¿Qué es la ingeniería social?
Saber romper medidas de
seguridad no hace que seas hacker, al
igual que saber puentear un coche no hace que seas ingeniero de automoción.
Eric
Raymond
Hola a todos. Hace tiempo hablé
ya de la importancia de usar contraseñas adecuadas en nuestros sistemas, cuando
les conté como
proteger la información importante. También conté, en otro momento, la
importancia de cuidar
nuestra identidad digital. Para entrar en materia, léanlos o reléanlos si quieren, que yo les espero aquí. ¿Ya?. Pues bien, hoy quiero ir un paso más allá con
ambos conceptos, y hablarles de ingeniería social. No, no se trata de que nos
dediquemos a la eugenesia,
a aplicar el modelo de sociedad de Platón ni a montar una tecnocracia extrema.
La ingeniería
social es el conjunto de técnicas destinadas a sonsacar información
importante del eslabón más débil de la cadena de seguridad: el usuario. Es
decir, averiguar sus contraseñas, o alguna otra información útil, mediante
espionaje y/o un enfoque psicológico. Nadie está exento de caer en la
trampa en alguna ocasión, pero sabiendo en qué consiste será mucho más
complicado que nos engañen.
Para empezar, tengamos en cuenta
que es imprescindible usar contraseñas con la fortaleza suficiente, sea en la
cuenta de correo, en una página web o para proteger el ordenador o un fichero. Este
artículo a mí al menos me pone los pelos de punta… la contraseña más común
es “123456”, y en la lista son demasiado comunes también “password”, “qwerty” y
trivialidades de ese estilo. Tan fácil acceder a esos datos que asusta. La
cuestión es que, usando como contraseña algo como “23041983”, no hay que pensar
mucho para darse cuenta de que es una fecha, probablemente de nacimiento. Si
usamos “NeilDiamond”, alguien que sepa que somos fans del cantante americano
podría deducir que es probable que esa sea nuestra contraseña. Si lo
proclamamos públicamente en nuestro perfil de la red social correspondiente ya
estamos dando pistas a alguien con mala intención.
Como ya les conté aquí,
las contraseñas son como la ropa interior. No puedes dejar que nadie la vea,
debes cambiarla regularmente y no debes compartirla con extraños. La
posibilidad “recordar contraseña” NO
es una opción. El uso de reglas mnemotécnicas debe ser razonablemente complejo.
Por ejemplo, de la expresión “¡Nadie va a
lograr entrar en mi cuenta!” podemos sacar la contraseña “Nv4l33mC!9”
(iniciales, en mayúsculas los sustantivos, sustituyendo algunas letras por
números, el signo de exclamación y al final recuento del número de caracteres).
Tengamos
también en cuenta que hoy día es habitual la llamada pregunta de seguridad,
para los casos en los que se ha olvidado la contraseña. Esas preguntas también
deben estar bien pensadas (de hecho, las preguntas prediseñadas por muchas
páginas son de juzgado de guardia). Si usamos “Profesión del padre”, “Nombre
de mi novia” o “Lugar de nacimiento”
cualquiera que nos conozca un poco puede averiguarlas. Mejor ser más creativos
y usar cosas como, al menos, “Aniversario
de boda de mis padres”, “Segundo
nombre de mi abuela” o “Dónde gané el
campeonato de escondite”; con esto ya lo estamos poniendo más complicado… a
no ser que seamos tan zotes
de poner estos datos en nuestro perfil de Facebook o similar, claro. Además, si
usamos de nuevo técnicas como la de más arriba, mejor.
Bien, supongamos que nuestra
contraseña no se averigua así como así (si es así, bien hecho, pero no se
confíen). Aún así, existen distintas técnicas con las que la mayor parte de la
gente accede a dar su contraseña a otra persona. El más típico es el de,
telefónicamente, suplantar a un operador de mantenimiento; realmente, muy rara
vez un técnico necesitará nuestra contraseña para hacer sus tareas, y además
normalmente podría acceder a ella de otros modos, con lo cual, no se fíen. Ataques
cómo este, y similares, se encuadran en el denominado phishing, y tienen distintas
formas. La más mediática (y grave) es recibir un falso correo del banco, con
una plantilla hábilmente falsificada, pidiendo los datos de nuestra tarjeta de
crédito, PIN o similar; NUNCA debemos contestar, y debemos poner el caso en
conocimiento de la policía.
Las técnicas para llegar a
averiguar estos datos se dividen, principalmente, en pasivas y activas; una
subdivisión, en todos los casos, es que las técnicas pueden ser o no
presenciales. Las pasivas se basan en la observación: examinar nuestros
perfiles públicos obteniendo datos básicos, intentar hacerse una idea de
nuestro comportamiento ante un ordenador, de nuestros conocimientos, etc. Las
activas ya implican una actuación por parte del asaltante, y tienen distinto
nivel de agresividad: desde en la oficina cotillear en los post-it que hay sobre el ordenador a la suplantación de identidad
(como el caso ya citado más arriba). Si bien el acceso no autorizado a
información es un delito en cualquier caso, cuanto más agresiva es la técnica
más grave es el delito, con lo cual ténganlo en cuenta si se ven envueltos en una
situación de este estilo.
Del dibujante Vergara; extraído de proyectoautodidacta.com |
Por cierto, que el primer paso
para acceder a una cuenta de correo es saber que existe. Es por esto que, ante
el próximo correo masivo que reciban sin que el listado de receptores vaya en
“copia oculta”, tienen mi bendición para soltarle la bronca del año al emisor
del mismo. Si encima se trata de un hoax (reenvía este correo 10
veces y el niño nigeriano recibirá el dinero para su operación, contesta a este
correo o cerrarán Hotmail, si no reenvías a todos tus contactos esta foto de un pobre gatito criado en un frasco eres un desalmado, etc.), yo les pago la gasolina y la cerilla para
incendiar el ordenador del irresponsable que se lo haya hecho llegar. Lógicamente
no todos los correos de este estilo pretenden llegar a acceder a nuestros
datos, pero sólo con que pretendan enviarnos spam ya es un perjuicio, tanto
para nosotros como para el propio rendimiento de la red y el resto de usuarios.
Si alguien en su círculo de contactos no ha tomado conciencia aun de este
problema, por favor, infórmenle. Irá en beneficio de todos; es, mutatis mutandis, el equivalente a la salud pública en estos medios.
Pese a todas nuestras
precauciones, en el fondo nadie estamos exentos de caer en la trampa.
Exceptuando los casos triviales, la ingeniería social se basa en buena medida
en la psicología, y hay patrones al respecto. Fueron formulados por un
conocido cracker, Kevin Mitnik, y son los
siguientes:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir “No”.
- A todos nos gusta que nos alaben.
Mejor quedar como un borde
desagradable que como un tonto útil en caso de que alguien a quien no conocemos
nos pida, sutilmente, cierta información importante.
Pero, en todo caso, somos
humanos y estamos sujetos a que alguien con labia nos tire de la lengua. En
todo caso, espero que tras esta explicación hayan tomado conciencia del
problema. Protejan bien la información de su correo, de su cuenta bancaria, de su tesis doctoral, etc.,
y no bajen la guardia.
Cuídense.
Juan.
Comentarios
Publicar un comentario
Rogamos que se respeten las reglas gramaticales y ortográficas en los comentarios.
Las faltas de respeto, la publicidad, spam, o cualquier otro comportamiento inadecuado implicarán la eliminación del comentario de manera taxativa.