La imagen de más abajo corresponde, quizás a uno de los lugares más resguardados del planeta. Se trata del Pentágono, en Estados Unidos.
Es evidente suponer que debe contar con los más altos estándares de seguridad, con estrictos controles de acceso a sus instalaciones y sistemas, y medidas físicas y lógicas contra ataques.
Sin embargo, ¿puede ver los cuatro puntos vulnerables para la seguridad del Pentágono que aparecen en la siguiente foto? ¿Será el subsuelo, el espacio aéreo, los muros, sus comunicaciones…?
Ninguno de los anteriores. Se trata de los cuatro guardias armados que se ven, tres en el techo y uno con el perro que, por cierto, es más confiable que su compañero. ¿Por qué?
Atacando la capa 8 del modelo OSI
Ya lo decía Kevin Mitnick, el mundialmente famoso hacker y ahora prestigioso consultor en seguridad, que es más fácil hackear personas, engañándolas para que revelen sus contraseñas, que ejercer ataques informáticos a un sistema, con el mismo objetivo. No en vano, las personas somos el eslabón más débil de un sistema de seguridad de la información, por sofisticado que sea.
Por esa razón, cuando me planteé la pregunta de qué haría para conseguir los datos de otros o para acceder a un sistema sin autorización, llegué a esta conclusión: Explotaría las vulnerabilidades que ofrecen los usuarios, a través de técnicas de ingeniería social.
Obviamente no quiero reducir las actividades de un hacker a meros engaños sobre las personas, porque claramente sus destrezas técnicas les permiten provocar altos impactos con sus ataques informáticos, sea interviniendo comunicaciones digitales, infectando dispositivos con malware o alterando el funcionamiento de los sistemas. Simplemente quiero destacar en esta oportunidad esta técnica, muy utilizada como punto de inicio de los hackers y que durante 2015 constituyó el principal método de infección de malware.
Técnicas de ingeniería social
Cómo probablemente saben, la ingeniería social es una técnica basada en el engaño a las personas, con el objeto de manipularlas para conseguir datos y archivos a los que no se tiene permiso, para lograr acceso a sistemas de información o para influir en la realización de determinados comportamientos.
Hay tantos casos de ingeniería social como posibilidades de engaño y cada vez aparecen nuevos. No obstante, algunos pueden resultar muy burdos, poco elaborados, mal ejecutados y con errores claramente detectables. Quizás por ello el caer en esas trampas es muy poco probable y para las víctimas resulta muy vergonzoso admitir que fueron engañados.
Quién no ha recibido alguna vez un correo electrónico con una estafa nigeriana, en donde le felicitan por ganar un sorteo en el que no participó; por recibir una herencia de un pariente tan lejano que jamás había sabido de él; o porque dado lo maravilloso que es, le harán una donación muy generosa. Por supuesto, todo a cambio de que realice un pago por adelantado, pero por una suma muy inferior a la supuesta ganancia que obtendrá.
También puede haber recibido correos electrónicos de algún banco, con sutiles errores ortográficos, destinados a realizar phishing sobre sus contraseñas; o con virus que se activan cuando accede a los links de noticias sobre falsas muertes de personajes famosos o en donde explican que quienes fallecieron en realidad están vivos.
Asimismo, son numerosas las noticias falsas que se viralizan como el botón “No Me Gusta” de Facebook; las filtraciones de fotos o videos íntimos de famosos; o el engaño que se hizo ofreciendo WhatsApp para PC antes de que ello fuera factible.
Sin embargo, la ingeniería social es mucho más que estos ejemplos y hay otros casos más preparados, como los basados en vishing (estafas telefónicas para corroborar datos); en ingeniería social inversa; o en la construcción de sitios falsos en redes sociales.
Además, hay algunos mucho más difícil de detectar, planificados luego de construir un perfil psicológico de la víctima, a partir de la identidad que exponen en las redes sociales (con sus fotos, comentarios y los “Me Gusta”) o revisando la basura de la víctima (dumpers diving). De este modo, las manipulaciones van dirigidas hacia los puntos más débiles del carácter de esa persona, a sus miedos, fobias, prejuicios y hábitos, explotando su vanidad, tentación o curiosidad.
¿La ingeniería social es un delito informático?
Desde el punto de vista penal, es muy probable que el engaño, considerado aisladamente, no llegue a constituir un delito en sí mismo, sino que forme parte de la fase de ejecución, como una acción preparatoria para lograr, por ejemplo, acceder indebidamente a un sistema de información, con el ánimo de apoderarse, usar o conocer información contenida en él.
En ese sentido, las técnicas de ingeniería social pueden estar vinculadas con el delito informático tipificado en el artículo 2, de la Ley 19.223: “El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio”.
De este modo, si se acredita la conducta y la intención (ya que según la historia de la ley de delitos informáticos chilena, el dolo no se presume en estos tipos penales), el hacker se expone a una pena de presidio que va desde los 61 días a los 3 años.
