Ingeniería Social (Seguridad Informática)

Segurinfo es el evento más importante sobre Seguridad Informática. Claudio B. Caracciolo de la empresa Root-Secure dio las claves de los típicos engaños en lo que a informática se refiere. Cómo obtener los datos más relevantes que se requieren de cualquier persona sin que ésta siquiera se percate de ello.

La Ingeniería SOCIAL es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Éstos pueden ser administradores de sistemas, asegurados, aseguradores, usuarios de cuentas bancarias, gerentes de empresas, y miles de casos más. La víctima puede ser usted o yo.

Básicamente, es la estrategia del “cuento del tío” que ha evolucionado y llegado a los medios informáticos para conseguir información de una forma encubierta. Información que de utilizará a su vez con otros fines.

En seguridad de la información es necesario analizar el sistema en su conjunto (compuesto por el hardware, software y por personas). Siempre se ha dicho que la información se filtra en primer lugar, a través de la “secretaria”. Para que esto no suceda es preciso capacitar a los empleados para que no brinden información importante, o a simple vista irrelevante.

En ingeniería social hace 30 años que se utilizan las mismas herramientas, sólo varia los medios o canales de sustracción. Por lo que no es necesario ser un hacker a tal fin. Sino simplemente conocer las herramientas básicas del arte de convencer a las personas que en la ignorancia ejecuten actos que puedan revelar información.

Años atrás, se realizó en la Estación de tren de Waterloo en Londres, una supuesta encuesta donde se preguntaba a los empleados de oficina su contraseña a cambio de un bolígrafo. El 90% reveló su contraseña. Y lo que parece ser un dato inocente, puede ser crucial si es que se tiene en miras un ataque específico encubierto en un ataque genérico.

La ingeniería social de la vieja escuela utilizaba la figura de la típica recepcionista que llamaba telefónicamente para confirmar datos o con la excusa de enviar una carpeta de presentación. De esa manera se solicitaban (y se otorgaban) datos de los gerentes, de las diferentes áreas, de los responsables, etc.

Otra táctica común es la llamada del encargado de tecnología con la excusa de fines estadísticos, como por ejemplo sobre que servidores usan, que antivirus utilizan, etc. Se tienta al administrador a contestar a cambio de algún beneficio o regalo. Entonces uno otorga datos “inofensivos”. A veces no es necesario pedir códigos, claves o números de tarjetas de crédito. Al dar el dato de la plataforma utilizada es muy simple atacar directamente, porque se sabe con qué código malicioso atacar de forma más efectiva.

La ingeniería social ocurre hasta donde se sustrae la información. Luego, lo que se haga con esa información es otro tema. Puede ser utilizado de forma positiva o no. La técnica de la ingeniería ya hizo lo suyo. La ingeniería social es el instrumento.

Se dice que ingenieros sociales somos todos, porque es el arte de manejar una conversación. Implica poder establecer una conversación con el otro, llamar su atención, adaptarse a la charla (pero sin perder el foco), ganar su confianza, y así obtener lo que se desea.

El exponente más famoso en ingeniería social es Kevin Mitnick, quien se basa en cuatro principios básicos. Son: todos queremos ayudar, el primer movimiento es siempre de confianza hacia el otro, no nos gusta decir No, a todos nos gusta que nos alaben.

Los datos se otorgan inocentemente, y son más tarde utilizados en general con fines ilegítimos. O sea, que el modo de obtener la información es a simple vista inofensiva. Aunque, suele utilizarse para conseguir información confidencial, útil o personal para aprovecharse del otro.

Hechos divertidos y agradables como recibir una Blackberry o dispositivos USB de último modelo de regalo, en caso de altos ejecutivos, puede ser mortal para una compañía.

Constanza Paulos