Hemos repetido hasta el cansancio que las personas, los usuarios, somos el eslabón más débil en la cadena de seguridad que puede separar a cualquier de nuestros datos privados. La ingeniería social se basa en este axioma de la seguridad informática para, de una manera artesanal y prácticamente indetectable, ir sacándonos información útil para sus proyectos sin que nos demos por sabidos. En este artículo le damos un repaso al concepto de ingeniería social como herramienta hacker, sus características, el porqué de su efectividad y algunas precauciones a tomar para no ser engañados por estos artesanos del espionaje y del hacking psicológico.
Un espía en traje de gala
En la noche, aprovechando el tumultuoso ambiente de una fiesta donde la elite se reúne a compartir lujos y secretos, él se escabulle entre la rigurosa seguridad de la gala y habla con los asistentes como uno más de ellos. El porte, el tono de voz, la seguridad sobre lo que dice, la excesiva solidaridad que demuestra a resolver problemas ajenos, las preguntas adecuadas y el momento correcto para hacerlas lo tornan alguien a quien, tal vez jocosamente, hasta se le pueda confiar algún secretillo; misión cumplida.
Eso lo vemos en todas las películas de espías, donde la llamada ingeniería social se revela contra lo que las personas conscientemente resguardan e inconscientemente pueden llegar a revelar. Una palabra, un dato que para quien lo menciona puede no tener importancia alguna, para un experto en ingeniería social puede ser la llave que abra la caja de Pandora de la seguridad personal y del resguardo de la información sensible. Un rapto auto infligido a nuestra privacidad basado básicamente en nuestra ignorancia e impericia para las relaciones sociales y en la capacidad del “ingeniero social” para aprovecharlas. Pero, ¿qué es y cómo funciona la ingeniería social?
¿Qué es y cómo funciona la ingeniería social?
En pocas palabras, la ingeniería social (IS) es un conjunto de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente para lograr que éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual. Estas pueden estar llevadas a cabo mediante el trabajo con tecnología y ordenadores o directamente a través del trato personal. El objetivo es evadir o hacer más fácil el acceso a los sistemas de seguridad tradicionales al acceder a la información desde la fuente más confiable pero más vulnerable, el propio protegido.
Dos modos de ingeniería social y un debate interno
A modo de separación, se ha hablado muchas veces de dos tipos de ingeniería social. Una llamada IS basada en computadoras que se trata de utilizar los descuidos que cometen los usuarios al caer en trampas como las cadenas de correos, los hoaxes, el spam, las ventanas pop-up y los correos con infecciones. Este tipo de denominación, personalmente (aunque a la mayoría de la comunidad de IS tampoco gusta), no resulta representativa de la Ingeniería Social de concepto, la clásica; la que está basada en los recursos humanos y en el tratamiento, generalmente directo,(aun con ordenador mediante) con los datos del afectado.
Esto es una cuestión de purismo en cuanto a lo artesanal del trabajo y una repulsión de lo automatizado de los modos basados en computadora (recopilación masiva y en serie de datos provistos por spyware, troyanos, etc), pero cada técnica tiene sus debates internos y este es uno de ellos con mi posición sobre el mismo.
Dicho esto, la Ingeniería social que vamos a tratamos aquí es la basada en Humanos, que por sus propiedades e independencias tecnológicas de gran escala puede utilizarse –como decía un profesor de IS-, tanto para hacerle confesar algunas pistas sobre las preguntas de los exámenes como para obtener la clave de acceso a la red informática de una financiera privada.
La psicología como herramienta principal
Utilizando características psicológicas humanas como la curiosidad (lo que nos mueve a mirar, a responder y a tocar donde no debemos), el miedo (ante el temor, buscamos ayuda de cualquier manera o caemos más fáciles en las trampas porque no podemos razonar con tranquilidad), la confianza (nos sentimos seguros ante la menor muestra de autoridad), la ingeniería social es el arte del aprovechamiento de circunstancias intencionales, pero mucho también de las azarosas.
