Aunque sea tentador imaginarse a los hackers como tímidos inadaptados sociales dependientes de sus ordenadores para interactuar con el mundo, esa es una caricatura que pocas veces se corresponde con la realidad. De hecho, en algunos casos, las habilidades sociales de los hackers se convierten en sus mejores herramientas de intrusión.
Es lo que conocemos por el nombre de ‘ingeniería social’: técnicas dirigidas a inducir –mediante el engaño y la manipulación– errores humanos en la protección de la información, aprovechándolos para comprometer la seguridad de los sistemas informáticos.
La psicología social como herramienta de intrusión
Esta forma de intrusión no aprovecha vulnerabilidades de ningún sistema informático, sino que se ejerce en un contexto de interacción social (online, telefónica o cara a cara) entre el atacante y el eslabón más débil de la cadena de la seguridad informática: el usuario. Las tácticas de ingeniería social más exitosas se fundamentan a veces en el carisma y capacidad resolutiva del propio hacker, y casi siempre en un profundo conocimiento de la psicología humana, de nuestros impulsos irracionales y a nuestros sentimientos de confianza, curiosidad, atracción o miedo.
De este modo, el hacker tratará –por ejemplo– de hacerse pasar por otra persona (como personal de seguridad o miembro de un servicio técnico) o simulará tener un cargo de autoridad del que carece, todo ello con el objetivo de sonsacar la información sensible necesaria para completar el ataque, sin que la víctima sea consciente de ello en ningún momento.
Uno de los hackers más buscados en los años 90, hoy en día consultor de seguridad digital– suele decir que la ingeniería social se basa en 4 principios fundamentales:
- “Todos queremos ayudar”.
- “La primera reacción es siempre de confianza hacia el otro”.
- “No nos gusta decir ‘No”.
- “A todos nos gusta que nos alaben”.
Un ejemplo es el de Chris Nickerson, el fundador de Lares, una consultora estadounidense de seguridad que hace uso de técnicas de ingeniería social para comprobar el nivel de seguridad de las empresas, en lo que se conoce como ‘tests de equipo rojo’: el propio Nickerson, armado tan sólo con datos públicos accesibles a través de la Red, y con una camisa de técnico de una conocida teleoperadora, intenta (y consigue la mayor parte de las veces) acceder a las oficinas y manipular los equipos a la vista de todos los empleados.
Breve clasificación de técnicas
- Pasivas: basadas en la observación y análisis del comportamiento de la víctima, con el fin de reconstruir su rutina diaria, de crear un perfil psicológico aproximado, etc.
- No presenciales: basadas en las solicitudes de información por correo electrónico o mediante llamadas telefónicas.
- Presenciales no agresivas: aquí se incluyen acciones como la vigilancia de domicilios o la búsqueda de documentos personales en la basura para recopilar información.
- Presenciales agresivas: suplantación de identidad y presiones psicológicas.
¿Cómo evitar que mis empleados sean víctimas?
Ya en 2003, el libro Hacking Linux Exposed de B. Hatch y J. Lee recomendaba adoptar las siguientes actitudes, que siguen plenamente vigentes:
- “Formar a los usuarios”: dado que esta clase de ataques se lanzan siempre contra el factor humano de la ecuación, la mejor forma de prevenirlos es intentar educar todo lo posible a nuestros empleados en las distintas tácticas de ingeniería social.
- “Ser paranoico”: los autores recomiendan “cultivar una sana paranoia”, porque lo habitual es que los hackers renuncien a usar a alguien que demuestra desconfiar de ellos: “Se buscarán en seguida un objetivo más sencillo”.
- “Preguntarlo todo”: es recomendable preguntar siempre a nuestro interlocutor por qué necesita la información que está solicitando. “La mayoría de los ataques mediante ingeniería social se desmoronan haciendo preguntas insistentemente”.
- “Comprobar siempre las fuentes”: si sospechamos de una petición poco habitual realizada por email, verifiquemos llamando a esa persona por teléfono. Si hablamos cara a cara con alguien que no conozcamos, exijamos algún tipo de identificación personal.
- “Decir que no”: cuando un hacker está aplicando ingeniería social, lo habitual es que lo haga apartándose de las normas de la empresa o induciendo a su víctima a hacerlo. Ajustarse al pie de la letra a los procedimientos establecidos es una buena defensa en este caso.
- Muy recomendable es, además, que la empresa disponga de alguna plataforma EDR (de protección y detección de amenazas), como Adaptive Defense 360 que posibilita que si el usuario cae en alguna trampa y pincha en un enlace que le llevaría a la descarga de una aplicación infectada ésta se bloquee inmediatamente, además de informar en tiempo real a los gestores de seguridad de la compañía para que actúen en consecuencia.