En este sentido, la técnica de ingeniería social que pudo realizarse para llegar a apoderarse, usar o conocer la información, resulta clave. Al demostrar la realización de un engaño previo para conseguir claves, datos, archivos o incluso el ingreso físico a las instalaciones donde se encuentran los equipos, es un factor determinante para acreditar el dolo requerido en el delito informático recién mencionado.
¿Cómo podemos protegernos?
Dado que la base de la ingeniería social es el engaño a la persona, la protección principalmente es el autocuidado, más que esperar una herramienta informática que lo prevenga o detecte.
Por eso, a modo de ejemplo, hay varias recomendaciones que se pueden seguir:
- No sea excesivamente confiado ni interactúe distraídamente en las redes sociales, allí se realizan frecuentemente las técnicas de ingeniería social.
- Actualice el sistema operativo y las aplicaciones de sus dispositivos. Es una medida técnica frente a los programas o malware que quisieran instalar los hackers a partir de sus engaños y para corregir vulnerabilidades.
- Deshabilite la opción de instalación de aplicaciones con orígenes desconocidos. Hay muchos engaños cuya mise en scéne se desarrolla en sitios falsos, especialmente diseñados para tales efectos.
- Haga copias de seguridad de sus datos. No evita el engaño, pero le permite mantener su información.
- Preocúpese de bloquear las pantallas de sus dispositivos, ojalá sin patrones (que son cómodos, pero débiles como medidas), sino con contraseñas bien construidas.
- Jamás recoja pendrive, CD o memorias USB supuestamente perdidos en la calle, porque es una técnica conocida como Baiting, y está dirigida a infectar con malware el equipo donde lo utilice. Por eso, no lo abra en su equipo y siempre haga un escaneo profundo el dispositivo a través de su antivirus.
- Desconfíe si un desconocido le ofrece un trabajo soñado, con poco esfuerzo y grandes ganancias en poco tiempo. Como diría Bombo Fica… “sospechooooso”.
- Desconfíe de falsas noticias sobre sus amigos en redes sociales, de falsos antivirus y programas, o de páginas de descarga gratuita de software.
En definitiva, ¿qué haría si fuera un hacker?
Para empezar, creo que sería un sombrero blanco y me dedicaría a reforzar la cultura de seguridad en las personas. Bueno, algo de eso tienen estos comentarios que publico.
Sin embargo, no es sencillo pasar desde la lectura de un comentario al cambio casi milagroso de conductas, dejando de ser tan confiados o descuidados. Es un trabajo mucho más largo que implica concienciar al usuario.
Informar, sensibilizar y educar. Palabras que de tanto repetirse en temas de seguridad de la información parece que se dan por obvias, porque no es frecuente ver que se enfaticen correctamente.
Las instituciones, tanto públicas como privadas, ponen sus esfuerzos y recursos en controles de tipo técnico –fundamentales, por supuesto-, como contar con antivirus, firewalls, site de contingencia, entre otros.
En segundo lugar se preocupan de elaborar y documentar políticas y procedimientos de seguridad, también un control importante, pero que pierde mucho si se descuida la formación del usuario final.
La urgencia de ocuparnos de concienciar al usuario se ve justificada cada vez que nos encontramos con personas que minimizan el riesgo real que enfrentan sus datos o la información que tienen a su cargo. Es muy peligroso cuando piensan que su información no es interesante para otros y, por ello, no se sienten como potenciales víctimas de los hackers.
Ligado a lo anterior, es preocupante ver personas que no tienen conciencia del valor de sus datos y los entregan a terceros con excesiva ligereza. Siendo sincero, esto me resulta frustrante porque, mientras abogamos por un cambio legal que proteja nuestras libertades frente al tratamiento abusivo que se haga con nuestra información, aparecen los propios destinatarios de esas garantías entregando sin mayor cuidado su información, ante el más mínimo ofrecimiento que reciban, por ejemplo, de puntos, de sorteos, de contactos, de juegos, etc.
Por otra parte, esa actitud me parece contradictoria con el comportamiento que declaramos los chilenos en nuestro día a día. Según nuestra experiencia los chilenos somos particularmente desconfiados, de los extraños, de las autoridades, de los vecinos, de los extranjeros, de los jóvenes, de los vendedores, de los empresarios o de los políticos, pero no así de un contacto virtual a través de una red social, a pesar de conocerlo únicamente por Internet. ¿Acaso hay una garantía especial de honestidad en el ciberespacio?
Dudo que alguno de nosotros entregue su billetera a un extraño, las tarjetas bancarias o sus documentos. Es más, dudo que muchos confíen a un extraño un pendrive con sus archivos o su Smartphone. Entonces, ¿por qué se entrega con tanta facilidad los datos personales, tanto o más valiosos que lo otro?
Por falta de concienciación hacia los usuarios.