"Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más. Tienen todo en sus manos." Kevin Mitnick.
"La gente quiere ser agradable y no pretende armar un escándalo, pero es importante enseñarles a decir no. No debe haber sutilezas cuando lo que está en juego son nuestros ingresos." Allan Vance
La ingeniería social cuando no estamos inmersos en temas tecnológicos no es muy clara, quizás nos lleva a imaginar equipos costosos y de alta tecnología involucrados en el proceso. Para otro grupo de personas quizás sea un tema que se puede relegar, por lo general, porque se auto responden a las preguntas ¿tengo información valiosa? ¿Soy un objetivo importante por mi información personal? con una respuesta rotundamente negativa. O como escuche en una capacitacion hace unos dias del ingeniero Saad, "aminorismo" de "A mi no ..."
Y así podríamos formular un cuestionario con preguntas afines, y seguramente un muy bajo porcentaje respondería con un “sí, tengo y manejo información muy importante y valiosa”. Seguramente, esta tendencia sea el detonante para que la Ingeniería social sea una de las herramientas más importantes y efectivas utilizadas por los hackers.
Kevin Mitnick conocido en un tiempo en el mundo de los hacker como “condor”, el mejor Phreaker (hacker telefónico) de la historia, hoy un reconocido consultor de seguridad, ha escrito un par de libros “El arte del engaño” (The art of deception) y “El arte de la Intrusión” (The art of intrusion) en el primero trata este tema ampliamente y explica una de sus mejores armas al momento de iniciar un ataque; considera que más allá de las estrategias de seguridad que involucran hardware y software implementado en las redes, el factor determinante de la seguridad de las mismas es la capacidad de los usuarios de interpretar correctamente las políticas de seguridad y su cumplimiento.
Tratando de definir Ingeniería Social diriamos que incluye todas las acciones o conductas que permitan conseguir información de las personas cercanas a un objetivo, sea este una empresa, red, persona o computador. Es una disciplina que consiste en sacar información a otra persona sin que esta se dé cuenta de que está revelando información sensible del objetivo. Claro esta, que hoy existen sitios donde se puede conseguir información sin mucho esfuerzo, entre otros, páginas de redes sociales (Facebook, Twitter, LinkedIn. etc) o buscadores como Google.
Los hackers siempre buscan el eslabón más débil de la cadena, generalmente somos nosotros, por muchas razones, entre ellas la falta de capacitación, divulgación, concientización y compromiso con los temas de seguridad o mucho más grave, porque nos sentimos seguros. Poco sirve encriptar o cifrar las comunicaciones, bloquear accesos, crear perfiles de acceso, asignar roles y funciones, diseñar una estrategia de seguridad si no contamos con personas que se hallen lo suficientemente preparados para hacerle frente a los engaños de terceros.
De Ingeniería Social no existe un manual con un paso a paso, pero al ponerse en práctica con un gran número de posibles víctimas, el éxito es inminente, al aprovechar sentimientos tan variados como la curiosidad, la avaricia, el sexo, la compasión o el miedo, incluso la misma creencia de estar seguros o de no tener nada de valor o interés para un tercero, resultamos ayudando al hacker a conseguir su objetivo. Con una acción tan simple, pero peligrosa como una llamada a la línea de soporte un hacker finge ser un cliente o usuario que perdió su contraseña, o se dirigen a un sitio con control de acceso y espera que alguien deje la puerta abierta y listo!
Otras formas de ingeniería social no tan obvias son los sitios web falsos que piden a los usuarios que ingresen una contraseña (phishing), visitar redes sociales, utilizar buscadores incluso concursos o cuestionarios falsos. Si un usuario escribe la misma contraseña que usa en su trabajo, página de banco o cuenta de correo, el hacker puede ingresar sin tener que descifrar o vulnerar un programa.
Para protegernos de este tipo de ataque debemos aplicar un poco de sentido común y seguir unas pocas recomendaciones:
1. Nunca brinde información sensible telefónicamente, como características técnicas de la red, la localización de los centros de cómputo y mucho menos sus usuarios o claves.
2. Controle el acceso a las áreas restringidas como centros de cómputo, centros de cableado, etc.
3. Jamás arroje documentación sensible a la basura, primero destrúyala.
4. Verifique quien solicita información sensible, si no está seguro, absténgase de entregarla, eso sí, jamás entregue sus usuarios o contraseñas.
Seguramente su sentido común lo salvara de caer en una treta que busque tomar su información sensible, recuerde, tretas como “el paquete chileno” aun funcionan. Les recomiendo películas como “Nueve Reinas” del director Fabian Bielinsky, “Criminal” dirigida por Gregory Jacobs (Remake americano de Nueve Reinas), “Matchstick Men” dirigida por Ridley Scott, "Operation Takedown" traducida como "Hackers 2" de Joe Chappelle entre otras.
