En la entrega pasada hablamos del significado e impacto de la ingeniería social y el perfil del ingeniero social. En este artículo hablaremos de los principales elementos que facilitan a los atacantes el robo de información. Como veremos la gran mayoría de estos no son de carácter técnico sino humano. Es hora de activar el Antivirus mental.
Principios y fundamentos de la Ingeniería social
El principio de negación es una de los mejores armas de los cibercriminales. Pensar: "a mí nunca me va pasar", es como firmar una sentencia de muerte digital
Los principios de la ingeniería social están basados en el aspecto psicológico de los seres humanos. Kevin Mitnick fundamenta las estrategias de Ingeniería Social en los siguientes postulados:
Todos los seres humanos quieren ayudar
El primer movimiento es siempre de confianza hacia el otro
No nos gusta decir NO
A todos nos gusta que nos alaben
Todos tenemos algo de ingenuos
Desde el punto de vista de la psicología humana, existen determinados procesos que son automáticos tanto en el ser humano como en los animales en virtud de las relaciones con los demás. Así que depende de quién lo analice y los convierta en una ventaja o una desventaja para obtener información. Estos procesos son comúnmente utilizados en campañas de mercadeo y negocios para influenciar sobre la gente.
Otras estrategias o principios de la ingeniería social se basan en rutas periféricas de persuasión en donde se utiliza la emoción como una forma de distracción. Entre los destacados investigadores en el área de persuasión se encuentra el Dr. Robert Cialdini.
El Dr. Cialdini es un profesor de la Universidad estatal de Arizona y su investigación académica se centra mayormente en porqué la gente a menudo cumple con peticiones sin realmente pensar acerca de sus necesidades. Cialdini en su libro sobre la persuasión, definió seis armas de influencia:
Reciprocidad- Por norma general la gente tiende a devolver un favor. Cicerón decía: “No hay deber más obligatorio que la devolución de los favores”. Asimismo, la reciprocidad es un principio muy poderoso. Eso se debe a que, además de ser evidente, es también impulsado y defendido por la sociedad en general; a la vez que se condena a quien no lo cumple.
Compromiso y consistencia- Este concepto se define cuando una persona se compromete a llevar a cabo lo que ha decidido que es correcto, dicho verbalmente o por escrito, hacen honor a aquel compromiso. El principio de la consistencia es uno de los principios primordiales que guían el comportamiento humano, llevando al hombre a evitar actuar de manera impredecible, y en cierta medida, a temer el cambio. De modo que cuando un atacante o ingeniero social logra comprometer a su víctima esta no le quedará más remedio que ceder ante las presiones del atacante.
La prueba social- Las personas harán aquellas cosas que vean que otras personas hacen. Es la tendencia a imitar a los semejantes. Este principio hace referencia a la tendencia del ser humano a imitar el comportamiento de los semejantes de forma automática e irracional sin dar lugar a la lógica, llegando a actuar de modo contrario a lo que apuntaría la razón en caso de no tener puntos de referencia.
Autoridad—Esta es una de las más explotadas por los ingenieros sociales. Esto porque la gente tiende a obedecer a figuras con autoridad, que se destaquen en su ámbito. Muchas compañías colocan en sus portales información que identifica el rango o puesto de autoridad de su personal de trabajo. Lo que facilita al ingeniero social el identificar quién es la autoridad en la empresa y hacerse pasar por él o ella. Mayormente se explota la vulnerabilidad de los humanos a subordinarse a las figuras de autoridad, como los jefes, directores de empresas, funcionarios de gobierno de alto rango o presidente de compañías u organizaciones.
El Gusto- El gusto toma en cuenta el principio de que las personas son convencidas fácilmente por otra persona con quien se sienten a gusto. Generalmente las personas con buena presencia, van a tener más facilidad de influir a otros.
La Escasez- La escasez es la tendencia a valorar más lo que es escaso. Aquí el ingeniero social toma en cuenta que la escasez percibida generará la demanda. Por eso al crear un correo electrónico falso con ofertas falsas, existe una gran probabilidad de que los usuarios se vean tentados a abrirlos y por lo tanto se descarga un “malware” o troyano en su PC que abrirá una puerta trasera al atacante y le permitirá entrar en la red de la empresa u hogar. El gancho mayor es cuando, por ejemplo, se crean aquellas ofertas que dicen estar disponibles durante “un tiempo limitado” incitan así al consumo, como las ofertas por tiempo limitado o también un pre lanzamiento, donde se tiene la oportunidad de ser de los primeros participantes, fenómeno que apunta a alabar el ego de las personas, al hacerles creer que son de los “pocos” que han recibido dicho correo.
El 1,2,3 de la Ingeniería Social
Identificar a la Victima- En esta área se comprende la psicología de la víctima, y de ser necesario, el ingeniero social se convierte en una persona totalmente distinta a fin de agradarle y obtener la información que desea.
Reconocimiento-No es otra cosa que obtener información de la víctima.
Ahora bien, ¿dónde obtenemos información de la víctima? La obtención de información se puede realizar mediante sitios Web, bases de datos, grupos de noticias, socios de negocios, “dumpster diving” búsqueda en la basura.
