Ingeniería Social: ¿Hackear al Ser Humano?
El desarrollo de la humanidad, a lo largo de la historia, demuestra que las sociedades han tenido y han aplicado la Ingeniería Social. La Ingeniería Social, según el libro “Técnicas para Hackear Humanos” de los autores Antonio Ángel Ramos, Carlos Barbero, David Marugán e Ismael González, es: “La Ingeniería Social puede definirse como el conjunto de técnicas de tipo social que pueden usar ciertos individuos, grupos u organizaciones de cualquier tipo para manipular o persuadir a objetivos humanos con la intención de que realicen acciones, tomen decisiones o revelen información valiosa para el atacante de forma voluntaria”.
Con el desarrollo de la Internet y los avances tecnológicos, la Ingeniería Social ha evolucionado y se ha fortalecido. El sistema ya no es lo que podría llamarse “lucha cuerpo a cuerpo”, que incluía llamadas telefónicas y las cartas convencionales. Hoy el sistema es digital y por la red.
Las organizaciones modernas, ahora preocupadas por la seguridad de la información, invierten en elementos de seguridad como firewall, antivirus, políticas de seguridad en su mayoría restrictivas, y también en el personal, que es sin duda el elemento más importante. En el pasado, se han presentado hechos de Ingeniería Social, que seguramente nosotros no consideraríamos que se pudieran lograr. Un ejemplo conocido en el mundo por su magnitud fue realizado por Víctor Lustig, que fue capaz de vender la torre Eiffel dos veces, con sólo un mes de diferencia.
EL INGENIERO SOCIAL
El ingeniero social es un estudioso de los temas de la psique humana y del lenguaje no verbal y verbal. Logra de esta manera la explotación de vulnerabilidades de los seres humanos, tales como convicciones sociales, deseo de reconocimiento o de ayudar, posibilidad de sentirse adulado y otras determinadas circunstancias, que en momentos específicos son el ambiente propicio para la Ingeniería Social.
Otro ejemplo es el caso de los tres hermanos Badir (Shadde, Muzher y Ramy), que con una condición especial de invidencia pusieron en jaque a las fuerzas militares israelíes, pues lograron descifrar los códigos de comunicación del Centro de Comunicaciones Israelí y con ello crear una tarjeta SIM (Subscriber Identity Module) falsa y montar su propio operador telefónico, todo esto supuestamente a cargo del Ministerio de Defensa Israelí. Para que los ataques de Ingeniería Social logren su cometido deberán tener unos requisitos habituales, que son: ingeniero social entrenado, planes y herramientas concebidas cuidadosamente para perpetrar el ataque, la existencia de los seres humanos que pueden ser explotados para el beneficio del ingeniero social y un objetivo claro y preciso que lograr.
Es importante entonces decir que la Ingeniería Social podría presentarse de dos maneras: una es interactuando con máquinas y software y la otra basada en el ser humano puramente. En la actualidad los ataques de ingeniería social utilizan las dos maneras para potenciar los resultados.
Como podemos ver, los seres humanos estamos expuestos a este tipo de ataques, riesgo que es bastante alto toda vez que en la actualidad la seguridad física se complementa y multiplica su accionar gracias a los medios tecnológicos, que son asociados a direcciones IP (Internet Protocol) y por tanto viajan por la Internet. A ello se asocia el factor humano (América Latina) que desarrolla su actividad en los centros de control y que muchas veces sólo tiene el entrenamiento básico de como operar y controlar tecnología, tal como videovigilancia, alarmas y controles de accesos, cumpliendo sólo con los protocolos establecidos para tal fin, pero con desconocimiento de cómo éstas pueden convertir a la seguridad física en eslabón más débil de la seguridad de una organización. Ello nos indica que la formación y concientización de nuestros operarios tendrá que ser mucho mayor a la que ahora reciben.
Como hemos podido revisar hasta aquí, la Ingeniería Social está basada en el estudio del comportamiento humano, entonces la pregunta lógica sería: ¿Por qué entrar en tantos problemas de desarrollo de software y lenguajes de programación para conseguir un acceso? Según el señor Kevin Mitnick, los pilares psicológicos y sociales en que se apoyan estas técnicas son cuatro:
1. Las ganas de ayudar.
2. El primer movimiento es de confianza hacia el otro.
3. A todos nos gusta que nos alaben.
4. No nos gusta decir “no”.
Según el doctor Robert Cialdini, lo que existe son “motivadores básicos en las personas por medio de las cuales se invita a alguien a actuar”, ellos son:
1. Reciprocidad.
2. Orientación social.
3. Compromiso.
4. Aceptación.
5. Autoridad.
6. Tentación.
Teniendo en cuenta los conceptos antes mencionados, por el doctor Caldini y por el señor Mitnick, se evidencia la múltiple existencia de técnicas de ataque de Ingeniería Social. De los ataques más comunes podemos mencionar algunos a continuación:
PIGGYBACKING Y TAILGATING
Esta técnica está basada en el seguimiento que se puede hacer a un empleado, usuario autorizado, hasta zonas donde no estamos autorizados para ingresar, aprovechando las autorizaciones de éste. Hablando en términos más coloquiales se trata de colarse a algún sitio, esto en seguridad física como ejemplo, es utilizar a una persona que ingresa a la compañía con su tarjeta de proximidad y evitar que la puerta se cierre y lograr acceso a eso sitios de transito controlado.
