Seguridad

Ingeniería social: el usuario como eslabón débil

engineering
Escrito por Marcos Merino

Una de las tácticas de cracking más usadas no requiere que el atacante entre en nuestro sistema. Ni siquiera que esté delante de un teclado.

La ingeniería social es una práctica de cracking basada en el principio de que el eslabón débil de la seguridad informática son los propios usuarios, por lo que opta -en palabras del famoso diccionario hacker ‘Jargon File’- por “aprovechar las debilidades de las personas y no de los programas”: consiste en manipular a usuarios legítimos con el fin de obtener de ellos información confidencial, o bien para convencerlos de llevar a cabo alguna acción que comprometa la seguridad de su sistema. Como explicaba una revista del entorno informático underground de finales de los 90 (RareGaZz): “Hay varias formas de IS: conseguir datos de alguien y llamar a su proveedor diciendo que has perdido la contraseña, o llamar al usuario diciendo que eres el proveedor. Un buen método es pedir la dirección a novatos y enviarles un correo diciendo que eres el administrador y necesitas sus datos”. Cuando se dice que el único modo de asegurar al 100% un ordenador es desconectándolo de Internet, los ‘ingenieros sociales’ suelen contestar que no hay ningún equipo que no esté administrado por un ser humano, por lo que siempre queda la opción de manipular a éste para que lo conecte. De nuevo, el eslabón más débil.

Los ataques por ingeniería social son anteriores al mismo nacimiento de la World Wide Web (en los lejanos tiempos de las BBS y los módems, se utilizaba para llamar sin pagar) pero su popularidad no ha hecho más que crecer en los últimos tiempos, primero gracias a la adopción masiva del correo electrónico, y posteriormente a la de los chats y las redes sociales.

De Kevin Mitnick al Virus de la Policía

En palabras de uno de los más famosos hackers de la Historia, Kevin Mitnick, “una compañía puede gastar cientos de miles de dólares en cortafuegos, sistemas de encriptación y demás tecnologías de seguridad, pero si un atacante engaña a un empleado, todo ese dinero no habrá servido para nada”. Él también hizo uso de tácticas de ingeniería social (se contaba que únicamente el 15% final de su trabajo era delante del teclado) e incluso teorizó los cuatro principios en los que ésta se basa:

  1. Todos queremos ayudar.
  2. El instinto siempre es de confianza hacia los demás.
  3. No nos gusta decir “No”.
  4. A todos nos gusta que nos alaben.

Mitnick llegó a explicar sus tácticas en el propio Senado de EE UU: “Llamé a empleados y utilicé ingeniería social para conocer su sistema y los comandos de acceso a información protegida de un contribuyente. Cuando me familiaricé, fui capaz de engañar a otros, usando la información obtenida de los primeros para pretextar ser un compañero de trabajo con problemas. Tuve tanto éxito que pocas veces usé el ordenador”.

De este modo, prácticas ya famosas como el phishing bancario o las ‘estafas nigerianasse aprovechan de nuestra psicología y nuestro desconocimiento técnico para conseguir nuestro dinero y/o nuestros datos sin necesidad de atacar nuestro sistema. En parte, también el “virus de la Policía” podría ser englobado en esta categoría aunque sí exista intromisión en nuestro sistema (ransomware que encripta parte de nuestros archivos), en tanto que convence al usuario de que no está pagando un rescate a criminales informáticos, sino una multa al Estado.

Imagen | Marcos Merino (modificación de la obra original de ToastyKen)

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.