Existe una herramienta que para mí es una de las más poderosas y se llama: Facebook. Al visitar los perfiles de Facebook, uno puede darse cuenta que la mayoría de las personas no se toman la molestia de manejar su perfil como privado, sino que al contrario, lo dejan como público. Gracias a estos “muros” de datos personales encontramos información como nombre, fecha de nacimiento, lugar de nacimiento, escuelas donde estudió, empresas en las que ha laborado, amistades e incluso fotografías.
Telefónicamente, el atacante se hace pasar por otra persona o sorprende en su buena fe al usuario aprovechándose de su ignorancia o inocencia, y así consigue información importante.
Investigando en los contenedores de basura de la víctima. Allí pueden encontrarse datos útiles como horarios de vigilancia, nombres y códigos de empleados, procedimientos de la empresa, códigos fuente, discos u otros dispositivos de almacenamiento.
Crear el escenario-Una vez estudiado cuidadosamente quién es la víctima, se procede a crear un escenario creíble en el cual participarán la víctima y el ingeniero social. La parte más importante de un ataque es la creación del escenario que dará pie al ataque en sí. Este escenario apela a todos los principios antes expuestos y cuidadosamente elaborados para engañar a la víctima. Este escenario puede ser una situación por teléfono, puede ser una aparición física al área de trabajo, puede ser a través de Internet en fin existen diversos medios para crear el escenario del ataque.
Realizar el taque- Por supuesto la realización del ataque supone que se conocen de ante mano toda la información necesaria para llevarlo a cabo sin dejar rastros.
Obtener la información- Una vez se obtiene la información deseada solo procede a salir.
Salir –Finalmente el salir implica el borrado de huellas, de modo que no queden evidencias de que se estuvo allí.
¿Por qué caen las personas en estas trampas?
Primeramente las personas son víctimas de ataques de ingeniería social por varias causas entre ellas;
Total desconocimiento del tema- No se puede reconocer un ataque de ingeniería social, porque ni siquiera se reconoce el término, mucho menos se podrá identificar quién es un ingeniero social y por qué se hacen las preguntas para obtener información.
Falta de información accesible- No se encuentra información accesible, clara y específica sobre esta disciplina ya que la misma forma parte de un cuerpo de integrado del tema de seguridad en informática. Aunque en otros ya se ha estudiado como una disciplina aparte y hasta se ha creado un “framework” de estudio sobre la misma, aún la ingeniería social es considerada una herramienta más para hacking como lo serían los sniffers, keyloggers, troyanos y otros.
Falta de adiestramientos- La falta de adiestramientos es la variable más común en la lucha por la prevención e identificación de ataques de ingeniería social. Si no se capacita a la fuerza laboral sobre estos temas las empresas seguirán siendo víctimas de estos ataques.
Actitud: “A mí no me va a pasar”- Esta actitud refleja la negación de muchas empresas a invertir en adiestramientos y en contramedidas para atacar la ingeniería social en el área laboral. Esta negación a capacitar al personal no técnico así como al técnico se ha traducido en cientos de miles de pérdidas anuales por la fuga de información.
Medidas de prevención y protección contra la Ingeniería Social
La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común. También el aceptar que la facilidad de un ataque de esta índole pueda ocurrir es alto; que los controles solamente técnicos no son suficientes y que se necesita una combinación de controles administrativos y operacionales en la empresa para proteger sus activos.
Se recomienda que exista una combinación de inversión en tecnologías para proteger las redes, políticas de uso de tecnologías de información y seguridad en informática las cuales deben revisarse de forma constante. Asimismo que se diseñen proyectos de educación y capacitación a la fuerza laboral y que se fermenten programas agresivos de divulgación de herramientas para prevención y detección de ataques de ingeniería social.
De la misma manera es importante el promover el desarrollo de una cultura de seguridad en donde:
No se debe ignorar la interacción persona-maquina
Necesitan reconocer los “trucos”
La seguridad de la información es un problema de hardware, software, firmware y peopleware
La mejor defensa: Educación combinada con tecnología.
Todos los clientes o empleados deben tener una actitud hacia la seguridad y cuestionar las cosas.
Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el daño si ocurre un ataque.
Se debe notificar a los involucrados.
RESUMEN
Las Instituciones en general tienen la responsabilidad corporativa y social de participar activamente en la educación de sus clientes, usuarios y fuerza laboral en áreas relacionadas a la seguridad en informática.
La educación, adiestramientos, talleres y campañas de promoción son la clave para prevenir ataques de IS.
Promover una cultura de seguridad en informática debe ser una prioridad financiera y, diría yo sin afanar de exagerar, nacional.
La Dra. Aury M. Curbelo, es consultora en el área de seguridad en sistemas de información. También es profesora de la Universidad de Puerto Rico Recinto de Mayagüez en la Facultad de Administración de Empresas. Sus áreas de investigación involucran la ética en el uso de tecnologías de información y la fotografía digital, así como el uso de redes sociales y su impacto en el área laboral, y la ingeniería social el lado humano del hacking. Se ha destacado como oradora en eventos internacionales en áreas de seguridad en informática. Cuenta con las certificaciones de Hacker Ético, Security +, Forense Cibernético, entre otras. Contáctala a través de:
