Por: MC Rafael Llamas Contreras
Con la colaboración especial de Adrián Marcelo López Ávila y Cesar Vicente Luna Gallegos
Un sistema puede ser el más seguro pero siempre dependerá de un ser humano, lo que será su más grande debilidad. Como decía Kevin Mitnick “Usted puede tener la mejor tecnología, firewalls, sistemas de detención de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más. Tiene todo en sus manos”. La ingeniería social es una herramienta poderosa que facilitara las cosas a los atacantes informáticos porque les abrirá muchas puertas, le dará acceso a datos de importancia etc. sin ninguna complicación.
Quizás hablar de la ingeniería social para muchos de nosotros puede parecer un tema que no siempre relacionamos con algún tipo de delito, pero si lo pusiéramos en términos más coloquiales, los extorsionadores telefónicos, tan de moda hoy en día, utilizan la ingeniería social para intentar cometer sus extorsiones, por lo que respecta a Internet, con la aparición de la redes sociales los delincuentes utilizan esos espacios para seleccionar a sus víctimas en base a la información que obtienen de sus perfiles y de la información que los usuarios publican en esos espacios.
La ingeniería social comienza con la investigación del individuo que será atacado. Por lo tanto, es altamente efectivo, como atacante, como ya dijimos valerse de las redes sociales y la interacción con los contactos allegados al individuo en cuestión. Un ingeniero social exitoso es incluso capaz de desarrollar diferentes perfiles de personalidad para engañar a todo aquel que pueda revelarle información valiosa.
Los ataques de ingeniería social son muy similares a los ataques que hacen las agencias de inteligencia para infiltrar sus objetivos, pudiera parecer muy descabellada la idea, sin embargo en la precisión de los ataques esta el éxito del mismo. Los pasos que normalmente se siguen son [1]:
1. Recolección de información de inteligencia
2. Selección del objetivo
3. Ataque
Este último punto se puede dividir en 3 sub-categorías:
3.1 Ataques que se basan en la vanidad o el ego de la victima
3.2 Ataques que sacan ventaja de la empatía y simpatía
3.3 Ataques que están basados en la intimidación
Los ataque pueden venir de cualquier lado y con solo realizar acciones que el usuario cree inofensivas como un simple llenado de cuestionarios en línea puede provocar un ataque a sí mismo, digamos que se suscribe en una red social y empieza a agregar amigos, las redes sociales por lo regular sugieren agregar a sujetos que tienen amigos en común contigo pero son personas que realmente no conoces, decides agregarlo y en tu perfil pones toda tu información como dónde vives en que trabajas etc. Esto facilita la primera etapa en la que el atacante obtiene toda la información necesaria para generar un perfil para engañar a la persona (recolección de información de inteligencia). Esta puede usarse para ataques de ingeniería social pero también con solo tener esa información ya se puede proceder a sacar beneficios con los datos recopilados a partir de un perfil del usuario objetivo.
En otra etapa es ganarse la confianza de la victima ya sea por la misma red social o por otros medios a través de los cuales se pueda acceder a información. Normalmente a partir ataque, dependiendo del tipo de información que se obtenga, se puede llegar a obtener un beneficio económico a través del secuestro o la extorsión.
Es por eso que se vuelve más que importante cuidar la información que proporcionamos de manera personal a desconocidos o en todo caso, cuidar lo que publicamos en nuestras redes sociales ya que la información, sobre todo la de índole personal, corre el riesgo de ser usada por los ingenieros sociales para cometer sus ilícitos en nuestro perjuicio.
Referencias
[1] “Social Engineering: The Forgoten Risk”. Information Security Management Handbook. Fifth Edition. Harold F. Tripton,
Micki Krause.