La Ingeniería Social, o el hacking de las personas

No, no nos estamos refiriendo a cómo aumentar el número de visitas en tu red social favorita, sino a los métodos por los cuales alguien podrí­a acceder a información personal, o a equipos informáticos o sistemas de acceso que puedan comprometer nuestros dispositivos, tanto personales como del trabajo mediante técnicas de psicología social.

La ingenierí­a social intenta, basándose en la interacción directa o indirecta con los usuarios, obtener acceso directo a los sistemas de información de dichos usuarios. El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un atacante usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, –por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco– en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

Esto implica varios métodos de extracción de datos personales que todos podemos poner a disposición a través de nuestra interacción con redes sociales, amigos, entorno, formularios, etc. Además de técnicas de psicología social que pasaremos a ver ahora.

Definamos primeramente el términos Influencia: 

Influencia : La influencia es el proceso de conseguir que otra persona quiera, piense, reaccione de la forma en la que uno desee.

Diferentes patrones en los que nos puede afectar la ingeniería social:
 

Influencia + Reciprocidad: Contemplamos la reciprocidad como la máxima de tratar a los demás como te tratan a ti. Cuando nos hacen un regalo nos sentimos "en deuda" con esa persona. En un caso aplicado a los sistemas de información, podemos imaginar la situación de quien nos ha hecho un favor en alguna ocasión (sea o no por temas profesionales), y en un futuro dicha persona nos solicita alguna información o acción que en principio no debiéramos proporcionar o dar, y nos vemos influenciados por ese sentimiento de "deuda" del que hablábamos.

Ejemplo: Pedro me ha acercado a casa alguna vez en coche cuando lo necesitaba. Un día me pide que le pase una lista de los correos del departamento de Sistemas (o cualquier otra información sensible).
 

Influencia + Obligación: La obligación a la que nos referimos en este caso son por ejemplo las normas sociales establecidas en nuestro entorno. Estamos acostumbrados a contestar "gracias" cuando nos preguntan, así como a responder preguntas cuando se nos hacen. No es muy común la situación de recibir una pregunta y quedarse callado, o negarse a responder directamente. Estamos preprogramados a responder a nuestro interlocutor, aunque sea con evasivas.
 

Influencia + Concesión: Apelando a la sensación de victoria en un trato o negociación, hacemos creer a nuestro interlocutor que estamos renunciando a nuestra petición inicial en favor suyo. Es el día a día en el proceso de ventas, y lo podemos relacionar con el típico "regateo".

Ejemplos:
    - Te vendo este móvil por 150 €.
    - ¿Estás loco?
    - Bueno, ¿y si lo dejamos en 70...?
    - mmmm... veamos.


    - Déjame utilizar tu ordenador un momento.
    - No puedo hacer eso...
    - Bueno, entonces ejecuta tú este programa un momentito.
    - Venga, trae para acá y calla.
 

Influencia + Autoridad: Estamos preparados desde pequeños a escuchar y atender las solicitudes de quienes están en posiciones de autoridad sobre nosotros. Si alguien consigue hacerse pasar por una persona con ese rol, y no estamos alerta, puede conseguir de nosotros información o acciones no deseadas.

Ejemplo:
Recibes una llamada telefónica:
- Hola Juan, soy Clara, del Departamento de Sistemas, no nos conocemos personalmente porque estoy en otra oficina, pero estamos realizando inventario y necesitaría que me dijeras un par de cosas de tu equipo... ¿Me podrías facilitar los siguientes datos...?

No hay que descuidar situaciones en las que como personas somos más vulnerables, como en períodos de estrés, situaciones personales que tengamos miedo o ira, en los que nuestras emociones nos puedan jugar una mala pasada poniendo en peligro otros activos.

Seguro que a todos nos suena la historia, y con esto termino, de alguien que se encuentra un pendrive abandonado, y lo conecta en su equipo. Si el pendrive contiene un software malintencionado, puede estar preparado para recoger y enviar información relevante a un tercero, o ejecutar código malicioso en nuestros dispositivos, etc.

Esto que parece de película de ciencia ficción, y si alguien sigue la serie Mr. Robot le sonará, se ha reproducido en un experimento social recientemente. Os copio un extracto del artículo:

"Diseminó 297 llaveros USB de diferentes marcas y modelos por el parking de la universidad que en el interior contenían diferentes vectores. Algunos aprovechaban técnicas de ingeniería social, presentando imágenes o documentos con el título "confidencial" o "examen final" pero que infectaban diferentes sistemas operativos.

Otros, más sofisticados, eran en realidad pequeños ordenadores camuflados como un pendrive y alimentados por la conexión USB que son capaces de convencer al ordenador al que se enchufan de que son en realidad un teclado USB para a continuación enviar los comandos necesarios para comprometer el sistema".

Por finalizar, mucho cuidado con la información que proporcionamos y a quien, ya que nosotros como usuarios, también formamos parte de los sistemas de seguridad de la compañía. No seamos ese "eslabón débil" de la cadena.