Seguridad

Ingeniería Social: Poderosa arma de la ciberdelincuencia

Para Kevin Mitnick, el mundialmente reconocido hacker que ahora dedica su vida a brindar sus conocimientos y experiencias a empresas que desean evitar ser vulneradas, la inseguridad informática tiene un componente crucial en la mente y actos de aquellos que se preparan, rigurosamente para propinar un ataque y en quienes, dentro o fuera de las organizaciones, son blancos débiles que facilitan información valiosa. En otras palabras, a juzgar por sus apreciaciones, ciertamente "no hay plataformas de software ni hardware ideales. Todas son susceptibles de ser vulneradas, unas más que otras, sin embargo, la ingeniería social del hacker, quien incluso basa la mayor parte de su tiempo ejecutando tácticas fuera del entorno informático en sí, a través de una llamada telefónica o una visita a un recinto de oficinas, es donde existe el mayor terreno para gestar ataques, que por supuesto luego se concreta en una intromisión a un sistema, red, etc. A su vez, también es el mayor terreno para evitarlos gracias a la aplicación de prácticas preventivas".

Mitnick, quien abrió el pasado Foro Mundial de Tecnología, organizado por la C.A Editora El Nacional, basó su charla en lo que ha denominado la Ingeniería Social. Un término que ha calado tanto en la industria TI como el resto, por sus grandes aportes en materia de concientización sobre los enormes huecos de seguridad presentes en lo que denomina el firewall (cortafuegos) humano. "Esta es una forma delictiva basada en la influencia o manipulación sicológica para persuadir a la gente (víctimas) y así poder obtener la información requerida".

El experto relató varias historias en las que se han obtenido botines virtuales multimillonarios, gracias a la astucia de una cadena de llamadas telefónicas, por ejemplo, como en caso citado, que le permitió llegar a la Vice Presidencia de Nuevos Desarrollos del gigante Motorola  y obtener que le fuera enviado el código fuente de un modelo Star Tac, próximo a ser lanzado para aquel momento. Insólito pero cierto.
Su exposición da cuenta cómo la mezcla de ingenuidad, descuido, omisión, es suficiente para poner información en manos de un "atacante", cuyos pasos han sido medidos, la cual se convierte en segundos en la puerta de acceso a una red, un servidor, unas cuentas, antesala perfecta para un gran ataque informático.

Perfecta combinación

"Ciertamente la mayoría de los ataques se producen combinando la ingeniería social y las vulnerabilidades técnicas", asegura Mitnick. Es así como refiere una serie de recomendaciones que ante su obviedad, son pasadas por alto, dejando desnudos los sistemas personales o de pequeñas, medianas o grandes empresas que a su vez invierten sumas multimillonarias en blindar sus activos de información con componentes de hardware, software y dispositivos que requieren mucho más que su acertada instalación para garantizar la seguridad para que la han sido adquiridos.

• Invulnerabilidad

Por lo general las personas sufren del síndrome de la invulnerabilidad, es decir, viven con la ilusión de que nunca serán blanco de un ataque. Esto es falso. Todos estamos en riesgo permanente.

• Beneficio de la duda

Se tiende a confiar, de manera exagerada en los otros, bajo creencias como que en otra oportunidad "el favor será devuelto". El riesgo está en el tipo de información que puede cederse a un tercero sin saber que será utilizada en contra de una organización o persona.

• No a los protocolos de seguridad

Las personas tienden a catalogar como tediosos ciertos protocolos de seguridad, intentando burlarlos. Además les perciben como pérdida de tiempo. En ocasiones una complicada clave de acceso, siguiendo instrucciones de la propia compañía, es escrita en un papel y pegada en la pantalla del PC. Para que no se olvide o por incapacidad de memorización.

• Subestimación del valor de la información

No se le otorga el verdadero valor a la información. De esta manera es difícil discernir cuando se está cediendo información confidencial a un tercero, sin saber a ciencia cierta a quien se le está dando.

• Ley de reciprocidad

Hay una conducta humana que conduce a ayudar a otros, en este caso, cediendo información sin autorización, para "hacer un favor".

• Consecuencias

En ocasiones, las personas no miden las consecuencias de sus actos, como por ejemplo responder a una llamada de un extraño si un superior recibió un correo, etc. Se dan numerosos casos en los que se abren archivos .exe, para verificar la recepción de algo, con el riesgo que eso implica ante la introducción de un programa malicioso.

Trabajar en revertir y crear conciencia sobre estas recomendaciones permite, a juicio de Mitnick,  construir un sólido y robusto firewall humano, que protegerá los sistemas y activos de información.

Responsabilidad compartida

"Los call center o Centros de Atención telefónica, se han constituido hoy por hoy en los sitios más vulnerables para propinar ataques informáticos. Con frecuencia me encuentro, en las visitas que realizo a empresas en las que estoy trabajando con el tema de la seguridad, una clave de acceso común para los operadores, publicada en una pizarra, lo cual se convierte en un tesoro para burlar y acceder a una red". Así mismo, según Mitnick, en otras experiencias le ha tocado revisar la basura en empresas, consiguiendo valiosas piezas como claves de acceso, direcciones de e-mail, teléfonos, listado de nombres y cargos con fechas de nacimiento, números de identidad, fechas de nacimiento, en fin, datos valiosos que utilizados con malicia arrojaran excelentes resultados.

La gran recomendación es revisar los propios procedimientos de protección y resguardo, tanto de datos personales como de las empresas, aplicar los principios básicos de seguridad como ser cautelosos con todo lo relacionado a claves de acceso e información confidencial, comportamiento ante la información solicitada vía teléfono, e-mail u otro medio, para poder abonar terreno a los sistemas de seguridad informática sin la pretensión de que de éstos depende toda la responsabilidad del resguardo de nuestros activos de información.

Noticias relacionadas: – Nicholas Negroponte: "No hemos hecho un buen trabajo con los bits".
El arte del engaño predomina sobre las herramientas tecnológicas.
Necesitamos comprender mejor como pensamos para producir un PC inteligente.
One Laptop Per Child: Negroponte tira lo toalla.
Lagos Analysis demanda al proyecto OLPC.
Intel se retira del proyecto OLPC.
Venderán computadoras de $200 a quienes donen otra al tercer mundo.

Fuente: Mariam Larrazábal G. – Negocios & Tecnología

Publicaciones relacionadas

Botón volver arriba