Siglo Nuevo Opinión Entrevista Nuestro Mundo

CIENCIA Y TECNOLOGÍA

Ingeniería social: engaño y manipulación en la era cibernética

No todos los ciberataques están respaldados por un código de programación; muchos sistemas, incluso los de gigantes tecnológicos como Twitter, se ven vulnerados a través de la mera manipulación psicológica de quienes tienen acceso a ellos.

Imagen: Adobe Stock.

Imagen: Adobe Stock.

ABRAHAM ESPARZA VELASCO

En los años noventa, Kevin Mitnick hacía llamadas telefónicas haciéndose pasar por personal de soporte técnico. Apoyándose deun tono de voz seguro, urgente, y de un discurso bien planteado y ensayado, hizo que los trabajadores de un gran corporativo le compartieran sus contraseñas para verificar accesos, resolver un supuesto problema y más acciones que, por supuesto, eran parte de un engaño. Los empleados confiaron en la legitimidad del procedimiento y el sistema entero pudo ser vulnerado sin necesidad de técnicas

más complejas. Este ataque puso en tela de juicio la relevancia que tiene el factor humano en la ciberseguridad. Más importante y paradigmático es el hecho de que los grupos humanos funcionan por medio de una percepción de autoridad que revela debilidadesbastante profundas en los distintos modos de organización social. Las órdenes y el sentido de premura son sólo algunos factores que pueden voltearse en nuestra contra. Mitnick, ingeniero social, lo sabía y utilizaba esa inconsistencia para hackear sistemas nopor medio de la tecnología, sino del comportamiento.

Humano y máquina son parte de un engranaje que funciona gracias a su trabajo en conjunto. Siempre en una relación de cooperación, las debilidades de una parte afectan a la otra, a veces de manera bastante grave.

EL ERROR HUMANO

Ningún cortafuegos o encriptación puede proteger contra la ingeniería social. Apelar a la psicología o al error humano no es sólo una manera relativamente más sencilla de traspasar la ciberseguridad, sino que, por el contrario, en algunos casos es la única forma—o al menos la más factible— de ingresar a un sistema protegido. Sin ningún tipo de parafernalia tecnológica, los ingenieros sociales pueden utilizar cualquier herramienta de su bagaje de manipulación para buscar información en rincones digitales que de otro modo serían inaccesibles.

La ingeniería social se entiende como el conjunto de técnicas de manipulación psicológica empleadas para obtener datos confidenciales o hacer que alguien ejecute acciones en beneficio del atacante. Se distingue de otros ciberataques porque utiliza el factor humano, apelando a las características sociales de las personas para lograr el engaño.

En El arte de la decepción (2002), el hacker Kevin Mitnick y el ensayista William L. Simon unen esfuerzos para presentar la ingeniería social desde un punto de vista experto. Según los autores, esta se centra en la explotación de la confianza, la curiosidady la falta de sospecha; es decir, no usa vulnerabilidades psicológicas propias del individuo, sino factores naturales y comunes en cualquier ser humano.

Kevin Mitcnick, el hacker que encendió las alertas sobre el factor humano en la ciberseguridad. Imagen: Tolga Katas.
Kevin Mitcnick, el hacker que encendió las alertas sobre el factor humano en la ciberseguridad. Imagen: Tolga Katas.

EL ATAQUE COTIDIANO

Pero no todo se trata de hackers y grandes atentados contra sistemas complejos. Existen formas más simples y cotidianas de ingeniería social. El llamado phishing proviene del anglicismo fishing, que se traduce como “pesca”, y se refiere a la manera en que lanza un “anzuelo” para atrapar a las personas en su trampa. En su modalidad más común, consta de correos o mensajes fraudulentos que poseen alguna característica que capta mucho la atención, es decir, algo que haga a los usuarios hacer clic y querer saber más al respecto. Va desde una propuesta romántica hasta un llamado de auxilio.

A estas prácticas se suma el pretexting, que se refiere a la invención de escenarios falsos para obtener datos de la víctima; el baiting, que consiste en el ofrecimiento de un premio o información atractiva que en realidad contiene malware (virus computacional);y el tailgating, en el que se consigue el acceso físico a un lugar restringido aprovechando la cortesía de otros. Todas estas son tácticas que se apoyan en fundamentos psicológicos como la reciprocidad, la urgencia y la autoridad.

En su libro Influencia: ciencia y práctica (2009), Robert Cialdini, psicólogo de la Universidad de Columbia, expone que estos principios naturales en el ser humano pueden ser explotados profundamente para influir en los demás, orillarlos a ciertos comportamientos y, básicamente, ejercer una manipulación a través de la conexión entre computadoras.

Con la popularización del phishing aumentaron las capacitaciones dirigidas a empleados y usuarios de ciertos servicios para distinguir los correos falsos. Imagen: Freepik.
Con la popularización del phishing aumentaron las capacitaciones dirigidas a empleados y usuarios de ciertos servicios para distinguir los correos falsos. Imagen: Freepik.

DE LO MICRO A LO MACRO

Lo individual repercute a mayor escala. En 2013, el atentado a la cadena de almacenes Target se facilitó gracias a correos de phishing dirigidos a un proveedor externo, lo que permitió a los atacantes obtener datos de más de 40 millones de tarjetas de crédito,según la web Krebs on security.

En 2020, el hackeo masivo de Twitter se originó cuando algunos empleados fueron engañados para ceder acceso a herramientas internas, lo que permitió a los perpetradores controlar las cuentas verificadas de figuras públicas, según informó BBC News.Ambos casos son prueba de que las vulnerabilidades humanas son utilizadas ampliamente, incluso más de lo que creemos, para desmantelar sistemas aparentemente infranqueables.

Sin embargo, los ataques no son infalibles. El factor humano es errático, lo que es, al mismo tiempo, una ventaja y una desventaja. Siempre existe la posibilidad de errar en un hackeo basado en ingeniería social, particularmente cuando se van difundiendo las estrategias usadas para el engaño.

Un objetivo común de los ataques con ingeniería social es obtener datos de tarjetas de crédito, como
ocurrió masivamente en el caso de Target en 2013. Imagen: Freepik
Un objetivo común de los ataques con ingeniería social es obtener datos de tarjetas de crédito, como ocurrió masivamente en el caso de Target en 2013. Imagen: Freepik

CONCIENTIZAR PARA PREVENIR

Después de la popularización del llamado phishing, varias instituciones bancarias decidieron fortalecer sus mecanismos de detección y comenzaron a capacitar tanto a sus clientes como a sus empleados para identificar correos falsos. Hoy son comunes, por ejemplo, las notificaciones donde los bancos explican a los usuarios las formas en que brindan sus servicios, haciendo hincapié en que nunca se comunican directamente por llamada telefónica para pedir datos personales.

En 2016 se descubrió a tiempo un intento de fraude contra la red social Snapchat cuando un empleado dudó de la veracidad de un correo que solicitaba datos de nómina, evitando así una filtración masiva de información, según indicó un comunicado oficial de Snap Inc.

La concientización respecto a las estafas en línea ha sido clave para no permitir la propagación de los efectos nocivos de la ingeniería social, aunque esta continúa sofisticándose y mejorando sus mecanismos.

Hoy las personas más vulnerables son aquellas que no están familiarizadas con las tecnologías actuales, por lo que pueden caer fácilmente en fraudes de diferentes tipos, aunque no tengan que ver directamente con la obtención de datos sensibles.

Según Christopher Hadnagy, autor de Ingeniería social: la ciencia del hackeo humano (2018), el éxito de esta clase de engaños ha disminuido gracias a la capacitación en ciberseguridad y la simulación de ataques que entrenan a los trabajadores para reconocerlas estrategias de ingeniería social, tanto las más usada como las recién desarrolladas. Hay una constante lucha entre el refinamiento de las técnicas y la cada vez mayor concientización sobre las mismas, lo que limita el alcance de las prácticas fraudulentas.

Lo cierto es que la tecnología viene de nuestra especie y, como tal, su mayor debilidad es el factor humano.

Instagram: @esve_brio

Leer más de Siglo Nuevo

Escrito en: ciencia tecnología Ingeniería social engaño manipulación era cibernética ciberataques programación twitter manipulación psicológica acceso icnológico error humano Kevin Mitnick ataque cotidiano haker fishing pretexting baiting tailgating micro macro concientizar prevención

Comentar esta noticia -

Noticias relacionadas

Siglo Plus

+ Más leídas de Siglo Nuevo

LECTURAS ANTERIORES

Fotografías más vistas

Videos más vistos semana

Imagen: Adobe Stock.

Clasificados

ID: 2415503

YouTube Facebook Twitter Instagram TikTok

elsiglo.mx