Por eso es que los expertos estarán atentos a cualquier error que cometas sin que te des cuenta. Aquí reside parte de la efectividad de la ingeniería social, pues lo que dices frente a cualquier persona con la que te encuentres podría no tener relevancia alguna, pero ante un cracker que utiliza este método, el nombre de tu prima o a qué secundaria asististe puede convertirse en la clave de acceso a tu correo, y de ahí al resto de tus servicios financieros, por citar un ejemplo.
Métodos y técnicas de la ingeniería social:
Las técnicas de Ingeniería Social, a nivel método de acción sobre los usuarios, están dividas en categorías que se caracterizan por el grado de interacción que se tiene con la persona dueña de la información a conseguir.
Técnicas Pasivas
Estas pueden ser las Técnicas Pasivas, que se basan simplemente (lo que no implica que sea fácil) en la Observación de las acciones de esa persona. Lo principal en IS es que cada caso es diferente, y por lo tanto cada desenvolvimiento del experto está supeditado al ambiente, naturaleza y contexto en el que la información a conseguir se mueva. Es decir, que tendrá que adaptarse. Para esto el primer paso es la observación, y esto incluye una formación de un perfil psicológico tentativo de alguien a quien se va a abordar, conocer sus conductas informáticas, obtener datos simples como cumpleaños, nombres de familiares, etc. Cualquier cosa sirve y lo verás cuando comentemos un caso más adelante.
Técnicas No presenciales
Otras técnicas son las No presenciales, donde a través de medios de comunicación como Carta, IRC, Correo electrónico, teléfono y otros se intenta obtener información útil según el caso. Estos son los más comunes y los que más casos de éxito (para los crackers, claro) muestran porque las personas tienden a sobreconfiar datos luego de ver un texto bien escrito y con algún emblema, sello o firma implantando para darle falsa legitimidad.
Técnicas presenciales no agresivas
Las técnicas presenciales no agresivas incluyen seguimiento de personas, vigilancia de domicilios, inmersión en edificios, acceso a agendas y Dumpster Diving (buscar información como post-it, boletas, recibos, resúmenes de cuenta, etc. en la basura del investigado)
Técnicas agresivas
En los llamados métodos agresivos, el trabajo de los expertos se vuelve más intenso, y es donde surge la suplantación de identidad (hacerse pasar por IT, servicios técnicos, personal de seguridad, etc.), despersonalización y la más efectiva de las presiones psicológicas. Según los expertos en seguridad, la combinación de este último grupo de técnicas junto a la explotación de tres factores psicológicos antes comentados sobre el afectado, pueden ser altamente efectivos en el trabajo cara a cara entre víctima y victimario.
Un caso de ingeniería social en fases
La primera fase, al realizar un trabajo de ingeniería social artesanal, implica un acercamiento para generar confianza del usuario. Esto lo logran a través de correos haciéndose pasar por representantes técnicos de algún servicio o incluso a través de una presentación formal en una charla coloquial, mostrándose empático y sacándonos de una eventual situación de alerta ante el extraño (aunque bien podría ser un compañero de trabajo, un amigo de un conocido, etc.) La atención que ponen en esta etapa es fundamental para captar cualquier información que digamos y tomarla como valorable.
Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés o necesidad en la otra persona. En base a su curiosidad o deseo, ésta estará predispuesta consciente e inconscientemente a brindar información. La idea del experto será observar nuestra reacción y actuar en consecuencia con alguna técnica un poco más agresiva si el dato a conseguir tiene un nivel alto de preservación. Lo demás será prueba y error según el caso al que nos estemos refiriendo.