DUMPSTER DIVING O TRASHING
En seguridad se conoce con el término de basurología, que indica que se va a buscar en sitios donde se acumulan desechos que pueden contener información de utilidad para ser usada por el ingeniero social. Allí se pueden encontrar el post-it con las claves que se utilizan, memorias USB (Universal Serial Bus), datos financieros, organigramas y membretes de la compañía, lo cual da la oportunidad de que cuando se habla con las personas se tengan datos convincentes sobre la organización. Por ello es importante que los desechos sean destruidos adecuadamente con el fin de evitar este tipo de técnica.
EAVESDROPPING
Esta técnica se trata de escuchar de forma subrepticia las conversaciones de otro para obtener información. Este tipo de ataque puede ser aplicado a los medios telemáticos como el correo electrónico (Network Sniffing) o el teléfono (Wiretapping), y para este caso específico estamos hablando de la escucha presencial.
SHOULDER SURFING
Esta técnica es una de las más antiguas, y se realiza a través de la observación directa, esto es tratando de ver información confidencial, como las contraseñas.
OFFICE SNOOPING
Esta técnica aprovecha la ausencia de la persona responsable de la oficina para husmear en su PC (personal computer) o documentos. De allí la importancia de generar el bloqueo de la sesión al momento de retirarnos de nuestros PC. Es importante dar este tipo de capacitación al personal de operadores en las centrales de monitoreo.
BAITING
Esta técnica utiliza cebos, que muchas veces contienen troyanos, software malicioso y otros, que generalmente son dejados en memorias USB, DVD (Digital Versatile Disc), CD (Compact Disc), algunas veces con logos corporativos y otras con títulos sugestivos que inducen a tomarlo o a utilizarlos.
BRIBING
Esta técnica está basada en el soborno del empleado, ofreciendo dinero u otro tipo de dádivas para obtener la información. En la seguridad física se puede dar con el operario de la central de seguridad o con el vigilante, quien maneja información que es de valor y que se puede necesitar para iniciar un ataque.
INGENIERÍA SOCIAL INVERSA
Esta técnica es una las modalidades de más éxito de la ingeniería social, pues no es una técnica activa para recabar información, sino que utiliza el método pasivo, que busca que la víctima inicie el primer movimiento Como hemos podido observar existen muchas técnicas de Ingeniería Social y el motor de la misma es la búsqueda de lucro.
Es por ello que se debe pensar más en la capacitación que recibe el hombre de seguridad que cumple funciones de operador de medios tecnológicos, pues es el eslabón más débil de esa cadena, que puede terminar facilitando ataques DDoS (Denegación Distribuida de Servicios) debido a que puede facilitar el acceso a las cámaras de videovigilancia, alarmas o controles de accesos. Los mecanismos de engaño, que pueden llegar a ser sutiles, hacen difícil determinar el origen del ataque, lo que en muchas ocasiones dificulta la investigación.
En lo recorrido de este artículo hemos visto elementos de la Ingeniería Social y cuáles son algunos de sus ataques, pero también es importante conocer un poco de su sistemática, que seguramente como todo proceso posee unas fases. La consulta de documentos al respecto permite evidenciar cinco fases a saber:
1. Fase de investigación.
2. Empatizar con los objetivos seleccionados.
3. Explotación.
4. Utilización de la información.
5. Cierre lógico.
La etapa en la que se consume mayor cantidad de tiempo es la fase de investigación debido a que ésta da el soporte para el resto de las fases. Cada vez más se hace muy importante lograr la concientización de las personas en las organizaciones, pero aún más importante es lograr la capacitación del hombre de seguridad física en estos temas, más aún cuando los ataques informáticos utilizados como vector los CCTV (Circuito Cerrado de Televisión) han aumentado de manera exponencial.
Por ello trataremos de dar algunos elementos que ayuden de manera eficiente a la concientización de las personas.
a) Apoyo de la alta dirección.
b) Diseño de protocolos de seguridad.
c) Diseño de procedimientos de seguridad.
d) Diseño de políticas de seguridad.
e) Capacitación de usuarios finales.
f) Definición y clasificación clara de la información que puede ser objeto de ataque de Ingeniería Social.
g) Medidas de destrucción de la información.
h) Vigilancia a los indicadores de clima laboral y recursos humanos.
i) Implementar medidas de seguridad física.
j) Plan de respuesta a incidentes de Ingeniería Social.
k) Usar el sentido común.
Recuerde muchas veces decir “no” es la mejor opción.
CONCLUSIÓN
El futuro en este aspecto no es muy halagador, debida cuenta de que cada vez los ataques son más sofisticados y dirigidos a objetivos críticos y específicos. El uso de la Ingeniería Social siempre estará a la orden del día, dado que su desarrollo se basa en la psicología del ser humano.
