Ingeniería social: cuando el elemento más frágil de la seguridad eres tú

Toda nuestra vida está en las redes. Desde nuestra cuenta corriente hasta nuestras fotos. Desde nuestras comunicaciones personales a nuestro trabajo. Por eso, ataques como Wannacry o Petya, que han afectado a miles de empresas, incluso a los sistemas informáticos de Chernóbil, o las filtraciones de fotos íntimas de celebridades inquietan. La seguridad informática es una de las principales preocupaciones de los usuarios, que no saben que el elemento más frágil son, precisamente, ellos mismos.

La imagen que tenemos en nuestra mente de los hackers (que, por cierto, no todos los hackers son necesariamente cibercriminales) es esa idea ochentera, de una persona escondida en un bajo oscuro, delante de una pantalla con letras verdes y tecleando a toda velocidad mientras descifran una contraseña o penetran un cortafuegos en cuestión de segundos. Pero, según Digital Guardian solo el 3% de los ataques se realizan aprovechando únicamente fallos de software, el 97% restante necesita algún elemento de engaño para que sea el propio usuario quien realice una acción que abra la puerta. Aquí es donde entra en acción la ingeniería social.

¿Qué es la ingeniería social?

Se trata de un término habitualmente usado en las ciencias políticas que se refiere a vías para influir en el comportamiento de la población de un país. En el ámbito tecnológico, se refiere a la manipulación de usuarios legítimos para obtener una determinada información, como puede ser una contraseña.

En ocasiones, el objetivo se puede cumplir con una simple llamada, por ejemplo haciéndose pasar por el banco, o un email con un archivo adjunto aparentemente importante que descarga un código malicioso. En otras ocasiones, puede requerir ganarse la confianza del usuario de forma más personal y trabajada.

Kevin Mitnick, el mago del teléfono

Posiblemente uno de las personas que haya llevado la ingeniería social a sus límites es Kevin Mitnick, que entre 1979 -con solo 16 años- y 1995 logró acceder a los sistemas de empresas como Digital Equipment Corporation o Pacific Bell. Pero lo más llamativo de todo es que buena parte del trabajo no lo hizo desde un ordenador, lo hizo desde un teléfono.

Según explica en sus libros -El arte del engaño, El arte de la intrusión y El arte de la invisibilidad- hay cuatro aspectos compartidos por casi todas las personas que facilitan este trabajo: Todos queremos ayudar, el primer movimiento hacia el otro siempre es de confianza, no nos gusta decir "no" y a todos nos gusta que nos alaben.

Una de sus estrategias habituales era tras determinar quién era la persona que tenía la información que necesitaba. A continuación, se ponía en contacto con ella y llevaba la conversación a un punto donde él simulaba tener la información pero incorrecta, de forma que su interlocutor normalmente le corregía, dándole el dato que necesitaba.

El phishing, la forma más habitual de ingeniería social

Los bancos nunca dejan de recordarlo: no te pedirán nunca datos como el número de tarjeta o tu contraseña, ni por teléfono ni por correo. Si en algún momento recibes un correo de tu banco en el que te pide datos, no lo hagas aunque te redirija a la que parece ser la web del banco. Puedes estar ante un caso de phishing.

Esta técnica consiste en recrear la página on-line legitima cuyos datos se quieren robar, de forma que el usuario los introduzca creyendo que está en un lugar seguro (normalmente es la página del banco, pero también puede usarse para robar contraseñas de correo, redes sociales o casi cualquier cosa).

¿Qué puedo hacer para no ser 'hackeado'?

iStock-626530416

Normalmente, se suele creer que este tipo de ataques suele tener éxito en gente con bajo conocimiento de seguridad digital -y es posible que sea así para los ataques más básicos-, aunque dependiendo del nivel de sofisticación del engaño, cualquiera puede caer.

Pero que no cunda el pánico. La mayoría de las personas no tiene información lo suficientemente relevante como para que nadie organice un gran dispositivo con tal de engañarle, como mucho serán el objetivo de algún engaño simple -como el phishing o una llamada telefónica pidiendo algún dato- que pueda realizarse a bulto para ver quién cae.

El principal consejo que se puede dar es, cuando alguien te pide algún tipo de información personal, verificar siempre que sea real. Si recibes un correo del banco, llama para confirmar que son ellos. Nunca reveles contraseñas, claves o nombres de usuario, especialmente por escrito y evita anotarlos. Y, por muy buena persona que parezca ese desconocido que te llama por teléfono, desconfía de él.