Ingeniería social

El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Esta técnica consiste en obtener información de los usuarios por teléfono, correo electrónico, correo tradicional o contacto directo.

Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc.

En general, los métodos de la ingeniería social están organizados de la siguiente manera:

• Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la administración, de la compañía o del círculo o un cliente, proveedor, etc.
• Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una situación de emergencia;
• Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la compañía.

La ingeniería social puede llevarse a cabo a través de una serie de medios:

• Por teléfono,
• Por correo electrónico,
• Por correo tradicional,
• Por mensajería instantánea,
• etc

¿Cómo puede protegerse?

La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de la compañía. Sin importar el tipo de información solicitada, se aconseja que:

• averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico);
• si es posible, verifique la información proporcionada;
• pregúntese qué importancia tiene la información requerida.

En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia acerca de los problemas de seguridad.

Con el objeto de aprovechar los errores humanos para vulnerar sistemas, existe una técnica denominada Ingeniería social, que a su vez cuenta con una serie de métodos cada vez más populares que pueden poner en riesgo tanto nuestra seguridad y privacidad como la integridad de nuestros datos.

Contra la Ingeniería social, las armas más efectivas son la prevención y el conocimiento, por lo que esta nueva edición de la guía de la semana está enfocada en dar a conocer los métodos más utilizados, de forma tal que estemos prevenidos y podamos reaccionar ante un posible ataque.

Cómo puede esto afectar a la seguridad informática?

La respuesta es simple: con todas las herramientas informáticas disponibles y al alcance de cualquier persona, la posibilidad de realizar ataques se facilita. ¿Qué sucede, por ejemplo, cuando combinamos la curiosidad humana con la explotación de una vulnerabilidad en un sistema informático? Un atacante puede obtener el control de un equipo, o podría robar información sensible como datos bancarios o información personal.

Una de las personas más reconocidas en el mundo informático es Kevin Mitnick, quien se caracterizó por ser uno de los pioneros en técnicas de Ingeniería Social. Mitnick considera que el factor que determina la seguridad del hardware y el software es el factor humano, es decir, elusuario. Este es quien se encargará de interpretar las políticas de seguridad correctamente y buscará que se respeten.

Considerando que es posible fallar en este aspecto y que un ataque de Ingeniería Social puede tomar desprevenido a cualquier usuario, y teniendo en cuenta también que incluso es posible que sea llevado a cabo solamente con ayuda de un teléfono, Mitnick establece 4 principios comunes que aplican a todas las personas:

• Todos queremos ayudar
• Siempre, el primer movimiento hacia el otro, es de confianza
• Evitamos decir NO
• A todos nos gusta que nos alaben

Estos métodos de manipulación, basándose en la confianza del usuario, son los que conducen a engaños como phishing, páginas con códigos maliciosos alojados esperando infectar a sus víctimas, o robo de información, entre otras cosas. Como les contábamos hace algunas semanas,37.3 millones de usuarios reportaron ataques de phishing el año pasado.

Nombremos dos ejemplos de como podemos ser atacados:

Ejemplo 1: Recibes un mensaje por e-mail, donde el remitente es el gerente o alguien en nombre del departamento de soporte de tu banco. En el mensaje dice que el servicio de Internet Banking está presentando algún problema y que tal problema puede ser corregido si ejecutas la aplicacion que está adjunto al mensaje. La ejecución de esta aplicación presenta una pantalla análoga a la que usted utiliza para tener acceso a la cuenta bancaria, esperando que usted teclee su contraseña. En verdad, esta aplicacion está preparada para robar tu contraseña de acceso a la cuenta bancaria y enviarla al atacante. 

Ejemplo 2: Recibes un mensaje de e-mail , diciendo que tu computadora está infectada por un virus. El mensaje sugiere que instales una herramienta disponible en un sitio web de Internet para eliminar el virus de tu computadora. La función real de esta herramienta no es eliminar un virus, sino permitir que alguien tenga acceso a tu computadora y a todos los datos almacenados.