Ingeniería Social, un ataque psicológico discreto

Después de la llegada de Internet a la sociedad, aproximadamente a mitad de la década de los 80, o principios de los 90, la generación de información ha ido en aumento. Hoy en día existen más dispositivos conectados a Internet que el número de habitantes en el planeta. Es impresionante la cantidad de información que se genera en el mundo.

En relación a esto, DOMO publicó en el 2014 una infografía con cifras de generación de información a través de dispositivos móviles, computadoras y equipos informáticos conectados a Internet por minuto diario. Debido a toda esta información que se genera, el cuidado y la protección de datos se han vuelto una necesidad y un tema prioritario. Por lo tanto, es importante conocer las amenazas y los peligros a los que nos enfrentamos en estos tiempos.

El arte de convencer a alguien para hacer lo que se desea, o revelar información mediante la manipulación, es denominada por muchos Ingeniería Social. EC-Council (Consejo Internacional de Consultores de Comercio Electrónico) lo define como el método de influir y persuadir personas para revelar información sensible, con la intención de perpetuar una acción maliciosa. Mediante la manipulación y el engaño, el atacante puede obtener información confidencial, detalles de autorización y acceso a datos protegidos (SlideShare, 2015).

En general, este tipo de ataques tienen un enfoque mental y emocional (psicológico), con procedimientos físicos. Debido a que el enfoque principal es el psicológico, se establece contacto persona a persona. En este proceso, los atacantes utilizan una variedad de técnicas para engañar y obtener confianza lentamente sin levantar sospecha. Los sitios de redes sociales como Facebook y LinkedIn son utilizados por estas personas para crear relaciones sociales confiables para la recolecta de información.

En este sentido, la seguridad de organizaciones puede verse comprometida a causa de Ingeniería Social. Los ignotos sociales están siempre buscando formas de obtener información.

La secuencia que ejecuta un atacante mediante Ingeniería Social es la siguiente:

• Investigación del objetivo: primeramente, el atacante recolecta toda la información necesaria con el fin de encontrar varias formas de entrar a la red de la víctima. Una de las técnicas es apoderarse de datos importantes: tipo de negocio, ubicación, número de empleados, etc. En esta fase el atacante utiliza la técnica de dumpster diving (pepenador), busca información y detalles de empleados en sitio web.
• Elección de víctima: se elige la víctima clave para intentar sustraer información sensible. En esta elección, los blancos ideales son los empleados disgustados con la empresa, y el atacante busca este tipo de personas precisamente para facilitar la tarea de obtención de datos sensibles.
• Desarrollo de la relación: una vez que el empleado es identificado, el atacante busca la manera de establecer contacto y relación de confianza para obtener información útil para usarla en el momento preciso del ataque. 
• Explotar la relación: finalmente, el atacante saca provecho de dicha relación de confianza para extraer información de cuentas, desde financiera hasta uso de tecnología y planes futuros. 

Esta realidad que actualmente se vive ha sido llevada también al cine. Existen varios filmes cinematográficos en los que se pueden visualizar ejemplos donde se utiliza la llamada Ingeniería Social. Entre ellos podemos mencionar: La estafa maestra (The Italian Job), Atrápame si puedes (Catch Me if You Can) y Los impostores (Matchstick Men).

Para conocer un poco más acerca de la forma en que operan los bandidos informáticos, Mark Ciampa (2015) nos presenta las siguientes técnicas:

Impersonation: hacerse pasar por una persona con autoridad, ya que la mayoría de las víctimas generalmente se resisten a decir “no” a cualquier persona con poder: un gerente, un administrador, un especialista de tecnología, etc.

Phishing: consiste en el envío de correo electrónico o anuncios en sitios web falsos, con la intención de convencer al usuario que el sitio es legítimo (bancos, tiendas en línea, etc.). Este correo solicita datos privados de cuentas de usuarios, contraseñas, números de tarjetas de crédito o cuentas bancarias, con el propósito de actualizar información o recibir ciertos beneficios. Este engaño finalmente roba información sensible.

Spam: correo no deseado que llega a la bandeja de entrada de buzones de correo electrónico. Google estima que 9 de cada 10 mensajes de correo son “Spam”, la razón es recepción de correo electrónico con publicidad, promociones, etc. Actualmente, todos estos tipos de correos se envían desde Botnet (robots informáticos) de forma autónoma. Una de los riesgos del correo no deseado es que se utiliza para distribuir programas maliciosos.

Hoaxes: es un engaño o una advertencia falsa contenida en un correo electrónico. Supone que el Departamento de Tecnología envía una notificación sobre amenaza de seguridad, indicando eliminación de archivos del sistema o cambio de configuración de seguridad y reenvío de correo a otros usuarios, con la intención de volver vulnerable a la víctima y engañarlo para que se comunique al número telefónico del delincuente informático. De esta forma, él podrá tener acceso y obtener información sensible para completar su ataque.

Typo Squatting: este tipo de ataque se presenta al cometer un error al escribir el nombre de dominio o cuenta de correo electrónico. Los atacantes contratan un nombre de dominio parecido al de las grandes empresas, por ejemplo goggle.com o faceboook, con la finalidad que los usuarios que cometen “error de dedo” (error de mecanografía) sean dirigidos a páginas con apariencia muy similar a los sitios legítimos para obtener cuentas de correo electrónico, contraseñas y alguna otra información importante para después llevar a cabo el robo de información.

Se dice que el eslabón más débil en la cadena de seguridad informática es el usuario final. Muchas veces contamos con sistemas de seguridad, sistemas  operativos e informáticos actualizados y dispositivos de seguridad de red como contrafuegos (Firewalls), sistemas de prevención de intrusos (IPS) y/o sistemas de detección de intrusos (IDS) contra ataques desde Internet hacia el interior de la red local. Pero a veces, como usuarios “dejamos la puerta abierta sin darnos cuenta”, al caer en las trampas del engaño y difundir información que permite al atacante el acceso no autorizado. Cada persona debe ser cuidadosa al compartir información en Internet y estar alerta a no contestar preguntas a extraños para evitar comprometer información sensible, ya que ahí yace el peligro.

El sitio de Security Through Education enseña lo siguiente: “seguridad informática a través de la educación”. Esto quiere decir que para contrarrestar los huecos de seguridad localizados en la falta de conocimiento de los tipos de ataques informáticos, como riesgos al dar clics a enlaces o archivos desconocidos recibidos por correo electrónico o en sitios web, es necesario enseñar y educar a todo usuario que utilice computadoras y dispositivos móviles conectados a Internet (Social Engineer, Inc., s/f).

El siguiente video de google (2016) brinda recomendación contra estos ataques.