La ingeniería social consiste en hackear la mente humana, algo que de muchas formas es más fácil que hallar una nueva vulnerabilidad de software y utilizarla como una puerta a su empresa. Estas vulnerabilidades, llamadas de día cero, pueden costar decenas de miles de dólares en el mundo de los hackers – dinero que se puede ahorrar si se engaña a alguien para que instale un virus en su propia máquina.
Por Tomer Teller*
Hay una escena en la película 'Matchstick Men' donde el protagonista, interpretado por NicolasCage sostiene un diálogo con la actriz Alison Lohman:
Lohman: No pareces un tipo malo.
Cage: Eso me hace bueno en lo que hago.
Esta conversación condensa una verdad fundamental de todas las estafas, ya sea que se reproduzcan en el mundo digital o en el físico: conseguir que alguien baje la guardia con un ardid inteligente facilita la vida de un ladrón. En el idioma vernáculo de los hackers, esto se llama ingeniería social.
La ingeniería social se trata de hackear la mente humana, algo que resulta mucho más fácil que hallar una nueva vulnerabilidad de software y utilizarla como puerta a su empresa. Estas vulnerabilidades, llamadas de día cero, pueden costar decenas de miles de dólares en el mundo de los hackers – dinero que se puede ahorrar si se engaña a alguien para que instale un virus en su propia máquina. Después de todo no hay necesidad de pasar por el esfuerzo de recoger un candado cuando puede convencer a alguien de dejarle entrar a su hogar.
¿Qué hace eficaz a un ataque de ingeniería social? La clave es la atracción, la cual puede variar desde una publicación en Facebook que llame la atención sobre una celebridad hasta e-mails con líneas de asunto sobre el negocio de su empresa. Uno de los ataques más publicitados del año pasado fue el de RSA, el cual empezó cuando un empleado abrió un email titulado 'Plan de Reclutamiento 2011'. Cuando el empleado abrió el anexo dio inicio a una cadena de eventos que llevó a la violación de los datos. Mientras que hackear un sistema requiere conocimiento de vulnerabilidades de programación, hackear la mente humana exige un tipo de conocimiento diferente, específicamente sobre qué tipos de emails o links son más probables que abra la víctima.
Una forma de obtener esos datos es dirigiéndose a personas, de acuerdo con sus trabajos e intereses y tal vez no existe mayor fuente de información en esos temas que las redes sociales. Un paseo por un perfil en LinkedIn puede revelar la experiencia y cargo de una persona; un vistazo a cuentas de Facebook puede revelar sus amigos y pasatiempos. Mientras que las redes sociales han hecho bastante en los últimos años para reforzar sus controles de privacidad, puede que muchos usuarios no los usen o los vuelvan ineficaces sin querer al aceptar como amigo a alguien que no conocen. Las investigaciones han demostrado que el perfil falso promedio en Facebook tiene alrededor de 726 ‘amigos’ – más de cinco veces lo que tiene un usuario típico del sitio.
Hackear la mente humana también toma otras formas. Por ejemplo, la optimización de motores de búsqueda (SEO) es una técnica favorita de los hackers. La idea de SEO es mejorar la clasificación de su website en motores de búsqueda como Google. En las manos correctas, esto es perfectamente legítimo pero, en las equivocadas aumenta la posibilidad de que la gente termine en un sitio malicioso. También existen métodos menos técnicos como una conversación telefónica que hace que alguien baje la guardia.
Hace poco Check Point patrocinó un estudio de Dimensional Research que reveló que el 43 por ciento de los 853 profesionales de TI en el mundo encuestados dijeron haber sido blanco de estafas de ingeniería social. La encuesta también halló que los empleados nuevos son los más susceptibles a ataques, con el 60 por ciento que citó las contrataciones recientes como de “alto riesgo” para la ingeniería social. Infortunadamente, el entrenamiento no parece llevar el ritmo de las amenazas pues solamente el 26 por ciento de los encuestados dan entrenamientos continuos y un 34 por ciento dijo que no intentan educar a los empleados. La buena noticia es que la marea está cambiando y más empresas están comprendiendo las amenazas de seguridad y a qué técnicas de ingeniería social pueden ser susceptibles los empleados.
La educación es clave para defenderse de ataques, pero el proceso inicia con políticas vigentes para proteger los datos. Esto incluye controlar quién tiene acceso a cuál información y definir políticas que son reforzables y que contribuyan a las operaciones del negocio. De ahí se debe educar a los empleados sobre cuáles son las políticas y luego probarlas con ellos. Es bueno compartir datos sobre los ataques que son detectados para que los empleados puedan entender mejor cómo son llegan a ser un blanco. Si llega un correo inesperado solicitando información privada, dele seguimiento con el supuesto remitente para asegurarse de que sea legítimo.
Si existe un antivirus para la mente este tiene que ser actualizado con conocimiento de políticas corporativas y con la comprensión de cómo los atacantes se dirigen hacia sus víctimas. Incorporar esos datos en un programa de entrenamiento puede ser la diferencia entre una fuga de datos y una noche tranquila en la oficina.
*Evangelista de seguridad e investigador de Check Point Software Technologies.