Ingeniería social
17 de febrero de 2010
Al acecho...
La gente es más inocente que un balón de playa. De buenos que somos rayamos en lo ridículo, bordeamos la frontera con los tontos de baba. Nos gusta ayudar o, mejor dicho, quedar bien ante los demás. Si alguien que no conocemos nos pide algo por teléfono de buenas maneras y con voz sensual, le damos hasta la talla de ropa interior. Si un desconocido nos aborda por la calle y nos pide que le socorramos y le dejemos el móvil para llamar, le marcamos nosotros al pobre, que está muy nervioso. Bienvenidos al maravilloso mundo de la ingeniería social.
Una de las técnicas de hacking más antiguas (y eficaces) es la ingeniería social. Es la «ciencia» que permite obtener información confidencial mediante la manipulación psicológico social de los individuos usuarios legítimos. Se trata de técnicas muy antiguas que, probablemente, llegaron al mundo binario nacidas en otros contextos, porque a la gente se la ha engañado toda la vida. El principio que sustenta la ingeniería social referida a la computación es que en cualquier sistema informático el usuario es el eslabón más débil.
El gran Kevin Mitnick, uno de los hackers más famosos de los años ochenta y noventa en EEUU y ahora reconvertido en consultor de seguridad, fue el más alto representante en lo que a ingeniería social se refiere. Según sus propias tesis, este tipo de ataque para averiguar claves de acceso, contraseñas y datos sensibles de usuarios está fundamentado en cuatro pilares básicos que son:
- Todos queremos ayudar.
- El primer movimiento es siempre de confianza hacia el otro.
- No nos gusta decir que no.
- A todos nos gusta que nos alaben.
Bien es cierto que hoy día los usuarios estamos más alerta ante engañifas tales, porque vivimos mejor informados y vemos por la tele continuamente noticias de timos a través de Internet o del teléfono. Pero en la época de Mitnick, si a un empleado de una gran empresa le llamaba un hacker social haciéndose pasar por un superior (al que ni siquiera conocía) o por un compañero en apuros, el hombre soltaba por su boca contraseñas y la vida si era necesario.
Esto no quiere decir que a estas alturas de la existencia no siga habiendo gente que caiga en bulos y enredos. Y me viene a la memoria un mail, encadenado de esos, que recibí hace poco. En él se relataba una historia que venía a decir (y hablo de memoria) que una chica apurada solicitaba el móvil de otra persona en un restaurante para llamar a su marido, que debía pasar a recogerla y no había aparecido. El hombre le ofrece su móvil y la mujer, tras retirarse un poco, realiza una llamada. Pocos minutos después vuelve a pedir el teléfono porque su marido sigue sin aparecer, telefonea de nuevo y devuelve el aparato a su dueño; desaparece. Posteriormente el dueño del móvil recibe una llamada de su madre llorando y preguntado a ver si está bien. El hombre no comprende nada hasta que la madre le explica que una mujer la llamó diciéndole que su hijo estaba secuestrado y requiriendo un rescate inmediato. Además le dijo que aquello no era ninguna broma, y que como prueba estaba telefoneando desde el móvil de su hijo. Posteriormente la volvió a llamar para confirmar la recepción del rescate.
Dudo mucho que la historia sea cierta, pero podría haber sido totalmente verídica. La cantidad de correos electrónicos que llegan a nuestros buzones solicitando nuestras contraseñas de servicios de mensajería o nuestros datos bancarios es ingente, y estamos curados de espanto. Pero, aún así, se siguen produciendo timos a plena luz del día.
La ingeniería social no siempre es esencialmente delictiva, un ejemplo podría ser el de un vendedor que investiga las costumbres y aficiones de un cliente para establecer una relación de confianza o empatía y poder vender con mayor facilidad sus productos o servicios. Google, sin ir más lejos, nos espía continuamente para, según ellos, mejorar la experiencia del usuario. Pero, ¿quién no se ha encontrado un correo en su cuenta de, por decir algo, una empresa que fabrica cajas registradoras dos días después de haber realizado un búsqueda sobre ese mismo asunto? Aquí hay algo que no huele muy bien.
Los gobiernos utilizan continuamente diversidad de técnicas sociales para desviar la atención de temas inconvenientes, críticos, de escándalo, de corrupción, etcétera. Las denominadas «cortinas de humo» son técnicas de ingeniería social. Todo el mundo es capaz de mentir por algo que de verdad le importe, y cualquiera de nosotros es susceptible de caer en una trampa.
Lo más importante es dejarse llevar por la intuición y por el sentido común. Cualquiera debería saber que nuestros datos personales más confidenciales son absolutamente privados, y nadie puede solicitárnoslos por teléfono o por correo electrónico. Y que por mucho que te alaben y te den coba desde el otro lado de la línea, los altos cargos de tu empresa nunca te pedirían a ti directamente una contraseña. Además, créeme, el presidente de tu compañía no tiene una voz sensual, te lo aseguro.
Escrito en la categoría Underground | 
Etiquetas: engaño, ingeniería, kevin, mitnick, social, timo, Underground
6 comentarios a “Ingeniería social”
Escribe tu comentario
muy interesante 🙂 gracias por la info
Muy interesante su blog, doctor!
Está bueno leer a alguien que sabe y además tiene estilo propio para contar. Ya está en mi blogroll!
PD: Si le interesa, hay algo sobre ingeniería social que escribí hace un par de días. Nada tan serio o documentado como lo suyo. Digale mi granito de arena.
Muy buen detalle de la base de la ingeniería social. Me parece una técnica excelente desde muchos puntos de vista, inclusive la de conocernos a nosotros mismos.
Lo de la noticia recibida, probablemente sea cierta. Aquí (en Argentina) los secuestros virtuales son muchos por día y usan técnicas similares. Inclusive abundan los informes en TV sobre este tipo de delito.
Saludos
PLPLE
buen post!
te contare un hecho real parecido al de la llamada:
Llaman al movil de una persona y le dicen que quieren hacerle una encuesta de la operadora telefonica y se llevara unos minutos gratis si es que lo hace, luego el dueño del movil acepta y el pseudo encuestador le pregunta datos personas nombre dni etc datos de familiaries o telefono fijo … luego le dice a la persona que para recibir el dinero tiene que esperar 2 horas con el movil apagado…este lo apaga y mientras pasa eso… llaman a sus familiares diciendoles que la persona esta secuestrada y los amenazan para pedir rescate.
Si son reales por America Latina xD
Muy interesante lo de los falsos secuestros, cuánta creatividad derrochada, ¿no? Y es casi imposible no caer (por lo menos en el caso que has explicado)… Hasta ahora sólo tenía conocimiento de los correos de spam que te piden contraseñas u otro que te dicen «ve a tal sitio que es muy interesante».
Un saludo.
[…] “La gente es más inocente que un balón de playa. De buenos que somos rayamos en lo ridículo. Nos gusta ayudar o, mejor dicho, quedar bien ante los demás. Si alguien que no conocemos nos pide algo por teléfono de buenas maneras y con voz sensual, le damos hasta la talla de ropa interior. Si un desconocido nos aborda por la calle y nos pide que le socorramos y le dejemos el móvil para llamar, le marcamos nosotros al pobre, que está muy nervioso. Bienvenidos al maravilloso mundo de la ingeniería social.” (Teknoplof) […]