El tema que nos ocupa es en gran parte conocido por todos, pero al cual en muchas ocasiones no le prestamos el debido cuidado, y eso es lo que podríamos denominar la “INGENIERIA SOCIAL”.

Empecemos entonces acercándonos un poco al concepto de Ingeniería Social, que es todo mecanismo, ardid y técnica elaborada para conseguir, a través del engaño de las personas, información sensible o delicada de una organización, una persona o un sistema.

El único medio para entender como defenderse contra esta clase de ataques es conocer los conceptos básicos que pueden ser utilizados contra usted o su compañía y que abren brechas para conseguir sus datos. Con este conocimiento es posible adoptar una actitud más saludable, que lo alerte sin convertirse en un ser paranoico.

Los individuos padecemos las mismas debilidades dentro y fuera de una organización y las prácticas conocidas sólo deben ser adaptadas al nuevo medio aparecido.

Las cualidades que pueden ser utilizadas son propias de la persona, como sus relaciones personales, presentación física, experiencia, credibilidad, curiosidad, codicia, conocimiento y demás.

Parece irreal que al preguntar a una persona por la información que necesitamos, se obtenga lo que se desea; sin embargo esta destreza es desplegada y utilizada por personas normales, hackers, ladrones, timadores y estafadores para lograr que otra persona ejecute una acción que generalmente repercute en un beneficio para las personas que lo utilizan, llámese “atacante”.

En el mundo de la seguridad, este arte es utilizado, entre otros, para dos fines específicos:

1. La victima es tentada a realizar una acción necesaria para burlar o dañar un sistema de seguridad: Ejemplo claro en la seguridad informática esta el caso en donde el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto o abrir la página web recomendada, que terminará dañando o incrustando spywere al sistema.

2. La victima es llevada a confiar información sensible para que el atacante realice una acción dolosa con los datos obtenidos. El ejemplo aquí es el del phishing, en donde el usuario entrega información al delincuente conceptuando que lo hace en su banco de confianza.

En este contexto, sin duda la característica más importante del delito está en la atractiva correspondencia costo-beneficio derivada de la diligencia, ya que a un precio bajo (una llamada telefónica o un correo electrónico) corresponde un beneficio excepcional (acceso a la información sensible de las organizaciones).

El procedimiento

Cuando se busca convencer a un individuo para consumar un objetivo o tarea se pueden usar varios caminos:

El inicial y más indiscutible es simplemente una demanda directa, donde a una persona se le pide consumar su tarea directamente. Aunque las probabilidades de éxito disminuyen, éste es el método más fácil y el más sincero. El sujeto sabe lo que usted quiere que ellos hagan exactamente.

El segundo es desarrollado indirectamente en un escenario anteriormente ideado, donde el individuo es escuetamente una parte del mismo. La victima puede ser convencida porque cree en las razones proporcionadas. Esto demanda mucho más trabajo para la persona que hace la tarea de la sugestión y casi siempre se involucra alcanzando un conocimiento profundo “del objetivo”.

Esto no significa que las situaciones no tienen que ser fundadas en hechos reales. Cuando menos falsedades, mayor la posibilidad de que el individuo elegido juegue el papel que le fue otorgado, para lo cual uno de los instrumentos esenciales utilizados para la ingeniería social es una buena recolección de los costumbres de los individuos.

Las situaciones

La ingeniería social se orienta a los personas con menos conocimientos, dado que los argumentos y otros factores de preponderancia tienen que ser construidos creando una situación creíble que el individuo ejecute.

Algunos ejemplos que se pueden citar:

- La ejecución de un virus troyano por parte del usuario, adjunto a un correo electrónico enviado por una dirección que le es familiar o simplemente con un interesante título al destinatario como "es divertido, pruébalo", "mira a Anita desnuda".

- La voz agradable de un hombre o mujer, que pertenece al soporte técnico de nuestra empresa o de nuestro proveedor de tecnología, que nos requiere telefónicamente de información para resolver un inconveniente detectado en nuestra red.

- El llamado de un usuario que necesita que se le asignen nuevamente su clave porque la ha cambiado durante el transcurso del día y no la recuerda.

