La
ingeniería
social se logra a través de la manipulación psicológica y de
las habilidades sociales con el fin de obtener algún tipo de
información sensible o datos útiles sin que la víctima sea consciente de
su utilización maliciosa. Se puede realizar de manera directa o
indirecta, con el uso de la tecnología o mediante el trato personal. La
idea es poder saltarse los sistemas de seguridad a través de la
información que otorga directamente el protegido o los administradores
de la protección.
Teniendo en cuenta que somos muy vulnerables y nos movemos a través de
una serie de impulsos irracionales, el que ejecute esta técnica usará
comúnmente el teléfono, el internet, el disfraz u otros métodos para
engañar fingiendo ser alguien más. En muchos de los casos que he
conocido, la persona suplanta a un trabajador de la empresa o a alguien
de servicio técnico, dice Emanuel Abraham, hacker ético de Security
Solution & Education.
La persona que practica Ingeniería Social, trata de engañar a la
víctima, buscando entrar en confianza o haciéndose pasar por alguien más
para obtener lo que necesita.
La ingeniería
social no es una técnica cuadriculada. Depende de la
malicia del atacante, así como de la que tenga la víctima. Se pueden
utilizar infinidad de argucias y mañas para lograr la información que se
necesita: desde sobornos a amigos y familiares para que faciliten el
acceso a ella, hasta preguntas sueltas en ambientes de esparcimiento,
correos electrónicos aparentemente inofensivos que hacen preguntas
sencillas y cuyas respuestas interesan a quien solicita la información.
Así, la ingeniería
social termina convirtiéndose en el arte del
aprovechamiento de las circunstancias intencionales y azarosas, pues
apela a las características psicológicas humanas como la curiosidad, el
miedo o la confianza, las cuales ocasionan que las personas no
reaccionen siempre de la misma manera. Por lo tanto, la efectividad del
proceso reside en la manera en que se logra apropiar e interpretar la
información recibida, que en muchas ocasiones parece trivial.
La ingeniería
social tiene cuatro formas de actuar: la primera consiste
en las técnicas pasivas, basadas en la observación y en el análisis de
la víctima. Como cada caso es diferente, el éxito está supeditado al
contexto en el que la persona se mueve, a través de la observación de
este se logra construir un perfil psicológico tentativo que permita un
óptimo abordaje. La segunda técnica utilizada es la no presencial, en la
cual se recurre a los medios de comunicación como el teléfono o los
correos electrónicos para intentar obtener información útil, según sea
el caso.
Gracias a los avances tecnológicos y a la apropiación de la tecnología
en nuestra vida cotidiana, esta técnica resulta ser la más común y, al
mismo tiempo, la más efectiva. En tercer lugar, están las técnicas
presenciales no agresivas que incluyen el seguimiento a las personas, la
vigilancia de los domicilios y la búsqueda en la basura con el fin de
juntar la mayor cantidad de información. Finalmente, están los métodos
agresivos que recurren a la suplantación de identidad, la
despersonalización y las presiones psicológicas. Según los expertos en
seguridad, la combinación de este último grupo de técnicas, junto a la
explotación de las tres técnicas mencionadas en el párrafo anterior,
puede ser altamente efectiva en el trabajo cara a cara entre víctima y
victimario.
Fases de un ataque de ingeniería social
Al realizar un trabajo de ingeniería social artesanal, la primera fase
implica un acercamiento para generar confianza con la víctima. Esto se
logra por medio de correos, haciéndose pasar por representantes técnicos
de algún servicio o incluso mediante una presentación formal en una
charla coloquial. En esta última modalidad, es necesario que el
victimario se muestre simpático, sin dar a la víctima ningún motivo que
la ponga en situación de alerta ante el extraño. En esta etapa, el
esfuerzo es fundamental para captar cualquier información valiosa.
Lo que sigue a esa recopilación de datos básicos es la generación de una
preocupación, interés o necesidad en la otra persona. Con base en su
curiosidad o deseo, el afectado estará predispuesto, consciente o
inconscientemente, a brindar información. La idea es observar la
reacción del objetivo y actuar en consecuencia. A partir de ahí, se
usará la prueba y el error, según sea el caso.
Si bien, los más vulnerables son aquellos que trabajan atendiendo al
público, se puede decir que también entran aquellos que son confiados,
aquellos que no siguen buenas políticas de seguridad, aquellos que
rompen reglas o simplemente las desconocen. Los niños, las empleadas del
servicio y las amas de casa son extremadamente vulnerables a la
ingeniería social. De igual manera, en el ámbito empresarial, los
hombres son fácilmente seducidos por mujeres muy atractivas y viceversa.
Un ejemplo cotidiano, es el caso en el que se hace seguimiento a una
familia objetivo para determinar sus costumbres diarias. Así, se
investigan aspectos como: los nombres de los integrantes, los horarios y
las actividades que realizan. Una vez se tiene suficiente información,
el victimario llama a quien permanece en casa y le describe alguna
situación en la que alguno de los familiares corre peligro.
Posteriormente, le pide que entregue objetos de valor con el fin de
poder ayudar. La persona, ingenua, puede llegar a caer en ese ataque de
ingeniería social y ser víctima de robos y otros delitos.
Por sus características y porque su principal herramienta es la
adaptación a diferentes escenarios y personalidades, la ingeniería
social es una de las técnicas más complejas de evitar y puede llegar a
ser indetectable o cuestionable, dado que maneja aspectos de psicología
que no podrían ser puestos en evidencia. Sin embargo, se puede prevenir
concientizando y capacitando a todas las personas que nos rodean. Dentro
de la empresa es necesario que desde el CEO hasta el portero sean
conscientes de que existe esta práctica y, por esa razón, deben ser muy
cuidadosos con la información que suministran. Nosotros recomendamos que
se creen y apliquen políticas de seguridad, como ser más inteligente
con las contraseñas —y cuidar la forma que se establece para
recuperarlas al perderlas—, no anotar contraseñas, accesos ni
información sensible en papeles que sean propensos a ser desechados
intencional o accidentalmente. Ser cuidadoso en quién se confía y estar
alerta a las intenciones que tienen quienes intentan ayudar. No abrir
correos de desconocidos y tener cuidado con las ofertas o premios no
solicitados, entre otras.
Con el fin de evitar estos ataques, también es importante que las
personas sepan qué información es clasificada como sensible,
confidencial o pública. Esto permite tener un mayor control de los
límites que existen en el momento de compartir datos con otras personas,
lo cual evita filtraciones. “Nosotros recomendamos como medida
adicional hacer talleres de ingeniería social en donde se realicen
controles respecto al tema. Contratar con una empresa consultora de
seguridad de la información que haga ingeniería social entre los
empleados y determine quiénes han sido víctimas de estas prácticas para
mejorar y reforzar su capacitación”, aconseja la ingeniera Jacqueline
Tangarife.
Fuente:
Enter
