Muchas de las técnicas utilizadas para conseguir información de forma ilegal contemplan la utilización de mecanismos, herramientas, equipos, etc., y la mayoría de las veces quienes las ejecutan necesitan de sofisticados conocimientos técnicos y amplia experiencia para que los ataques sean efectivos, sin embargo, la llamada “ingeniería social” omite el dominio de cuestiones técnicas y se basa en el aprovechamiento del “eslabón más débil” dentro de la seguridad informática: el usuario.
Mientras las nuevas tecnologías de comunicaciones han permitido que la brecha entre usuarios y máquinas sea cada vez menor, los complejos sistemas de comunicación también han desarrollado modelos que dan al usuario la capacidad de intercambiar información de una manera cada vez más rápida, fácil y sencilla. Ejemplos de esto es la evolución de los mensajes de correo electrónico, mensajeros instantáneos, redes sociales, mensajes de texto, etc., los cuales proporcionan una manera efectiva de intercambio de información.
El uso y aprovechamiento de tecnologías de este tipo, conlleva que el usuario confíe en todo lo que hay detrás, es decir, si el usuario ve una interfaz amigable o “conocida”, normalmente supondría que el emisor de dicha información es precisamente quien la está publicando. En otras palabras, si ve un correo o cartel electrónico del banco X, supondrá que es efectivamente el banco X quien está emitiendo la información, o al menos es lo que la mayoría de los usuarios que no han sido informados de los riesgos y amenazas de seguridad informática tendrían en mente.
Ingeniería social y las comunicaciones electrónicas
Ahora, ¿cómo se relaciona la ingeniería social en todo esto? El saber que el punto más débil de toda una infraestructura de seguridad es el usuario, da pauta a que puedan omitirse todas las protecciones implementadas detrás de él. La ingeniería social se trata de “prácticas, técnicas especializadas o empíricas, acciones estudiadas, planeaciones estratégicas, etc., cuyo principal objetivo es manipular a una entidad, en este caso a las personas, para que directa o indirectamente realicen acciones que llevarán a conseguir un fin específico para quien las aplica”, en palabras sencillas, es la habilidad de engañar para obtener información de una persona o sistema.
En base a lo anterior se puede entender o al menos imaginar gran cantidad de formas por las cuales pueden aplicarse técnicas de engaño en medios como el correo electrónico, mensajes de texto, páginas web, etc., de modo que los usuarios “ingenuos” proporcionen información o realicen acciones que deliberadamente han sido planeadas para lograr objetivos como robo de información, acceso a cuentas de usuario, etc. De hecho, en los últimos años han nacido términos como “phishing”, “hoax”, “shoulder surfing”, etc., los cuales se refieren a un conjunto de acciones aplicadas de ingeniería social.
Abordando ejemplos específicos, el phishing consiste en suplantar a una entidad con la finalidad de obtener información tal como contraseñas, número de tarjetas de crédito, información personal de cuentas, etc., y el medio de propagación de esta amenaza se da principalmente por correo electrónico y portales web falsos. Generalmente tratan de dar la apariencia de la entidad que están suplantando, sin embargo, están diseñados de manera que el intercambio de información será entre el usuario y una entidad externa, así, ésta puede utilizar la información proporcionada por el usuario y utilizarla con los fines que se desee. Hay muchas referencias en donde asumen que el término de phishing proviene del concepto en que el engaño representa un “anzuelo”, y se está a la espera que el más ingenuo sea “pescado”.
Realmente técnicas como el phishing no solamente pueden ser aplicados en comunicaciones electrónicas escritas como es el correo electrónico, también es utilizado en llamadas telefónicas, carteles electrónicos, etc., pero principalmente se ha dado una tendencia a suplantar portales bancarios porque ha demostrado que es una técnica eficiente para que los intrusos y usuarios maliciosos cometan delitos.
Otra aplicación de la ingeniería social es la propagación de malware. Mediante engaños se hace creer a los usuarios por ejemplo que se visita algún sitio o se descarga una aplicación de utilidad, sin embargo, ésta puede estar modificada maliciosamente de modo que a parte de realizar las tareas para las cuales está diseñada, también se aprovecha de la confianza que ha adquirido del usuario y puede, de manera similar que el phishing, obtener información como contraseñas, información de cuentas de usuario, números de tarjetas de crédito, etc.
Defensas, consideraciones y buenas prácticas
Con todo lo anterior se puede formular la pregunta ¿existen defensas efectivas en contra de la ingeniería social? La respuesta es totalmente afirmativa, sin embargo los mecanismos a tomar en cuenta van más enfocados a una cultura informática y no tanto a una cuestión técnica. Se debe entender que una parte muy importante de la seguridad recae en el usuario. Tanto en las comunicaciones electrónicas como en la vida real, siempre se debe tener presente que hay cosas de las que debemos desconfiar, o manejar con particular cuidado.
Hablando de amenazas específicas, podemos citar las siguientes recomendaciones que disminuirían de manera importante la posibilidad de ser víctimas de alguna técnica de ingeniería social aplicada:
- Si se recibe algún correo de remitentes desconocidos, debe tratarse con extremo cuidado, ya que no solamente puede tratarse de un correo con información falsa, sino que puede contener archivos maliciosos adjuntos.
- Como una medida de protección general, se debe saber que las entidades bancarias nunca solicitarán información confidencial por correo electrónico, o incluso cualquier tipo de información del usuario.
- Al utilizar servicios bancarios en línea, se deben verificar características como que se trata de una “pagina segura” (inicia con https), así como que la dirección del portal realmente pertenezca a la url de la entidad, por ejemplo, si el banco X ofrece servicios en línea, y con total seguridad se sabe que su dirección web es www.bancox.com, entonces cuidarse de direcciones aparentes. Una característica del phishing es que paginas auténticas pueden suplantarse con una simple similitud de las palabras, para el caso anterior podría ser que la página falsa fuera www.banncox.com. El simple hecho de que se parezca, hace que muchos usuarios desprevenidos caigan en este tipo de engaños que por muy triviales y sencillos que parezcan, siguen siendo muy efectivos.
- No enviar información de acceso personal por correo electrónico. El no aplicar este tipo de medidas a pesar de su sencillez, causa que más allá de los términos de seguridad informática, la ingeniería social represente un problema económico. Solo por citar un ejemplo, en el reino unido se alcanzó la cantidad de 52.5 millones de euros en 2008, más del doble 22.6 millones reportados en 2007 de casos de fraude en línea.
En concreto, la ingeniería social realmente representa un problema serio de seguridad. No se necesita que el usuario sea un experto conocedor de seguridad, pero más allá de las consideraciones básicas se debe tener presente por lo menos cómo o en dónde están las amenazas, que muchas veces no serán virus, programas o equipos infectados, sino simplemente técnicas de engaño.
Referencias
http://www.perantivirus.com/sosvirus/pregunta/ingsocial.htm
http://www.microsoft.com/latam/seguridad/hogar/spam/phishing.mspx
http://www.theregister.co.uk/2009/08/27/online_banking_fraud_survey/
