Quienes buscan infiltrarse en nuestros sistemas siempre encuentran nuevas maneras de hacerlo, o al menos, de intentarlo. Por ejemplo, supongamos que alguien quiere saber cuál es su contraseña de su cuenta de correo. Puede intentar todas las claves que se le antoje y probablemente no le funcionen, pero si hace ingeniería social, quizás pudiese tener éxito, y esta ingeniería social tiene que ver en cómo funcionamos los seres humanos. ¿Usaremos una contraseña de números, letras, signos especiales, mayúsculas y minúsculas? Probablemente no. Lo que es más común es que la gente use su fecha de nacimiento, de casamiento, los nombres de sus héroes favoritos, el nombre de sus mascotas, etcétera.
Bajo este principio, un grupo de investigadores, de la Universidad de Illinois, dejaron una serie de memorias USB, 297 para ser exactos, en el campus de Urbana-Champaign, el año pasado. ¿Qué piensa que haría alguien que encontrara uno de esos USB? ¿Lo pondría en su computadora a ver qué contiene? Pues bien, se halló que el 48% de las personas que hallaron un USB perdido, lo colocaron en sus computadoras y abrieron los archivos a ver qué contenían. Más aún, el 98% de las memorias USB halladas no fueron regresadas. Un clásico ejemplo de ingeniería social, que de nuevo, se basa en cómo nos comportamos los seres humanos.
El asunto es que poca gente se preocupa por su seguridad informática, a pesar de que nos bombardeen los medios a cada rato con este asunto. El 68% de las personas que tomaron uno de esos USBs olvidados, no tomaron ninguna precaución. Unas 135 personas que abrieron algunos de los archivos contenidos en las memorias. Los investigadores no pusieron ningún código malicioso en ellas, pero dejaron un archivo HTML que contenía una imagen, la cual permitía a los investigadores saber cuando el archivo se había abierto. Ese mismo archivo HTML contenía una encuesta en donde se informaba a los estudiantes y académicos del experimento y les pedían contestar un cuestionario para efectivamente saber por qué habían tomado la memoria y abierto los archivos.
“Es fácil reírse de estos ataques, pero lo que asusta es que funcionan y esto es algo que necesitamos tomar en cuenta”, dice Matt Tischer, el investigador líder del proyecto. “De hecho se confirma el “mito” urbano de que los usuarios que encuentran un USB lo pondrán en sus máquinas para ver su contenido”, indica el investigador.
Algunos de los USBs “olvidados”
Basándose en las respuestas de los participantes, los investigadores concluyeron que la mayoría de las personas lo hicieron por “intenciones altruistas”. De hecho, el 68% de las personas indicaron que abrieron los archivos para ver si podían así hallar a los propietarios de las memorias, mientras que el 18% aceptó que lo hizo solamente por curiosidad. Sin embargo, considerando las acciones halladas, es sobreestimar las buenas intenciones, de acuerdo a Tischer. Y aunque algunos USB consignaban un archivo conteniendo el curriculum vitae “del dueño de la memoria USB”, casi más de la mitad de los usuarios no abrieron ese archivo y en lugar de eso abrieron los que correspondían a fotos de las vacaciones en primer lugar, “sobrepasados por la curiosidad”, como indicó el investigador.
Para Tischer no es fácil prevenir este comportamiento. “No hay una solución sencilla a este problema, pero nos da pistas para entender más profundamente los factores sociales, económicos y de comportamiento que afectan al ser humano”. Y concluye: “Hay una diferencia entre advertir a los usuarios sobre una acción particular que puede ser peligrosa y convencerlos de que en realidad la eviten. Tenemos que cerrar esa brecha”, dijo.
Referencias: