Aquiles, no murió por una flecha: lo mató la ingeniería social

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Un poema de Estacio -del siglo I- afirmaba que Aquiles era invulnerable en todo su cuerpo salvo en su talón.

Esta leyenda sostenía que Aquiles murió en batalla tras ser alcanzado por una flecha envenenada que impactó en su talón; de allí nace la expresión «talón de Aquiles» intentado dar una imagen gráfica sobre la única debilidad de una persona.

Ciertamente creo que Aquiles ya estaba muerto antes de comenzar su última batalla: lo había matado la ingeniería social de la época, que le llevó a su enemigo la información exacta para vulnerar su poder aparente.

Dentro del análisis de la seguridad informática, la ingeniería social constituye la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.

Es una metodología que utiliza personas, criminales, o delincuentes computacionales para conseguir información, acceso o privilegios en sistemas de información que le aprueben llevar adelante algún acto en contra de una persona u organismo complicado o pasible de abusos.

El umbral que sustenta a la ingeniería social como una herramienta muy cercana al cibercrimen es la consideración lógica por la cual todos sabemos que el “usuario” es el punto más débil de todo sistema de seguridad.

En el campo del trabajo delictivo, un ingeniero social no duda en utilizar el teléfono o Internet para tergiversar la realidad del usuario, simulando ser un empleado de su banco o un ejecutivo de otra empresa, un técnico que repara algo que Usted necesita o simplemente un cliente.

Vía web se aprovecha el e-mail, para realizar el envío de solicitudes de renovación de permisos de acceso a redes sociales o avisos falsos para confirmar una clave de acceso de un sitio personal sensible. No hay que confundir sitio sensible con acceso a bancos: en muchos casos el acceso a fotos personales para personas públicas puede ser tan importante como el acceso a su cuenta bancaria, o quizás peor, ya que es difícil volver y metabolizar el golpe del escarnio público sin sufrir daños psicológicos.

Los ingenieros sociales explotan la tendencia natural del usuario a reaccionar de manera predecible ante ciertas situaciones. De hecho, llevan registros para estudiar patrones de reacción ante cada palabra o frase que presentan frente al afectado.

Quizá el ataque más simple, pero con resultados muy efectivos, es el de engañar a un usuario haciéndole creer que un administrador del sistema está solicitando una contraseña para diferentes propósitos legítimos.

Otro ejemplo actual utilizado para un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos «íntimas» de alguna persona famosa o algún programa «gratis» (frecuentemente procedente de alguna persona conocida) pero que ejecutan código malicioso. Muchos usuarios, instintivamente, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

Robar una foto a una celebridad no es un gran negocio, es mucho más rentable como gancho para generar campañas de engaño a millones de usuarios desprevenidos que harán clic sólo para satisfacer su morbo o intriga.

La única herramienta de defensa activa contra la ingeniería social es educar y adiestrar a los usuarios en el uso de las políticas de seguridad establecidas, verificando que regularmente dichas políticas sean seguidas.

No existe un solo sistema en el mundo que no dependa de un usuario humano, lo cual es una gran vulnerabilidad, independientemente de la plataforma tecnológica que utilice.

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris