Cibercultura
Ingeniería Social
Tienes tu PC con el último antivirus, un firewall que no deja pasar nada y escaneas el disco duro regularmente para deshacerte del spyware. Pero falta algo, quizás lo más crítico en la cadena de la seguridad, porque es lo más vulnerable: tú.
Las personas son el "eslabón débil" en la seguridad, porque son víctimas fáciles de la denominada "Ingeniería social". Ésta no es una nueva carrera universitaria, sino que la técnica para conseguir información sensible utilizando cualquier tipo de tretas para engañar a las personas. En palabras del mítico hacker estadounidense Kevin Mitnik: "Se puede contar con la mejor tecnología, los mejores firewalls, sistemas de detección de intrusos o dispositivos biométricos, sin embargo, lo único que hay que hacer es recurrir a un empleado ingenuo, y ya está. Se obtiene todo".
Se aprovechan de mi nobleza
Según Mitnick, que sistematizó sus conocimientos en un libro, existen dos grandes factores de los cuales se aprovechan quienes ejercen la ingeniería social: la tendencia de las personas en confiar en los demás y el miedo a perder el trabajo. "El atacante puede identificarse como un ejecutivo y esta condición obliga al empleado a actuar de acuerdo con las órdenes". De esta manera el "ingeniero social" entra al sistema, ya sea buscando la simpatía del empleado, o utilizando la cohersión. Por ello trabaja con rapidez, evitando que su víctima tenga tiempo de razonar y darse cuenta del engaño.
Un caso práctico: imaginemos a un hacker que desea saber los datos de configuración de la red de una empresa. Éste llama por teléfono a cualquier empleado diciendo que es el administrador de sistemas y que necesita modificar algún aspecto de la configuración. Durante la conversación, y a través cuidadas preguntas, el atacante obtendrá los datos (como los códigos de acceso a los equipos) que necesita para vulnerar la seguridad de la red corporativa.
Algo así hizo Mitnick en su ataque a Motorola: "En aquel momento mi objetivo sólo era uno: conocer el código fuente del proyecto ultratack. Localicé el número de servicio al cliente y fingí ser otro empleado de la empresa. Un contacto me llevó a otro y, al final, logré hablar con la gerente, quien me facilitó el código fuente", dice.
Para defenderse
"En las empresas grandes no hay suficiente contacto y cualquiera, de la noche a la mañana, puede disfrazar sus intenciones de hacker con el uniforme del mensajero, de la secretaria o del vigilante. También puede ocurrir cuando las compañías tienen una política de mucha rotación de personal. Las caras nuevas se suceden y entre ellas puede aparecer el pirata informático", indica Mitnick. "Las situaciones parecen insólitas pero ocurren", continúa. "Un hacker disfrazado de mensajero es capaz de entrar con un ordenador portátil, enchufarlo en la oficina y permanecer varias horas ante la vista de todos y sin levantar la mínima sospecha".
Pero hay formas de defenderse. El ingeniero de Trend Micro, Lukas Alarcón, plantea que la clave es tomar una postura escéptica. "Por ejemplo, todos los servidores de correo tienen una cuenta de administrador, que no es la misma que la del administrador del sistema. Pero alguien puede usarla para pedir información a un usuario. Y como éste le otorga credibilidad (por venir del administrador), le entrega los datos", señala Alarcón.
Lo que cabe hacer en un caso así, es verificar. "La primera medida es desconfiar de las fuentes, aún cuando vengan de personas a las que otorgamos credibilidad. En segundo lugar, investigar si realmente se trata de quien corresponde. En el caso de un correo del administrador, debemos llamarlo y preguntarle si efectivamente fue enviado por él", dice el experto.
Así las cosas, hay que recordar una de las máximas de internet: nada es lo que parece.
Comentarios: