La seguridad informática en la actulidad ha tomado una importancia significativa en el ámbito de las tecnologías de información y comunicación. Es muy conocido el dicho “una computadora apagada es un computadora segura”. Pero, si la computadora está apagada, ¿quién es el objetivo? El usuario.
No hay un solo sistema en el mundo que no dependa de un ser humano, lo que conlleva una vulnerabilidad independiente de la plataforma tecnológica. Por eso, la Ingeniería Social continúa siendo el método de propagación de ataques informáticos más utilizado.
La ingeniería social (IS) es un conjunto de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente para lograr que éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual. Estas pueden estar llevadas a cabo mediante el trabajo con tecnología y ordenadores o directamente a través del trato personal.
Los casos de Ingeniería Social son tan diversos como inabarcables. Por eso es importante que los usuarios se informen y eduquen. No todo aquello que es recibido por Internet, desde cualquier medio, es fidedigno y, si no fue solicitado, hay grandes posibilidades de que se trate de un malware o de un intento de engaño.
Hay dos tipos de ingeniería social. Una llamada IS basada en computadoras que se trata de utilizar los descuidos que hacen los usuarios al caer en trampas como las cadenas de correos, los hoaxes, el spam, las ventanas pop-up y los correos con infecciones. Y la clásica; la que está basada en los recursos humanos y en el trato, generalmente directo, que por sus propiedades e independencias tecnológicas puede utilizarse para hacerte confesar algunas pistas y obtener claves de acceso.
Utilizando características psicológicas humanas como la curiosidad (lo que nos mueve a mirar, a responder y a tocar donde no debemos), el miedo (ante el temor, buscamos ayuda de cualquier manera o caemos más fáciles en las trampas porque no podemos razonar con tranquilidad), la confianza (nos sentimos seguros ante la menor muestra de autoridad), la ingeniería social es el arte del aprovechamiento de circunstancias intencionales, pero mucho también de las azarosas. Por eso es que los expertos estarán atentos a cualquier error que cometas sin que te des cuenta.
Aquí reside parte de la efectividad de la ingeniería social, pues lo que dices frente a cualquier persona con la que te encuentres no podría tener relevancia alguna, pero ante un hacker que utiliza este método, el nombre de tu prima o a qué secundaria asististe puede convertirse en la clave de acceso a tu correo, y de ahí al resto de tus servicios financieros, por citar un ejemplo.
Las técnicas de Ingeniería Social, están divididas en categorías que se caracterizan por el grado de interacción que se tiene con la persona dueña de la información a conseguir.
Estas pueden ser las Técnicas Pasivas, que se basan simplemente en la observación de las acciones de esa persona. Lo principal en IS es que cada caso es diferente, y por lo tanto cada desenvolvimiento del experto está supeditado al ambiente, naturaleza y contexto en el que la información a conseguir se mueva. Es decir, que tendrá que adaptarse. Para esto el primer paso es la observación, y esto incluye una formación de un perfil psicológico tentativo de alguien a quien se va a abordar, conocer sus conductas informáticas, obtener datos simples como cumpleaños, nombres de familiares, etc.
Otras técnicas son las No presenciales, donde a través de medios de comunicación como carta, correo electrónico, teléfono, etc. Estos son los más comunes y los que más casos de éxito muestran porque las personas tienden a sobreconfiar datos luego de ver un texto bien escrito y con algún emblema, sello o firma implantando.
Las técnicas presenciales no agresivas incluyen seguimiento de personas, vigilancia de domicilios, inmersión en edificios, acceso a agendas y buscar información como post-it, boletas, recibos, resúmenes de cuenta, en la basura del investigado.
En los métodos agresivos, el trabajo de los expertos se vuelve más intenso, y es donde surge la suplantación de identidad (hacerse pasar por ti, servicios técnicos, personal de seguridad, familiares) y la despersonalización, la más efectiva de las presiones psicológicas.
Como dice el famoso hacker Kevin Mitnick, la ingeniería social tiene 4 principios por los cuales su efectividad como herramienta cracker resulta inmensurable.
- Todos queremos ayudar, por lo que nos mostramos dispuestos siempre a dar un poco más de lo que se nos pide. Esto lleva al segundo principio.
- El primer movimiento es siempre de confianza hacia el otro, que se explica por sí solo.
- No nos gusta decir NO, esto lleva a mostrarnos menos reacios a ocultar información y a cuestionarnos si no estaremos siendo muy paranoicos al negar todo y en cómo afectará esto en la idea del otro sobre nosotros.
- A todos nos gusta que nos alaben.
Con estos principios sociólogicos aplicados juntamente a las técnicas de IS mencionadas sobre un individuo que muestre vulnerabilidad por su ignorancia, despreocupación o impericia, el trabajo de los ingenieros sociales se vuelve no sólo efectivo, sino también indetectable.
Por sus características y porque su principal herramienta es la adaptación a diferentes escenarios y personalidades, la ingeniería social es de las técnicas más complejas de evitar. Lo que sí se puede hacer es justamente esto que has hecho, leer sobre cómo funciona y estar atento a diferentes intenciones sin volverte paranoico ni nada similar.
La ingeniería social es una gran herramienta hacker, pero también como herramienta para la vida cotidiana, ya que para sufrir sus consecuencias no hace falta tener un ordenador en el medio. No hay que ser paranoico, pero hay que estar atentos, ya que el eslabón más vulnerable de cualquier sistema de seguridad somos nosotros mismos.