Ingeniería social: el hackeo silencioso

Como sacada directamente de una película de espías, la ingeniería social es una técnica de hackeo utilizada para sustraer información a otras personas teniendo como base la interacción social, de tal manera que la persona vulnerada no se dé cuenta cómo u cuándo dio todos los datos necesarios para terminar siendo la víctima de un ataque informático. En esta práctica se recurre, principalmente, a la manipulación de la psicología humana mediante el engaño. El delincuente actúa a partir de la premisa de que, en la cadena de seguridad de la información, el ser humano es el eslabón más débil.

ingenieria social
Kevin Mitnick fue uno de los pioneros de la ingeniería social

Al ser una técnica de crackeo, la ingeniería social se logra a través de la manipulación psicológica y de las habilidades sociales con el fin de obtener algún tipo de información sensible o datos útiles sin que la víctima sea consciente de su utilización maliciosa. Se puede realizar de manera directa o indirecta, con el uso de la tecnología o mediante el trato personal. La idea es poder saltarse los sistemas de seguridad a través de la información que otorga directamente el protegido o los administradores de la protección.

“La persona que efectúa este método, trata de engañar a la víctima, buscando entrar en confianza o haciéndose pasar por alguien más para obtener lo que necesita. Teniendo en cuenta que somos muy vulnerables y nos movemos a través de una serie de impulsos irracionales, el que ejecute esta técnica usará comúnmente el teléfono, el internet, el disfraz u otros métodos para engañar fingiendo ser alguien más. En muchos de los casos que he conocido, la persona suplanta a un trabajador de la empresa o a alguien de servicio técnico”, dice Emanuel Abraham, hacker ético de Security Solution & Education.

“La ingeniería social no es una técnica cuadriculada. Depende de la malicia del atacante, así como de la que tenga la víctima. Se pueden utilizar infinidad de argucias y mañas para lograr la información que se necesita: desde sobornos a amigos y familiares para que faciliten el acceso a ella, hasta preguntas sueltas en ambientes de esparcimiento, correos electrónicos aparentemente inofensivos que hacen preguntas sencillas y cuyas respuestas interesan a quien solicita la información”, sostiene la ingeniera Jacqueline Tangarife, gerente de Security Solutions & Education, empresa que es la representante exclusiva para Colombia de EC-Council Academia.

Así, la ingeniería social termina convirtiéndose en el arte del aprovechamiento de las circunstancias intencionales y azarosas, pues apela a las características psicológicas humanas como la curiosidad, el miedo o la confianza, las cuales ocasionan que las personas no reaccionen siempre de la misma manera. Por lo tanto, la efectividad del proceso reside en la manera en que se logra apropiar e interpretar la información recibida, que en muchas ocasiones parece trivial.

La ingeniería social tiene cuatro formas de actuar: la primera consiste en las técnicas pasivas, basadas en la observación y en el análisis de la víctima. Como cada caso es diferente, el éxito está supeditado al contexto en el que la persona se mueve, a través de la observación de este se logra construir un perfil psicológico tentativo que permita un óptimo abordaje. La segunda técnica utilizada es la no presencial, en la cual se recurre a los medios de comunicación como el teléfono o los correos electrónicos para intentar obtener información útil, según sea el caso.

Gracias a los avances tecnológicos y a la apropiación de la tecnología en nuestra vida cotidiana, esta técnica resulta ser la más común y, al mismo tiempo, la más efectiva. En tercer lugar, están las técnicas presenciales no agresivas que incluyen el seguimiento a las personas, la vigilancia de los domicilios y la búsqueda en la basura con el fin de juntar la mayor cantidad de información. Finalmente, están los métodos agresivos que recurren a la suplantación de identidad, la despersonalización y las presiones psicológicas. Según los expertos en seguridad, la combinación de este último grupo de técnicas, junto a la explotación de las tres técnicas mencionadas en el párrafo anterior, puede ser altamente efectiva en el trabajo cara a cara entre víctima y victimario.

Fases de un ataque de ingeniería social

Al realizar un trabajo de ingeniería social artesanal, la primera fase implica un acercamiento para generar confianza con la víctima. Esto se logra por medio de correos, haciéndose pasar por representantes técnicos de algún servicio o incluso mediante una presentación formal en una charla coloquial. En esta última modalidad, es necesario que el victimario se muestre simpático, sin dar a la víctima ningún motivo que la ponga en situación de alerta ante el extraño. En esta etapa, el esfuerzo es fundamental para captar cualquier información valiosa.

Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés o necesidad en la otra persona. Con base en su curiosidad o deseo, el afectado estará predispuesto, consciente o inconscientemente, a brindar información. La idea es observar la reacción del objetivo y actuar en consecuencia. A partir de ahí, se usará la prueba y el error, según sea el caso.

