Según su definición de referencia, la Ingeniería Social consiste en persuadir a una persona para influenciarla en sus acciones. En otras palabras, es la manipulación de personas influenciándolas a ejecutar determinada acción, que las lleva a ser víctimas de un delito informático.
Se busca generar una situación creíble, de confianza, sin dejar nada libre al azar. Un ejemplo puede ser un scam, o sitio web modificado con fines maliciosos, como el que hace poco les mostramos cuando se utilizó la estética de la gira de los Rolling Stones para crear un sitio que prometía entradas gratis a cambio de clics en Facebook.
Cuando un atacante lleva a cabo una técnica de Ingeniería Social, su efectividad depende del comportamiento del usuario, que es quien en algunas ocasiones, de forma involuntaria, "contribuye" a que un ciberdelincuente se salga con la suya y logre realizar el engaño. Por lo tanto, la clave es la precaución del usuario final, que tiene el poder de frenar la propagacióm de una campaña.
¿Cómo puede esto afectar a la seguridad informática?
La respuesta es simple: con todas las herramientas informáticas disponibles y al alcance de cualquier persona, la posibilidad de realizar ataques se facilita. ¿Qué sucede, por ejemplo, cuando combinamos la curiosidad humana con la explotación de una vulnerabilidad en un sistema informático? Un atacante puede obtener el control de un equipo, o podría robar información sensible como datos bancarios o información personal.
Una de las personas más reconocidas en el mundo informático es Kevin Mitnick, quien se caracterizó por ser uno de los pioneros en técnicas de Ingeniería Social. Mitnick considera que el factor que determina la seguridad del hardware y el software es el factor humano, es decir, el usuario. Este es quien se encargará de interpretar las políticas de seguridad correctamente y buscará que se respeten.
Considerando que es posible fallar en este aspecto y que un ataque de Ingeniería Social puede tomar desprevenido a cualquier usuario, y teniendo en cuenta también que incluso es posible que sea llevado a cabo solamente con ayuda de un teléfono, Mitnick establece 4 principios comunes que aplican a todas las personas:
- Todos queremos ayudar
- Siempre, el primer movimiento hacia el otro, es de confianza
- Evitamos decir NO
- A todos nos gusta que nos alaben
Estos métodos de manipulación, basándose en la confianza del usuario, son los que conducen a engaños como phishing, páginas con códigos maliciosos alojados esperando infectar a sus víctimas, o robo de información, entre otras cosas. Como les contábamos hace algunas semanas, 37.3 millones de usuarios reportaron ataques de phishing el año pasado.
La evolución de las técnicas de Ingeniería Social
Es increíble ver cómo han evolucionado hasta la fecha los ataques de este tipo. Algo que en sus inicios comenzó siendo una impersonalización vía telefónica, hoy busca hacer una experiencia imperceptible al usuario.
Los comienzos de esta técnica se basaban en llamadas telefónicas, haciéndose pasar por entidades que brindan un determinado servicio. La finalidad de este llamado era recabar información sobre la víctima. Con la llegada de Internet a cada hogar, comenzaron a aparecer técnicas de Ingeniería Social vía clientes de mensajería instantánea. Comenzó a ser muy común el famoso mensaje mediante Messenger “Fotos_para_adultos_de_alguien.rar”. Enviando código malicioso a los contactos de la cuenta, hubo muchos casos de infección mediante esta técnica.
Hoy en día, los ciberdelincuentes buscan engañar a sus víctimas para que entreguen voluntariamente su información personal. La mutación se dio no sólo hacia sitios web, sino también se ha transformado en mensajes de texto, y cualquier tipo de mensajería móvil. La importancia de este vector de ataque radica en que estos dispositivos móviles almacenan gran cantidad de información personal, como contactos, fotos, conversaciones, usuarios y contraseñas de redes sociales, de correos electrónicos, inclusive geo localización.
También han aparecido técnicas como pharming, muy similar al phishing, pero que en vez de engañar al usuario mediante un enlace enviado por correo electrónico, busca el robo de información mediante la modificación en tiempo real de las consultas realizadas a los servidores DNS o mediante la toma de control del equipo víctima; así, modifica el archivo lmhost, que se encarga de resolver las consultas web, asociando la dirección IP al dominio.
Distinguiendo una noticia real de una falsa
Ahora bien, pensemos cómo un ciberdelincuente logra (o intenta lograr) que su campaña de propagación de amenazas tenga éxito.
Uno de los factores más aprovechados son las temáticas populares de actualidad. En el Laboratorio de Investigación de ESET Latinoamérica, hemos podido detectar e investigar campañas que utilizaron noticias, personas y sucesos de relevancia como gancho para captar víctimas. A continuación recordaremos 6 campañas destinadas a usuarios de Latinoamérica:
- Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancaria prometiendo entradas para asistir a los partidos de la Copa.
- Supuesto video íntimo de la hija de Sebastián Piñera: un correo electrónico promocionaba un video de Magdalena, la hija del expresidente chileno, que sólo descargaba un troyano.
- Alerta de terremoto en Ecuador: un email prometía imágenes satelitales que sólo descargaban malware.
- ¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para convertir la computadora en un zombi que formará parte de una botnet.
- Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modificaba los archivos hosts de la computadora afectada para hacer redirecciones.
- Ricardo Martinelli acusado de abuso: nuevamente un email prometía un falso video del presidente de Panamá que descargaba un troyano.
Por eso es importante que estés atento ante sucesos de esta masividad, y que tengas en cuenta que es muy probable que los cibercriminales los utilicen para tratar de engañar a los usuarios.
Sólo es cuestión de estar alertas
Lo más importante de todo esto, es que no debemos ser paranoicos a la hora de usar un equipo informático. Existen peligros reales y por eso los compartimos con ustedes, para que tomen los recaudos necesarios y así puedan navegar tranquilos, haciendo un uso consciente y responsable de la tecnología.
Recuerden las premisas de seguridad que aplican en la vida cotidiana, como por ejemplo: si no hablas con desconocidos en la calle, ¿por qué lo harías en Internet? Tengamos en cuenta que a pesar de los peligros que existen en las calles, seguimos saliendo, porque confiamos en que estamos tomando los recaudos necesarios para que no nos pase nada. Bien, en Internet sucede lo mismo: no todo el mundo es quien dice ser, y nunca sabemos cuáles son sus intenciones reales, pero es posible tener una experiencia segura, si se siguen buenas prácticas como las siguientes:
- En primer lugar, usar soluciones de seguridad como antivirus, que prevendrán infecciones mediantes exploits o códigos maliciosos, entre otros.
- No aceptar en redes sociales a gente desconocida. La variedad que ofrece la tecnología permite, por ejemplo, preguntarle a un contacto mediante Whatsapp si nos agregó realmente para saber si es quien dice ser.
- Ser cuidadosos con los correos electrónicos recibidos de remitentes desconocidos: pueden robar información y estar infectado con archivos maliciosos adjuntos.
- Descargar aplicaciones de su fuente original. Esto evitará las infecciones en el equipo.
- En conexiones libres como en bares, cafés y lugares públicos, es bueno tener en cuenta no usar servicios que requieran información sensible como usuario y contraseña. Algo que podría ayudarte si necesitaras estos servicios, es el uso de VPN, que enviará todas las comunicaciones cifradas.
- La siempre mencionada política de crear contraseñas robustas y fuertes, va a prevenir ataques. Puede resultar un poco tedioso tener diferentes contraseñas para los servicios utilizados, pero se pueden usar aplicaciones gestoras de usuarios y contraseñas; información que es almacenada en un archivo cifrado.
- En sitios web que requieran información de usuario y contraseña, chequear que utilizan https en lugar de http.
Con estas prácticas, podrán usar Internet sin tantas preocupaciones; la responsabilidad y el sentido común, junto con las buenas prácticas a la hora de navegar, harán que las campañas de Ingeniería Social no tengan el éxito que los cibercriminales esperan.