vida, etc.).
· Regalos increíbles (Bill Gates reparte su fortuna, Nokia regala celulares).
· Alertas informáticas (Virus, Hotmail cierra, la vida es bella etc.).
· Denuncias ambientalistas (Glaciares, Amazonas, recalentamiento terrestre).
· Denuncias sobre derechos humanos (Violación de niñas en África, Sitios de pornografía infantil, etc.).
· Scams o estafas (Estafa a la nigeriana, estafa piramidal, etc.)

También hay otros mensajes que no nacen como hoaxes pero pueden ser considerados como tales:
- Poemas y mensajes de amor y esperanza (éstos suelen venir en un archivo de Power Point).
- Mensajes para unirte a páginas de amigos y de relaciones de parejas.
- Chistes y fotos que circulan en cadena (ejemplo: la foto de Motumbo, fotos de Britney Spears o últimos chismes de farándula).

Según hemos conocidos por nuestros usuarios en algunas ocasiones estos hoax o cartas en cadenas suelen venir de direcciones y lugares del mismo territorio nacional o de personas conocidas, como ya hemos planteado anteriormente estas personas que en algunos casos suelen enviar esta información fueron engañados y se hacen participe de que lo que están enviando es una realidad.

Exponemos algunos tipos de cartas en cadenas, los más conocidos por nuestros usuarios.
1
Hola, y gracias por leer esto. Hay un(a) pobre niñito(a) en África, que no tiene piernas, ni brazos, ni padres. La vida de este niño puede ser salvada porque cada vez que envíes este correo electrónico, un dólar será donado a la FUNDACIÓN “Niñito de África sin piernas ni brazos ni padres.”

2
Hola! esta carta lleva en circulación desde el año 1876 (imposible porque en esa época no había correo electrónico), Así funciona: envía esto a 1,2,3,4,5…. personas en 7 minutos o algo horrible te pasará. Es cierto!!

Historia Verídica: María Carla regreso a su casa el sábado. Ella había ignorado esta carta. Se tropezó con una grieta en la cera, cayó en las cloacas, fue absorbida por unas tuberías y murió. Esto te podría pasar a ti!!

Historia verídica: Oscar, un chico argentino de 18 años, recibió esta carta y la ignoró. Ese mismo día, fue atropellado por un coche, al igual que su novia ( Sí, algunos empiezan tan jóvenes…). Ambos murieron y fueron enviados al infierno. Esto también te podría pasar a ti!! Recuerda, podrías acabar como estos chicos!! Simplemente envía esto a todos tus contactos y todos seguirá bien!!

Si recibes una carta que amenaza a tu vida, o que pretende dejarte sin suerte para el resto de tu vida, BÓRRALA. Todo eso es mentira.

CONCLUSIONES
¿Cómo podemos contribuir a la educación a nuestros usuarios para que no sean victimas de los Ingenieros Sociales?

Educar a nuestros usuarios es lo más importante, es el objetivo de este trabajo, hemos visto que existen innumerable vías y formas para recibir los molestos Spam, Phishing y Hoax a continuación les proponemos una serie de medidas para evitar seguirle el juego a estos Ingenieros Sociales que tanto molestan en nuestras redes.

Un buen primer paso es crear conciencia de la Seguridad Informática todo el personal que forme parte del sistema educacional (aunque no tengan acceso a las computadoras) sepa sobre los aspectos que rigen la seguridad de las redes.

No ingrese su dirección electrónica en un sitio Web sin antes verificar la política de privacidad del mismo.

No haga clic en el enlace “cancelar suscripción” de un correo electrónico, a menos que usted confíe en el remitente. Estas acciones le permiten al remitente verificar su existencia.

No reenvíe nunca las cartas en cadena, las peticiones, ni las alertas de virus. Éstas pueden ser trucos de los Ingenieros Sociales que envían correos no deseados para recopilar direcciones.

No responda a los mensajes de spam sospechosos, particularmente los que parecen ser enviados por bancos. Al responder, usted estará confirmando la existencia de su dirección de correo electrónico, lo que puede hacer que reciba aún más mensajes de spam.

Nunca permita que los programas de computadora recuerden sus contraseñas ni números de tarjeta de crédito. Además, cambie sus contraseñas con frecuencia y no las comparta con otras personas.

Deshabilite la “vista previa” de su correo electrónico. Esto evita que el correo no deseado le informe al remitente que usted lo ha recibido.

Sí esta recibiendo constantemente estos molestos correos informe a los administradores de red para que revisen el filtrado de los Anti Spam, puede que no esté filtrándolos correctamente.