“Si bien, los más vulnerables son aquellos que trabajan atendiendo al público, se puede decir que también entran aquellos que son confiados, aquellos que no siguen buenas políticas de seguridad, aquellos que rompen reglas o simplemente las desconocen”, dice Abraham al respecto. Por su parte, la ingeniera Jacqueline sostiene que “los niños, las empleadas del servicio y las amas de casa son extremadamente vulnerables a la ingeniería social. De igual manera, en el ámbito empresarial, los hombres son fácilmente seducidos por mujeres muy atractivas y viceversa”.

Dentro de los casos exitosos de ingeniería social reconocidos a nivel mundial, podemos encontrar el de la operación de rescate JAQUE. Para el desarrollo de esta operación, las fuerzas de inteligencia del Ejército Nacional colombiano lograron determinar el modo de comunicación al interior de la guerrilla de las FARC a través de interceptaciones. Dicho descubrimiento les permitió, junto con la suplantación de identidad, un exitoso rescate de los secuestrados.

Otro ejemplo más cotidiano, es el caso en el que se hace seguimiento a una familia objetivo para determinar sus costumbres diarias. Así, se investigan aspectos como: los nombres de los integrantes, los horarios y las actividades que realizan. Una vez se tiene suficiente información, el victimario llama a quien permanece en casa y le describe alguna situación en la que alguno de los familiares corre peligro. Posteriormente, le pide que entregue objetos de valor con el fin de poder ayudar. La persona, ingenua, puede llegar a caer en ese ataque de ingeniería social y ser víctima de robos y otros delitos.

Por sus características y porque su principal herramienta es la adaptación a diferentes escenarios y personalidades, la ingeniería social es una de las técnicas más complejas de evitar y puede llegar a ser indetectable o cuestionable, dado que maneja aspectos de psicología que no podrían ser puestos en evidencia. Sin embargo, “se puede prevenir concientizando y capacitando a todas las personas que nos rodean. Dentro de la empresa es necesario que desde el CEO hasta el portero sean conscientes de que existe esta práctica y, por esa razón, deben ser muy cuidadosos con la información que suministran. Nosotros recomendamos que se creen y apliquen políticas de seguridad, como ser más inteligente con las contraseñas —y cuidar la forma que se establece para recuperarlas al perderlas—, no anotar contraseñas, accesos ni información sensible en papeles que sean propensos a ser desechados intencional o accidentalmente. Ser cuidadoso en quién se confía y estar alerta a las intenciones que tienen quienes intentan ayudar. No abrir correos de desconocidos y tener cuidado con las ofertas o premios no solicitados, entre otras”, completa Abraham.

Con el fin de evitar estos ataques, también es importante que las personas sepan qué información es clasificada como sensible, confidencial o pública. Esto permite tener un mayor control de los límites que existen en el momento de compartir datos con otras personas, lo cual evita filtraciones. “Nosotros recomendamos como medida adicional hacer talleres de ingeniería social en donde se realicen controles respecto al tema. Contratar con una empresa consultora de seguridad de la información que haga ingeniería social entre los empleados y determine quiénes han sido víctimas de estas prácticas para mejorar y reforzar su capacitación”, aconseja la ingeniera Jacqueline Tangarife.

Productos de HP

La ingeniería social es una práctica que no puede ser corregida con equipos de marca alguna, ya que depende mucho de las reacciones humanas. Sin embargo, empresas como Hewlett Packard hacen grandes esfuerzos al diseñar y poner al servicio de los usuarios equipos como los HP TippingPoint Intrusion Prevention System (IPS) , que intentan proteger la información que entra a la empresa mediante reglas sencillas. HP es una marca líder reconocida en inteligencia e investigación de seguridad de tecnologías de la información.

El núcleo de ese programa es el HP DVLabs, donde los investigadores de vulnerabilidad y los desarrolladores aplican ingeniería inversa de vanguardia, así como técnicas de análisis para crear una amplia protección de amenazas para las redes de clientes. Los expertos en investigación de seguridad contra la vulnerabilidad controlan la actividad global de internet, analizan las nuevas hazañas, detectan las vulnerabilidades al instante y crean filtros IPS que se entregan de forma automática a los clientes de HP TippingPoint NGIPS, con el fin de que tengan protección en tiempo real. A pesar de todo esto, la ingeniería social puede tener tantos matices que es imposible proteger en un 100% a una empresa.

Imagen: editorialtripie (vía Flickr).

Por: Ana Arbelaez

Colaboradores ENTER.CO

Colaboradores ENTER.CO

Muchos periodistas y blogueros de Colombia, Latinoamérica y España colaboran esporádicamente con ENTER.CO, aportando su conocimiento y puntos de vista frente al acontecer tecnológico y de Internet.

Ver todos los posts

4 comentarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Archivos