Imagen: Adobe Stock.
En los años noventa, Kevin Mitnick hacía llamadas telefónicas haciéndose pasar por personal de soporte técnico. Apoyándose deun tono de voz seguro, urgente, y de un discurso bien planteado y ensayado, hizo que los trabajadores de un gran corporativo le compartieran sus contraseñas para verificar accesos, resolver un supuesto problema y más acciones que, por supuesto, eran parte de un engaño. Los empleados confiaron en la legitimidad del procedimiento y el sistema entero pudo ser vulnerado sin necesidad de técnicas
más complejas. Este ataque puso en tela de juicio la relevancia que tiene el factor humano en la ciberseguridad. Más importante y paradigmático es el hecho de que los grupos humanos funcionan por medio de una percepción de autoridad que revela debilidadesbastante profundas en los distintos modos de organización social. Las órdenes y el sentido de premura son sólo algunos factores que pueden voltearse en nuestra contra. Mitnick, ingeniero social, lo sabía y utilizaba esa inconsistencia para hackear sistemas nopor medio de la tecnología, sino del comportamiento.
Humano y máquina son parte de un engranaje que funciona gracias a su trabajo en conjunto. Siempre en una relación de cooperación, las debilidades de una parte afectan a la otra, a veces de manera bastante grave.
EL ERROR HUMANO
Ningún cortafuegos o encriptación puede proteger contra la ingeniería social. Apelar a la psicología o al error humano no es sólo una manera relativamente más sencilla de traspasar la ciberseguridad, sino que, por el contrario, en algunos casos es la única forma—o al menos la más factible— de ingresar a un sistema protegido. Sin ningún tipo de parafernalia tecnológica, los ingenieros sociales pueden utilizar cualquier herramienta de su bagaje de manipulación para buscar información en rincones digitales que de otro modo serían inaccesibles.
La ingeniería social se entiende como el conjunto de técnicas de manipulación psicológica empleadas para obtener datos confidenciales o hacer que alguien ejecute acciones en beneficio del atacante. Se distingue de otros ciberataques porque utiliza el factor humano, apelando a las características sociales de las personas para lograr el engaño.
En El arte de la decepción (2002), el hacker Kevin Mitnick y el ensayista William L. Simon unen esfuerzos para presentar la ingeniería social desde un punto de vista experto. Según los autores, esta se centra en la explotación de la confianza, la curiosidady la falta de sospecha; es decir, no usa vulnerabilidades psicológicas propias del individuo, sino factores naturales y comunes en cualquier ser humano.
EL ATAQUE COTIDIANO
Pero no todo se trata de hackers y grandes atentados contra sistemas complejos. Existen formas más simples y cotidianas de ingeniería social. El llamado phishing proviene del anglicismo fishing, que se traduce como “pesca”, y se refiere a la manera en que lanza un “anzuelo” para atrapar a las personas en su trampa. En su modalidad más común, consta de correos o mensajes fraudulentos que poseen alguna característica que capta mucho la atención, es decir, algo que haga a los usuarios hacer clic y querer saber más al respecto. Va desde una propuesta romántica hasta un llamado de auxilio.
A estas prácticas se suma el pretexting, que se refiere a la invención de escenarios falsos para obtener datos de la víctima; el baiting, que consiste en el ofrecimiento de un premio o información atractiva que en realidad contiene malware (virus computacional);y el tailgating, en el que se consigue el acceso físico a un lugar restringido aprovechando la cortesía de otros. Todas estas son tácticas que se apoyan en fundamentos psicológicos como la reciprocidad, la urgencia y la autoridad.
En su libro Influencia: ciencia y práctica (2009), Robert Cialdini, psicólogo de la Universidad de Columbia, expone que estos principios naturales en el ser humano pueden ser explotados profundamente para influir en los demás, orillarlos a ciertos comportamientos y, básicamente, ejercer una manipulación a través de la conexión entre computadoras.
DE LO MICRO A LO MACRO
Lo individual repercute a mayor escala. En 2013, el atentado a la cadena de almacenes Target se facilitó gracias a correos de phishing dirigidos a un proveedor externo, lo que permitió a los atacantes obtener datos de más de 40 millones de tarjetas de crédito,según la web Krebs on security.
En 2020, el hackeo masivo de Twitter se originó cuando algunos empleados fueron engañados para ceder acceso a herramientas internas, lo que permitió a los perpetradores controlar las cuentas verificadas de figuras públicas, según informó BBC News.Ambos casos son prueba de que las vulnerabilidades humanas son utilizadas ampliamente, incluso más de lo que creemos, para desmantelar sistemas aparentemente infranqueables.
Sin embargo, los ataques no son infalibles. El factor humano es errático, lo que es, al mismo tiempo, una ventaja y una desventaja. Siempre existe la posibilidad de errar en un hackeo basado en ingeniería social, particularmente cuando se van difundiendo las estrategias usadas para el engaño.
CONCIENTIZAR PARA PREVENIR
Después de la popularización del llamado phishing, varias instituciones bancarias decidieron fortalecer sus mecanismos de detección y comenzaron a capacitar tanto a sus clientes como a sus empleados para identificar correos falsos. Hoy son comunes, por ejemplo, las notificaciones donde los bancos explican a los usuarios las formas en que brindan sus servicios, haciendo hincapié en que nunca se comunican directamente por llamada telefónica para pedir datos personales.
En 2016 se descubrió a tiempo un intento de fraude contra la red social Snapchat cuando un empleado dudó de la veracidad de un correo que solicitaba datos de nómina, evitando así una filtración masiva de información, según indicó un comunicado oficial de Snap Inc.
La concientización respecto a las estafas en línea ha sido clave para no permitir la propagación de los efectos nocivos de la ingeniería social, aunque esta continúa sofisticándose y mejorando sus mecanismos.
Hoy las personas más vulnerables son aquellas que no están familiarizadas con las tecnologías actuales, por lo que pueden caer fácilmente en fraudes de diferentes tipos, aunque no tengan que ver directamente con la obtención de datos sensibles.
Según Christopher Hadnagy, autor de Ingeniería social: la ciencia del hackeo humano (2018), el éxito de esta clase de engaños ha disminuido gracias a la capacitación en ciberseguridad y la simulación de ataques que entrenan a los trabajadores para reconocerlas estrategias de ingeniería social, tanto las más usada como las recién desarrolladas. Hay una constante lucha entre el refinamiento de las técnicas y la cada vez mayor concientización sobre las mismas, lo que limita el alcance de las prácticas fraudulentas.
Lo cierto es que la tecnología viene de nuestra especie y, como tal, su mayor debilidad es el factor humano.
Instagram: @esve_brio
