Cuando se habla de seguridad informática, es inevitable escuchar que el principal fallo de seguridad o debilidad del sistema se encuentra justo delante del monitor. Somos las personas, en muchos casos, los que decidimos ejecutar ese payload que nos ha llegado por correo electrónico, mediante un PDF o una imagen, sin hacer las verificaciones pertinentes sobre la fuente. Esto se debe al poder que la ingeniería social ejerce sobre nosotros.
Para los hackers o profesionales en general, la ingeniería social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales, y hacerlos cumplir metas específicas (Sandoval, 2011). Como vemos, la psicología juega un papel muy importante en la concepción de la ingeniería social, ya que es a partir del uso de técnicas psicológicas que se posibilita la implementación de las mismas. Además existen multitud de vectores de ataque que se utilizan en la ingeniería social; el phishing o el baiting están entre los más comunes. El phishing emplea la ingeniería social para engañar al usuario suplantando la identidad desde un dominio que puede ser de confianza, como nuestro banco, y tratar de «pescar» nuestras credenciales de acceso por ejemplo. Puede utilizar como medio de asalto el correo, las redes sociales o incluso aplicaciones de mensajería.
En el caso del baiting se abandonan dispositivos como memorias USB con la intención de que alguien las encuentre y conecte a sus equipos. Es en ese momento cuando se produce la infección de algún malware. De esta forma se propagó el arma de destrucción Stutnex en las centrales nucleares de Irán, para entorpecer el programa de enriquecimiento de uranio.
Pero nunca hay que dejar de lado a los clásicos. Me parece que todo el mundo escuchó la famosa estafa del príncipe nigeriano, en la que, haciéndose pasar por amigos de tus amigos, lo que buscan es que acabes entregando tu dinero, a cambio de la promesa de multiplicarlo en el futuro.
Magia oscura
El arte de hackear a las personas, una práctica que se aprovecha de distintas «vulnerabilidades» en nuestro cerebro para poder así otorgarnos ese efecto increíble que es el asombro. Dentro de la ingeniería social se utiliza mucho esta práctica y podemos constatar algunas de las “vulnerabilidades” que son explotadas por este apasionante arte:
Multitasking = NO: nuestro cerebro no está preparado para ocuparse 100% de varias cosas a la vez. Quizás a veces nos parezca que podemos hacer dos o más cosas a la vez, pero estemos seguros que esto no es posible de ejecutar.
Alterando la percepción: existe el «efecto de desinformación» y este es utilizado, por ejemplo, cuando se nos da a elegir una carta de un mazo entre varios, pero de alguna manera nos fue inducido para que elijamos de uno específico (por ejemplo elegir una carta de la derecha) y luego el mago «reconfirma» a nuestro cerebro que tuvo la oportunidad de elegir una carta de cualquier mazo diciendo: «Elegiste cualquier carta, ¿no?».
Resistencia a ser condicionado: muchas veces se utiliza la técnica de sumisión y esto es básicamente forzar a que el espectador elija lo que el mago quiere. En este caso se está aprovechando de la vulnerabilidad que tiene nuestro cerebro de resistirse a ser condicionado y no poder elegir libremente.
Necesidad de llenar los espacios en blanco: nuestro cerebro posee la imperiosa necesidad de rellenar los espacios en blanco y es justo allí donde funciona el famoso truco de la mujer partida en dos. Al cortar y separar la caja donde se encuentra «la mujer» nuestro cerebro se niega a creer que son dos mujeres y es por ello que aunque no queramos, vamos a creer que se partió en dos realmente.
Como ente social que es el ser humano, en principio busca no ser diferente porque ser diferente implica muchas veces ser excluido (necesidad de afiliación). Este hecho psicológico es el que se usa fundamentalmente para atomizar a un individuo de forma más controlable, por lo que el cerebro de este individuo, al consumir muchos recursos, solo está optimizado para abordar las situaciones más atípicas. La propia evolución de manera un tanto pragmática, no nos ha dotado con capacidades cognitivas adicionales para abordar situaciones demasiado complejas. Para ello, debemos realizar un esfuerzo mental considerable, pero como siempre preferimos ahorrar, empleamos entonces métodos económicos y rápidos de toma de decisiones: heurísticas, atajos, intuiciones, que normalmente tienen consecuencias no muy eficaces. En el momento que nuestras capacidades cognitivas son superadas, nuestro cerebro pierde su eficacia y puede fácilmente dejarse engañar, abusar, confundir, distraer o manipular.