Por ejemplo, si un investigador simplemente quiere encontrar una forma de acceder a tu correo electrónico, podría bastarle con saber que tienes un blog en el que escribes cosas personales, sacar nombres de parientes, instituciones y hechos importantes de tu vida e ir “corriendo” a tu inicio de sesión de correo electrónico y pedir que se le recuerde el password porque lo ha olvidado. Si por casualidad en la pregunta de seguridad pusiste “Cuál es mi mejor amigo de la infancia”, probablemente el experto esté matándose de la risa y ya haya entrado a tu correo con información que tú mismo le diste.
Si no lo consigue de esa manera, su trabajo no ha terminado y buscará técnicas más agresivas o repetirá el proceso para conseguir nueva información. Todo esto, repito, está supeditado al caso en el que nos refiramos. Si el cracker está intentando tirar abajo el sistema informático de un Estado, obviamente no irá a revisar los blogs personales de los encargados de limpieza del lugar.
Efectividad de la ingeniería social
Como dice el famoso phreaker y hacker Kevin Mitnick, la ingeniería social tiene cuatro principios por los cuales su efectividad como herramienta hacker resulta inmensurable. El primero es que ante alguien que inspira el mínimo respeto o incluso lástima, Todos queremos ayudar, por lo que nos mostramos dispuestos siempre a dar un poco más de lo que se nos pide.
Esto lleva al segundo principio, El primer movimiento es siempre de confianza hacia el otro, que se explica por sí solo. El tercer principio explotado por los expertos en IS es que No nos gusta decir NO, esto lleva a mostrarnos menos reacios a ocultar información y a cuestionarnos si no estaremos siendo muy paranoicos al negar todo y en cómo afectará esto en la idea del otro sobre nosotros. El último punto es indiscutible: A todos nos gusta que nos alaben.
Si alguien conoce a Dale Carnegie y a su best seller “Cómo ganar amigos e influir sobre las personas” sabrá a lo que se refiere. Con estos principios sociólogicos aplicados juntamente a las técnicas de IS mencionadas sobre un individuo que muestre vulnerabilidad por su ignorancia, despreocupación o impericia, el trabajo de los Ingenieros sociales se vuelve no sólo efectivo, sino también indetectable, ya no que generalmente no se dejan trazas útiles para investigaciones.
Conocer cómo trabaja es saber defenderte de ella
Por sus características y porque su principal herramienta es la adaptación a diferentes escenarios y personalidades, la ingeniería social es de las técnicas más complejas de evitar y es indetectable o cuestionable dado que maneja aspectos de psicología que no podrían ser puestos en evidencia fácticamente. Lo que sí se puede hacer es justamente esto que has hecho, leer sobre cómo funciona y estar atento a diferentes intenciones sin volverte paranoico ni nada similar.
En general la gente es buena y tiene buenas intenciones, o por lo menos yo quiero morirme creyendo eso. Pero que esto no te obnubile en cuanto a tomar precauciones como que no haya gente cerca cuando vas a introducir un password, ser más inteligente con tus contraseñas y sobre todo con la forma que tienes para recuperarlas al perderlas, no anotar contraseñas ni accesos ni información sensible en papeles que sean propensos a ser desechados intencional o accidentalmente. Confía en quien tienes que confiar y estate alerta a las intenciones que tienen quienes intentan ayudarte por vías peligrosas.
Recuerda también que –y esto está estudiado- siempre es mejor dos o tres argumentos sólidos que quince. No abras correos de desconocido y no, nunca pero nunca te vas a ganar un coche sólo por tener un móvil y enviar tu identificación personal por el mismo. Además recuerda que muchas veces una búsqueda en cualquier motor de búsquedas puede llevarte a conocer la peligrosidad o no de un correo, una oferta o una sugerencia técnica.
Epílogo
Esto fue todo sobre este humilde informe sobre lo que conozco y puedo contar de ingeniería social como herramienta hacker, pero también como herramienta para la vida cotidiana, ya que para sufrir sus consecuencias no hace falta tener un ordenador en el medio. No seas paranoico, estate más atento e infórmate recordando, otra vez, que el eslabón más vulnerable de cualquier sistema de seguridad somos nosotros mismos.