Esto son ejemplos, citados simplemente para graficar algunos conceptos anteriormente explicados. No es objetivo de este artículo un análisis profundo de este tema, sino simplemente presentar al lector un panorama general sobre los aspectos más simples que rodean al manejo de la información.

El cubrimiento

Gran parte del éxito depende mucho de cómo esté involucrada la persona a la que se le pida información. En especial, los analistas de seguridad, técnicos, personas a las que se les confían herramientas de trabajo esenciales o información sensible, están muy envueltas en los ataques diseñados por expertos de la ingeniería social.

Se clasifican las personas con nivel bajo si ellos tienen bajo interés en las cosas que se les piden. Los ejemplos pertinentes podrían ser los guardias, las señoras de la cafetería o recepcionistas con acceso a computadora. Porque no es probable que las personas de bajo cubrimiento se sientan afectadas directamente por una petición, ya que ellos tienden a no molestarse analizando la petición.

En cambio es común para una decisión estar de acuerdo con la demanda. Tal información podría ser simplemente el número de razones que el ingeniero social enumera, la urgencia clara de la demanda o el estado de la persona que intenta realizar la persuasión. Básicamente, las personas que no conocen el razonamiento de un ingeniero social, se persuadirán más por el número de argumentos o demandas en lugar de verificar la posibilidad de cómo deberán ser resueltas.

Apuntalando contra los ataques humanos

Con toda esta información ¿Cómo hacer su sistema de seguridad más seguro? Un buen primer paso es crear conciencia de la seguridad a todos quienes formen parte del trabajo (aunque no tengan acceso a la información).

Sin embargo, la mejor defensa contra esto, como con la mayoría de las cosas, es la educación. Explicando a los empleados la importancia de la seguridad en la organización y la protección de la información que se maneja dentro y fuera de la empresa, indicarles que son responsables directos por su divulgación ya sea voluntaria o inadvertida y que lo que hagan con ella es un poderoso e inteligente primer paso.

Recuerde, dar ambos lados de la historia al educar a las personas sobre la seguridad de la información. Esto no es sólo una preocupación personal. Cuando los personas conocen ambos lados de un argumento ellos probablemente pueden ser disuadidos y consultar ante una dudosa petición. Y si ellos están envueltos en la seguridad de la organización, su elección es probable que esté en el lado de afianzar la seguridad de la información.

La conclusión

Es primordial comprender que no existirá tecnología preparada para protegernos contra la Ingeniería Social, como tampoco hay usuarios ni expertos que estén a salvo de esta forma de ataque. La Ingeniería Social no pasa de moda, se perfecciona y su limite esta en nuestra imaginación.

Paradójicamente a la creencia popular, es a menudo más fácil de utilizar a las personas, que explotar vulnerabilidades o malas implementaciones de un sistema de seguridad. Pero toma más esfuerzo educar a los usuarios para que puedan prevenirse y descubrir los esfuerzos a la ingeniería social que afianzar la seguridad operativa.

A los Gerentes, que no permitan que el eslabón humano en su cadena de seguridad desgaste su trabajo.

Por otro lado los profesionales de seguridad muestran que la seguridad a través de la oscuridad (se denomina así a la seguridad que se basa en el desconocimiento y el ocultamiento de fallas, en lugar de preverlas y solucionarlas) es la peor opción a elegir.

Finalmente para evitar ser utilizado por Ingenieros Sociales no brinde información que pueda comprometer la seguridad de su organización y la suya personal. Datos como nombres, contraseña de acceso a computadoras y áreas vitales, fecha de nacimiento, familiares, empresas, tarjetas, situación social, salud, costumbre o datos económicos, pueden ser utilizados por una persona inescrupulosa para efectuar acciones dañinas.

No olvidemos que cualquier persona puede utilizar la ingeniería social para buscar la información que necesita, la diferencia radica en la habilidad de cada individuo para lograr sus fines.

Referencias
Campaña de segu-info.com (Cruzada Naranja) Pablo M. Caruana es colaborador de Virus Attack! y se desempeña como Administrador de Seguridad en una importante empresa argentina.

Pais: Colombia