A continuación presento algunos sesgos cerebrales que son muy fáciles de aplicar al ámbito de la seguridad TI y son bastante útiles en términos de influencia o ataque.
1. Reciprocidad
A cambio de un servicio, incluso no solicitado, uno siente la necesidad de devolverlo. Este sentido de la reciprocidad está inscrito en todas las sociedades. Devolver un favor constituye una regla básica de la conducta humana. Un pequeño favor inicial, aunque no lo hayas pedido, puede generar mayores favores de vuelta porque nos sentimos socialmente obligados, aborrecemos estar en deuda. Cuando nos dan muestras gratuitas de un producto en los supermercados nos sentimos más inclinados luego a comprarlo.
Luego, rechazamos socialmente la ingratitud. Cuando alguien nos ha ayudado con la maleta o nos ha limpiado el parabrisas, aun sin haberlo solicitado, tendemos a darle una propina.
Y esto conduce fácilmente a la trampa de las pequeñas concesiones: si alguien nos invita frecuentemente a pequeñas cosas o nos hace pequeños favores, aunque nunca los hayamos solicitado ni los deseemos, no podemos evitar decir «sí» cuando más adelante nos pide a cambio un favor, por grande que éste sea.
Ataque: un empleado malintencionado se hace amigo de la secretaria de la jefa de departamento. Al ganarse su confianza a través de invitaciones a cenas, o regalos inverosímiles le pide detalles sobre los movimientos del alto mando, mostrando simple curiosidad por saber más, pero lateralmente planeando un ataque que involucra una buena cantidad de recopilación de información sobre las víctimas.
Contramedida: Identificar siempre la verdadera intención de un favor o petición.
2. Necesidad de pertenencia
Uno se siente inclinado a hacer o a imitar lo que todo el mundo hace.
De alguna manera pensamos que, si todo el mundo lo hace, debe estar bien, especialmente si son semejantes a mí. Esto se puede ejemplificar en el marketing de muchos productos 10 millones de lectores no pueden estar equivocados o 150.000 ejemplares vendidos. Esta regla de comportamiento la seguimos desde niños, imitando el comportamiento de nuestros padres, profesores y compañeros de clase y amigos. Por eso los individuos de un mismo grupo suelen comportarse de forma tan parecida.
Esta conducta emerge con mayor fuerza en situaciones inciertas, donde no está claro cómo reaccionar. En este caso, se considera sistemáticamente el comportamiento del grupo.
Si quieres que alguien haga algo por ti, muéstrale la cantidad de gente que lo ha hecho antes.
Ataque: recibes una llamada de una persona que afirma estar haciendo una encuesta y menciona el nombre de otras personas de tu departamento que ya han cooperado con él, previamente investigadas. Creyendo que la cooperación de otras personas valida la autenticidad de la petición, accedes a participar. El atacante pasa a hacer una serie de preguntas, entre las cuales puede pedirte nombres de usuario y contraseñas, direcciones internas de servidores, nombres de personas clave, etc.
Contramedida: verifica la evidencia proporcionada y jamás valides el juicio exclusivamente en la conducta de los demás.
3. Compromiso
Tomada una decisión, se actúa de forma coherente con el compromiso contraído. La consistencia se ve como fuerza moral, como una cualidad elogiable. Cuando una persona da su palabra y se atiene a ella, la percibimos como íntegra y honesta. Una vez que nos hemos comprometido con algo, no queremos parecer inconsistentes ni indignos de confianza y tendemos a cumplir con nuestra palabra dada. De hecho, nuestro compromiso resulta más fuerte cuando es público y aparentemente de motivación interna, es decir, cuando creemos que ha salido de uno mismo sin que nadi haya influido en nuestra decisión.
Este compromiso conduce a comportamientos estúpidamente absurdos como terminar de ver una película en el cine porque "he pagado la entrada", acabar un libro porque "siempre acabo lo que empiezo" o en un restaurante comerte un plato que no era de tu agrado porque «lo he pedido».
Ataque: El atacante contacta con un recién incorporado a la organización informándole de la necesidad de acatar las directivas y procedimientos de seguridad para acceder a los sistemas de información de la compañía. Cuando la víctima se ha comprometido a cumplir con todas las normas y a hacer todo lo que se le pida, el atacante puede solicitarle cualquier cosa con la excusa de seguir un procedimiento de seguridad, que seguramente la víctima aceptará.
Contramedida: Pon a prueba siempre los compromisos contraídos y analiza las situaciones nuevas para tomar decisiones a futuro.
4. Autoridad
Se tiende a escuchar y seguir indicaciones de alguien en una posición de autoridad. Confiamos absolutamente en los expertos bajo cualquier circunstancia, aunque dichos expertos hagan recomendaciones en cuestiones que no les corresponden. Si Stephen Hawking aconsejaba sobre el peligro de la Inteligencia Artificial había que tomarlo muy en serio, no obstante su expertise fuera en Física Teórica. Por supuesto, necesitamos delegar en expertos. El problema surge cuando un atacante explota nuestra buena fe en la autoridad, sirviéndose de su apariencia sustentada en títulos, insignias, o cualquier simbología.
Ataque: El atacante finge pertenecer al departamento de TI o ser un ejecutivo de la compañía, clonando un badge falso o cualquier estratagema que lo revista de autoridad y haga bajar en automático las defensas de la víctima.
Contramedida: Pregúntate: ¿Es esta persona un experto real? ¿Puedo confiar en ella?
5. Preferencia
Se tiende a decir «sí» a gente que nos gusta o nos parece atractiva, o a las personas que nos halagan.
Nos gustan las personas a las que les gustamos. Cuanto más te parezcas a su grupo, más familiar les resultes, más fácilmente te dirán que sí. Por otro lado, cuanto más halagues a una persona, más fácilmente te dirá que sí. Incluso aunque sea consciente que los halagos no son sinceros. Por último, existe un efecto muy relacionado con la preferencia, nombrado como efecto halo, es decir, asociar todo tipo de características positivas a las personas atractivas. Percibimos a las personas atractivas como más inteligentes, amables y capacitadas. En definitiva, cuanto más atractivo te muestras, más persuasivo te vuelves.
Ataque: El atacante finge compartir los mismos intereses que la víctima. Busca encontrar un vínculo de conexión emocional con ella y lo explota para despertar en ella sentimientos positivos, que bajen su guardia lo suficiente para cuando llegue el momento adecuado.
Contramedida: Nunca se dejen guiar por las apariencias.
Consejos finales
No hace falta ser un experto para llevar a cabo ataques de ingeniería social, por lo que no existen sistemas informáticos que nos ayuden a prevenir estas situaciones.
La seguridad de las redes no depende de un software, sino de la capacidad que tengan los usuarios de protegerse a sí mismos utilizando puramente el sentido común. Por lo tanto, somos los únicos capaces y responsables de saber interpretar de forma adecuada las políticas de seguridad de nuestra información personal y hacer que se cumplan.
Adicionalmente añado estos últimos puntos relevantes para la prevención de ataques de ingeniería social:
Sospechas fundadas: Nunca se entreguen a nada sospechoso, independientemente de lo prometedor que parezcan los beneficios que lo acompañan. Las promesas demasiado buenas para ser verdad son sólo eso, simples promesas.
El miedo no es una opción: No se dejen intimidar por las amenazas. Muchos delincuentes utilizan el elemento sorpresa para asustar y llevarnos a hacer algo que, en otras circunstancias, no harían. Siempre es mejor ignorar con rotundidad las tácticas que pretenden atemorizar.
Compartir conocimientos: Compartan toda la información disponible con las personas de su entorno para que estén más protegidas. No permitan que también caigan en las trampas de la ciberdelincuencia.
Prevenir es mejor que curar: Inviertan en entrenamientos de seguridad eficaces para su propio beneficio. Exploren y utilicen las funciones de seguridad incorporadas de los sitios y páginas web que visiten con frecuencia. Algunos sitios como Facebook incluso, proporcionan información sobre las amenazas más recientes y consejos que les permitirán navegar de forma segura por internet.