Internet Redes Sociales 

Técnicas de ingeniería social: ¿Cuáles son y cómo evitarlas en las empresas?

Panda Security anunció la incorporación de Santiago Mayoralas como Chief Financial Officer (CFO) de la compañía. Desde su nuevo puesto, Santiago llevará a cargo la gestión financiera de Panda Security, que en la actualidad está presente en más de 80 países.

Aunque sea tentador imaginarse a los hackers como tímidos inadaptados sociales dependientes de sus computadoras o smartphones para interactuar con el mundo, esa es una caricatura que pocas veces se corresponde con la realidad. De hecho, en algunos casos, las habilidades sociales de los hackers se convierten en sus mejores herramientas de intrusión.

Es lo que en la industria de seguridad informática llamamos ingeniería social: técnicas dirigidas a inducir (mediante el engaño y la manipulación), errores humanos en la protección de la información, aprovechándolos para comprometer la seguridad de los sistemas informáticos.

La psicología social como herramienta de intrusión

Esta forma de intrusión no aprovecha vulnerabilidades de ningún sistema informático, sino que se ejerce en un contexto de interacción social (online, telefónica o cara a cara) entre el atacante y el eslabón más débil de la cadena de la seguridad informática: el usuario. Las tácticas de ingeniería social más exitosas se fundamentan a veces en el carisma y capacidad resolutiva del propio hacker, y casi siempre en un profundo conocimiento de la psicología humana, de nuestros impulsos irracionales y a nuestros sentimientos de confianza, curiosidad, atracción o miedo.

De este modo, el hacker tratará –por ejemplo– de hacerse pasar por otra persona (como personal de seguridad o miembro de un servicio técnico) o simulará tener un cargo de autoridad del que carece, todo ello con el objetivo de obtener la información sensible necesaria para completar el ataque, sin que la víctima sea consciente de ello en ningún momento.

Kevin Mitnick –uno de los hackers más buscados en los años 90, y que hoy en día es consultor de seguridad digital– suele decir que la ingeniería social se basa en 4 principios fundamentales:

  1. “Todos queremos ayudar”.
  2. “La primera reacción es siempre de confianza hacia el otro”.
  3. “No nos gusta decir ‘No”.
  4. “A todos nos gusta que nos alaben”.

Un ejemplo de cómo puede actuar un hacker es el de Chris Nickerson, el fundador de Lares, una consultora estadounidense de seguridad que hace uso de técnicas de ingeniería social para comprobar el nivel de seguridad de las empresas, en lo que se conoce como ‘tests de equipo rojo’: el propio Nickerson, armado tan sólo con datos públicos accesibles a través de la Red, y con una camisa de técnico de una conocida teleoperadora, intenta (y consigue la mayor parte de las veces) acceder a las oficinas y manipular los equipos a la vista de todos los empleados.

Breve clasificación de técnicas

  • Pasivas: basadas en la observación y análisis del comportamiento de la víctima, con el fin de reconstruir su rutina diaria, de crear un perfil psicológico aproximado, o de hábitos de consumo, de uso de herramientas de banca por Internet, etc.
  • No presenciales: basadas en solicitudes de información por correo electrónico o mediante llamadas telefónicas.
  • Presenciales no agresivas: aquí se incluyen acciones como la vigilancia de domicilios o la búsqueda de documentos personales en la basura para recopilar información.
  • Presenciales agresivas: suplantación de identidad y presiones psicológicas.

¿Cómo evitar que mis empleados sean víctimas?

Ya en 2003, el libro Hacking Linux Exposed de B. Hatch y J. Lee se recomendaba adoptar las siguientes actitudes, que siguen plenamente vigentes:

  • “Educar a los usuarios” dado que esta clase de ataques se lanzan siempre contra el factor humano de la ecuación, la mejor forma de prevenirlos es intentar educar todo lo posible a nuestros empleados en las distintas tácticas de ingeniería social.
  • “Ser paranoico” los autores recomiendan “cultivar una sana paranoia”, porque lo habitual es que los hackers renuncien a usar a alguien que demuestra desconfiar de ellos: “Se buscarán enseguida un objetivo más sencillo”.
  • “Preguntarlo todo” es recomendable preguntar siempre a nuestro interlocutor por qué necesita la información que está solicitando. “La mayoría de los ataques mediante ingeniería social se desmoronan haciendo preguntas insistentemente”.
  • “Comprobar siempre las fuentes” si sospechamos de una petición poco habitual realizada por email, verifiquemos llamando a esa persona por teléfono. Si hablamos cara a cara con alguien que no conozcamos, exijamos algún tipo de identificación personal.
  • “Decir que no” cuando un hacker está aplicando ingeniería social, lo habitual es que lo haga apartándose de las normas de la empresa o induciendo a su víctima a hacerlo. Ajustarse al pie de la letra a los procedimientos establecidos es una buena defensa en este caso.
  • Muy recomendable es, además, que la empresa disponga de alguna plataforma EDR (de protección y detección de amenazas), como Adaptive Defense 360 que permite que si el usuario cae en alguna trampa y pincha en un enlace que le llevaría a la descarga de una aplicación infectada ésta se bloquee inmediatamente, además de informar en tiempo real a los gestores de seguridad de la compañía para que actúen en consecuencia.

Sobre Panda Security

Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. Con sede en España, la compañía cuenta con presencia directa en más de 80 países, productos traducidos a más de 23 idiomas y millones de clientes en todo el mundo. Su misión es simplificar la complejidad creando nuevas y mejores soluciones para salvaguardar la vida digital de sus usuarios. Como parte de su política de Responsabilidad Social Corporativa, Panda Security colabora con el Proyecto Stella para promover la inserción social y laboral de personas con síndrome de Down y otras discapacidades intelectuales. Para más información, visite http://www.pandasecurity.com/.

Relacionados

Dejar un comentario

Abrir chat
Escanea el código
Hola 👋
¿En qué podemos ayudarte?