Ingeniería social: el arte de obtener información confidencial

Siguiendo la línea de mis últimas entradas, hablaré de nuevo sobre la seguridad informática en la red, poniendo otra vez de manifiesto la importancia que tiene el proteger los datos que depositamos en Internet. Pero, en este caso, lo enfocaré en cómo hay veces que es más fácil romper la seguridad de un sistema a través de las personas que buscar la vulnerabilidad en un software, red o servidor.

¿Qué es la ingeniería social?

Se denomina ingeniería social a aquellas técnicas empleadas basadas en la influencia, la persuasión, la sugestión y la confusión, a través de las cuales determinadas personas obtienen directa o indirectamente, pero de forma legítima, información sensible para usos no lícitos sin que la persona “atacada” se dé cuenta de ello.

La curiosidad, el miedo o la confianza son algunas de las características psicológicas del ser humano que son utilizadas por aquellos que desarrollan la ingeniería social. De ellas derivan los cuatro principios en los cuales ésta se sustenta:

  1. Todos queremos ayudar. Nos mostramos dispuestos a dar un poco más de lo que se nos pide cuando estamos ante alguien que nos inspira respeto o nos da lástima.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir NO. Nos cuestionamos si somos paranoicos al negar todo, así como la imagen que damos al que nos escucha.
  4. A todos nos gusta que nos alaben.

Los métodos de la ingeniería social y su efectividad.

Casi siempre es una herramienta que se emplea como complemento a otras técnicas, y afecta tanto a usuarios particulares como a empresas.

Aunque las redes sociales son la primera fuente de información para los hackers, así como las más rápidas, el teléfono o Internet son las principales vías de acceso. Sin embargo, cuanto mayor sea el nivel de preservación de los datos a obtener, mayor será la necesidad de aplicar estas técnicas cara a cara, llegándose entonces incluso a suplantar identidades. Este es el caso más habitual en las empresas, cuando el “atacante” se hace pasar por un comercial o por personal del servicio técnico o de seguridad.

Lo habitual es que los usuarios cometan errores sin ser conscientes de ello, como por ejemplo al aceptar cadenas de correos o al abrir correos infectados, o a través del spam o las ventanas pop-up.

De entrada, siempre deberíamos desconfiar de aquellos mensajes o mails que nos lleguen anunciando que el administrador del sistema en cuestión necesita nuestras claves y/o contraseñas, sea el motivo que sea (estrategia denominada phishing). Los pretextos más comunes para este tipo de ataque son los de “crear una cuenta”, “reactivar una configuración”, ”verificar una cuenta bancaria”, etc. En realidad, rara es la vez (por no decir nunca) que la compañía que gestiona un servicio necesite dichos datos para llevar a cabo sus tareas. Por tanto, incluso deberíamos sospechar de mails presentados con un texto elaborado y bien escrito, a pesar de que contengan emblemas, sellos o firmas que pudieran conferirle un aspecto más oficioso.

Por otro lado, descargarse un archivo y ejecutarlo podría significar el envío de datos al atacante o la toma de control de nuestro ordenador sin nuestro conocimiento. Este es el caso de los hoaxes, avisos por correo de falsos virus mediante mensajes tipo “tiene un virus, vaya a esta página y descárguese tal o cual archivo”, que simplemente actúan como ganchos para iniciar los ataques. Lo mismo ocurre con los avisos que nos saltan contra programas instalados en el ordenador que sugieren ser borrados, siendo éstos en realidad programas legítimos del sistema operativo empleado.

Otro de los métodos englobados en la ingeniería social más eficaces, debido a su sencillez, es el llamado baiting. En este caso, el desencadenante de la acción es un dispositivo de almacenamiento extraíble (USB, CD, DVD) infectado con un software malicioso y abandonado a propósito para que sea utilizado por quién lo encuentre. Cuando esto pase, dicho software se instala en el ordenador del usuario y es así como el hacker obtiene información del mismo. Bien es cierto que contra esta técnica podría ser suficiente con tener un antivirus actualizado.

Las llamadas telefónicas encubiertas bajo encuestas varias o cualquier otro propósito se conocen como vishing, y también podrían ser una trampa para sacar información personal de una forma desapercibida. Así, debemos estar alerta de no proporcionar información personal sobre familiares, amigos, números de cuenta, contraseñas y demás datos privados, a pesar de que se trate de nuestra compañía de móvil, electricidad o agua por citar algunos ejemplos. Podría ser que el hacker hubiera elegido una al azar coincidiendo casualmente con la nuestra.

¿Cómo defenderse?

Aunque este método para obtener información se presente con un nombre tan sofisticado y tal vez enrevesado, ingeniería social, ya hemos visto que su técnica se fundamenta en bases tan simples que pasan muy inadvertidas. Cometer un error es muy fácil y las consecuencias podrían ser importantes.

Es por esto que la ingeniería social se considera un arte y, si se hace bien, es muy difícil de detectar y evitar, por aquello de que emplea elementos psicológicos. También queda patente que muchas veces es más fácil buscar y encontrar la vulnerabilidad en el ser humano que en los sistemas, en los cuales se pueden invertir muchas horas sin obtener éxito alguno.

Por ello es conveniente saber cómo funciona y estar alerta tomando las precauciones necesarias, en las que la máxima se centra en no aceptar nada de desconocidos y tener cuidado en a quién se da la información y qué tipo de información se proporciona.

Del mismo modo, en las empresas es básico establecer protocolos de actuación en caso de preguntas o actitudes sospechosas, así como controles técnicos y revisiones periódicas, por ejemplo, mediante estadísticas de incumplimiento de procedimientos.

The following two tabs change content below.

Fausto López

Soy una persona alegre, positiva, en formación continua, responsable e implicado en todo lo que hago. En lo personal soy muy familiar, me encanta bailar, ir al cine y viajar.

Latest posts by Fausto López (see all)

Compartir: