Ingeniería social: Hackeando el sistema operativo del ser humano

23 Dic 2013

La ingeniería social, a veces llamada “la ciencia y arte de hackear a seres humanos”, ha aumentado su popularidad en los últimos años gracias dado el crecimiento de las redes sociales, los correos electrónicos y otras formas de comunicación online. En el sector de la seguridad IT, este término se utiliza para hacer referencia a una serie de técnicas que usan los criminales para obtener información sensible de sus víctimas o para convencerlos de realizar algún tipo de acción que comprometa su sistema.

ingeniería social

Con todas las soluciones de seguridad que hay en el mercado hoy en día, el usuario es quien tiene el poder de decisión. El hilo que conduce a las credenciales de nuestra cuenta o los datos de nuestra tarjeta de crédito es realmente fino. Por eso, es necesario conocer los trucos que utilizan los delincuentes, tanto técnicos como psicológicos, para evitar ataques.

La ingeniería social no es una amenaza nueva, ha existido desde el origen de los tiempos, con ingenieros tan populares como Kevin Mitnick o Frank Abagnale, reconocidos por su labor en la campo de la seguridad. El segundo, por ejemplo, fue uno de los hackers más famosos ya que tenía múltiples identidades y engañaba a los usuarios para que le revelasen información sensible. Si viste la película “Atrápame si puedes”, podrás hacerte una idea de qué son capaces los ingenieros sociales cuando tienen un objetivo en mente.  Recuerda que un ingeniero social no solo utiliza técnicas informáticas para conseguir información. Por ejemplo, no debes revelar tu contraseña por teléfono o darle a un empleado de soporte técnico tu contraseña para arregle ciertos desperfectos. ¡Presta atención a estas cosas! ¡Se cuidadoso!

La mayoría de los cibercriminales no invierten mucho tiempo en probar tecnologías complejas para sus ataques; saben que es más sencillo utilizar la ingeniería social para sus maliciosos fines. Además, incluso existen páginas web con información valiosa donde aprender técnicas para engañar a las víctimas. Uno de ellas es SocialEngineer.org, plataforma que provee teoría sobre el funcionamiento de cada ataque y ejemplos que aclaran cada uno de los conceptos.

Aunque no nos demos cuenta, todo los días influenciamos a las personas a nuestro alrededor a través del lenguaje verbal. Los idiomas tienen sus puntos débiles ya que están sujetos a una experiencia subjetiva que distorsiona las cosas. La programación neurolingüística o PNL se inventó para fines terapéuticos pero, actualmente, ha evolucionado a una forma de hipnosis que utilizan los ingenieros sociales como herramienta para manipular a sus víctimas, quitándoles su contraseña, información confidencial, etc.

Si bien parece que hay una gran distancia entre la psicología y el cibercrimen, la shockeante realidad nos dice que ambos se basan en los mismos principios. El deseo de toda persona de reciprocidad (si te hago un favor espero que tú me hagas otro), de aprobación social (confiamos en los juicios de la mayoría), de autoridad (por ejemplo, al tener confianza en la policía, un médico, un técnico de soporte…) y otros tantos son formas universales para entendernos con otros  seres humanos. Un ingeniero social sabe qué botones pulsar para conseguir una conducta deseada en un usuario. Inventa un contexto o una historia 100% creíble para controlar la interacción con la víctima. En una fracción de segundo, son capaces de conseguir lo que buscan este tipo de personas.

Nuestro objetivo es concentrarnos principalmente en las diferentes técnicas que usan los criminales para llevar a cabo sus fechorías online y obtener información de sus víctimas de forma ilegal. Como se ha mencionado previamente, los principios que se utilizan en estas estafas son los mismos que existen en la vida real; pero como Internet hoy en día es un gigante medio de distribución de información, un mail de phishing, por ejemplo, se puede enviar a millones de usuarios a la vez, dando ganancias de a millones a los cibercriminales también. Aunque solo caiga en sus redes un grupo reducido de personas, los beneficios pueden ser enormes.

Hoy, uno de los métodos más usados para obtener información confidencial es el phishing. Este fraude informático que utiliza los principios de la ingeniería social para robar datos a la víctima. El cibercriminal recibe un email, SMS u otro tipo de mensaje, el cual convence a la víctima para que revele cierta información directamente o realice cierta actividad (entrar en una website falsa, hacer clic en un enlace malicioso… etc.) que permita al atacante seguir con su plan.

Hemos visto una evolución en el malware que utiliza la ingeniería social. En el pasado, el usuario se percataba casi de inmediato si su equipo estaba infectado porque el equipo se comportaba de forma extraña. Hoy en día, el malware accede al sistema y permanezca oculto hasta que tenga que entrar en acción. Así, los cibercriminales y las empresas de seguridad IT juegan constantemente al gato y al ratón; siendo la educación uno de los mecanismos de defensa más importantes para que los usuarios conozcan y estén informados de todas las amenazas y peligros en la Red.

Muchas muestras de malware utilizan la ingeniería social para introducirse en el sistema de la víctima. Entre los trucos más populares se encuentran las actualizaciones falsas de Flash Player, los archivos ejecutables dentro de documentos Word y las copias de baja calidad de navegadores legítimos como Internet Explorer.

Página web donde se usaba una actualización falsa de Flash Player para infectar el equipo e instalar el software malicioso en el sistema de la víctima.

Página web donde se usaba una actualización falsa de Flash Player para infectar el equipo e instalar el software malicioso en el sistema de la víctima.

Un gran número de ataques está dirigido a Latinoamérica. El motivo se debe, principalmente, a que la mayoría de la población de esta región desconoce estas amenazas tecnológicas y, además, sus sistemas informáticos suelen tener software sin actualizar.  Es por eso que es un escenario ideal para cualquier cibercriminal. Hasta hace muy poco, las entidades bancarias apenas disponían de medidas de seguridad para las cuentas online y existen, todavía, muchos agujeros por donde se puede colar un ingeniero social.

En Sudamérica, además, existen otros tipos de ataques que poco tienen que ver con el fraude informático. Por ejemplo, el “secuestro virtual” usa la ingeniería social para  hacer creer a una familia que uno de sus miembros ha sido secuestrado y, así, reclamar un rescate. En Latinoamérica, donde este tipo de crímenes son lamentablemente bastante habituales, los delincuentes explotan las debilidades humanas (urgencia y miedo) para conseguir su botín.

Es importante recordar que cualquier información nuestra que publicamos en las redes sociales (Facebook, Twitter, Foursquare, etc.) puede ser una pista significante para los cibercriminales, allanándoles el terreno para desarrollar tranquilamente sus fechorías. Incluso nuestra lista de favoritos de Amazon puede ser la entrada para un ataque de ingeniería social.

Como se ha mencionado anteriormente, es imprescindible instalar un buen producto antivirus si solemos navegar en Internet habitualmente. Además, aconsejamos estar informados de las últimas amenazas cibernéticas para intentar no caer en la trampa (tanto offline como online). Todos los dispositivos tecnológicos y los mecanismos de defensa son inútiles si no sabemos utilizarlos y no somos conscientes de que los chicos malos siempre están a nuestro acecho. El crimen está en constante evolución y debemos ser precavidos.

 

 

 

 

Traducido por: Berenice Taboada Díaz