Utilice programas para bloquear los correos no deseados. Los navegadores como Internet Explorer, Mozilla, Opera, Safari etc. incluyen opciones de filtro.

Póngase en contacto con los responsables de Seguridad Informática para que le instalen en su computadora un Antispam o le den sugerencias para evitar estos molestos correos.

Desconfiar de los mensajes que no contienen ninguna fecha o dato que pueda ubicarlos temporalmente: el hoax está redactado de forma que pueda ser reenviado indefinidamente (en ocasiones llega a estar activo durante años)

Cuando recibamos un mensaje que hable de algo que desconocemos conviene consultar su veracidad (por ejemplo a partir de buscadores de la www o simplemente informarnos con el personal de Seguridad Informática).

Sólo si, tras el paso previo, estamos seguros de que lo que dice el mensaje es cierto e importante de ser conocido por nuestros contactos Al reenviar un mensaje, utilizando la opción "Reenviar mensaje o Forward" del programa de correo, se incorporan al mensaje todas las direcciones incluidas en los campos "Para" y "CC". Para evitar esto, si deseas reenviar a varias personas el mensaje que recibiste, procede de la siguiente manera: Selecciona la parte del mensaje que deseas reenviar, evitando las direcciones. Copia y pega en un mensaje nuevo. De esta manera evitas que circulen todas las direcciones de correo que venían en el mensaje.

Explicarles a nuestros usuarios y amigos cuáles son las consecuencias de reenviar estas cadenas y pedirles que no te reenvíen más este tipo de información

Pero lo más importante es No reenviar nunca estos mensajes, solo borrarlos con solo hacer eso usted esta contribuyendo a ir eliminando el juego de los Ingenieros Sociales.

Existen muchas más medidas para evitar los molestos Spam, Phishing y Hoax, pero la mejor medida para eliminarlos es borrarlos, si usted contribuye con solo ese granito de arena y solo con esto ayuda a eliminar poco a poco a estos mal llamado Ingenieros Sociales.

BIBLIOGRAFÍA
1. Aneiro Rodríguez, Lázaro Orlando. Elementos de Arquitectura y Seguridad Informática. La Habana: Editorial Pueblo y Educación, 2001.
2. Boletín MS05-015. Disponible en: www.microsoft.com./spain/boletin/MS05-015 . [Consulta: enero, 2006]
3. Canto, Julio y Sergio de los Santos. ¿Que postura tomar frente al "Kama Sutra"?: Disponible en: http://www.hispasec.com/unaaldia/2658/comentar. [ Consulta: mayo, 2006]
4. Canto, Julio y Sergio de los Santos. ¿Que postura tomar frente al "Kama Sutra"?: Disponible en: http://www.hispasec.com/unaaldia/2658/comentar. [Consulta: mayo, 2006]
5. Costa Carballo, Carlos M. Tecnología informática y calidad de vida: ¿Es posible?. En Ciencias de la Información. Vol. 26, no.3. La Habana, septiembre 1995.
6. Fernández Gutiérrez, Floirán. Cómo enseñar tecnologías informáticas. La Habana: Editorial Científico Técnica, 2001.
7. Gladis, Edgar. título . Disponible en: http://www.jrebelde.cubaweb.cu/secciones/informatica/2006/html/programas.HTML. [Consulta: mayo, 2006]
8. Jonson, Kevin. La Seguridad Informática en el mundo actual. Disponible en: http:// www.criptored.com.
9. Enciclopedia Microsoft Encarta. España, 2008.
10. Morales, Carlos. Los Virus y la Seguridad en las Redes Informáticas. Disponible en http://www.Hispasec.com.
11. Ramió Aguirre, Jorge. Seguridad Informática y Criptografía. Madrid: Universidad Politécnica de Madrid, 2007.
12. Ropero, Antonio. La Seguridad Informática en el mundo actual. Disponible en: http://www.Hispasec.com. [Consulta: abril, 2008]
13. Ropero, Antonio. ¿Estos son virus: Spam, Maldware, Spyware? Disponible en: http://www.Hispasec.com. [Consulta: mayo, 2008]
14. Últimos Virus que han atacado nuestro país. Disponible en: http:// www.segurmatica.com.cu. [Consulta: mayo, 2008]
15. Valle, Amaury E. del. Peligroso virus afecta redes informáticas cubanas. Disponible en: http://www.jrebelde.cubaweb.cu/2005/julio-septiembre/sept-17/peligroso.html. [Consulta: enero, 2006]

AUTOR
Lic. Alian Manuel Arteaga García
Sancti Spíritus, Cuba
alian@ssp.rimed.cu
2008