¿Qué es la Ingeniería Social?

Es bien sabido que, en temas de seguridad, el eslabón más débil es el usuario. Partiendo de esta premisa se puede comprender mejor la Ingeniería Social, un conjunto de técnicas y herramientas que algunos emplean para engañar o manipular a un usuario legítimo y, de ese modo, obtener información confidencial con el objetivo de utilizarla para explotar ciertas vulnerabilidades y (generalmente) obtener algún beneficio monetario.

Sin embargo, no es la única razón para practicar la Ingeniería Social. Podría ser simplemente porque el atacante trata de saciar su curiosidad o quizá hace una auditoría de seguridad y, por supuesto, va a emplear todas las técnicas de las que tenga conocimiento.

Tomando en cuenta lo anterior, la Ingeniería Social no es eminentemente negativa (puede ayudar a reforzar la seguridad) pero, como en muchos casos, puede emplearse con fines maliciosos, sobre los cuales prevengo en este artículo.

El atacante, a través de sus habilidades sociales, puede sacar mucho provecho y si hace uso de ciertas herramientas de software es muy probable que el usuario revele información sensible sin darse cuenta. En este punto, tiene sentido preguntarse: ¿Por qué invertir tanto tiempo en un ataque elaborado hacia la tecnología si en realidad podemos dirigirnos directamente a los humanos?

Al hablar de Ingeniería Social es inevitable mencionar a Kevin Mitnick, uno de los más famosos ingenieros sociales que ha aportado mucho conocimiento a la comunidad respecto a este tema y quien actualmente es un consultor de ciberseguridad desde el punto de vista de la Ingeniería Social.

Antes de tener su propia compañía, Mitnick pasó por varias dificultades en los 90. De hecho, debido a su labor pasó cinco años en una cárcel de Estados Unidos, de los cuales ocho meses estuvo en aislamiento porque las autoridades temían que pudiera hacer algo más con sus “míticas” habilidades.

Desde su vasta experiencia, Kevin Mitnick ha clasificado las estrategias de la Ingeniería Social en cuatro principios:

• El primer movimiento siempre es de confianza hacia el otro

Generalmente confiamos en las personas a la primera y eso lo saben los ingenieros sociales. Por eso trabajan muy rápido y se encargan de ganarse nuestra confianza, para lo cual se informan muy bien sobre su objetivo y conocer el máximo de datos posibles: gustos, preferencias, profesión, pasatiempos, lugares frecuentados, aficiones y más.

Una vez recolectada esta información, se acercan a la víctima participando en sus mismos foros, redes sociales o compartiendo en la misma comunidad.

• Todos los seres humanos quieren ayudar

Ayudar está en nuestra naturaleza de seres humanos. Los ingenieros sociales se encargan de explotar ese instinto y se aprovechan para extraer información de los usuarios legítimos. Muchas veces es suficiente que nos digan una historia triste o medianamente trágica y hacemos todo lo posible por resolver el problema.

De ahí surgen esos enlaces maliciosos que nos envían para que firmemos una petición en pro de ayudar a salvar cierta especie en extinción o para sacar de la cárcel a alguien acusado injustamente. Ganada la confianza, el ingeniero social pide un favor o colaboración con mucha amabilidad y respeto. En un contexto empresarial podría hacerse pasar como integrante del soporte técnico de la compañía y solicitar credenciales.

• No nos gusta decir que no

De nuevo, es como un instinto que no podemos evitar. Desde el momento en el que recibimos una solicitud de apoyo, nuestra primera reacción es decir sí y, en este punto, el atacante ya tiene nuestra confianza, la cual empleará para extraer información confidencial.

La necesidad de validación social que los humanos tenemos puede ser explotada para incitarnos a algo que posiblemente no queremos o no comprendemos del todo. Sin embargo, con el afán de encajar, la víctima cae en la trampa elaborada por el ingeniero social.

• A todos nos gusta que nos alaben

Muchas veces, el ego es nuestro mayor enemigo. Por eso caemos cuando recibimos un correo diciendo que somos los afortunados ganadores de un premio aunque no hayamos participado en nada, o cuando navegamos en internet y vemos un anuncio diciendo que somos el visitante número 100 mil y por eso recibimos una gratificación. Solo necesitamos hacer clic sobre un enlace que no sabemos dónde nos lleva.

Existen muchas técnicas para aplicar la Ingeniería Social, pero no cabe duda de que la técnica más utilizada es el Phishing.

El phishing es una técnica utilizada por los ciberdelincuentes para robar información por medio de enlaces maliciosos que envían, vía e-mail, aplicaciones de mensajería o cualquier otro método de comunicación. El remitente se hace pasar por una empresa o entidad legítima y persuade a la víctima de proporcionar información confidencial como credenciales, datos bancarios, entre otros.

Un ejemplo muy sencillo de herramientas para hacer Phishing es SET (Social Engineering Toolkit), una aplicación que los cibercriminales, lamentablemente, pueden descargar, instalar y usar fácilmente en nuestra contra.

Antes de continuar, es importante destacar que la información que se mostrará a continuación será específica y exclusivamente con el objetivo de mostrar cuán sencillo es para el atacante. En ningún momento se promueven estas prácticas. ¡Debemos estar alertas todo el tiempo atentos a este tipo de ataques!

SET es un conjunto de herramientas utilizadas para realizar ataques de Ingeniería Social, a través de una máquina virtual de Kali Linux. Así se puede instalar el toolkit e iniciarlo desde ahí, la siguiente es una de las versiones de pantalla inicial de la herramienta:

Una vez que  llevó a cabo el proceso con SET, el atacante procede a enviar un enlace a la víctima y a convencerla de ingresar sus datos de login, con todos los métodos de los que hemos hablado anteriormente, cuando la víctima ingrese sus credenciales la página clonada las mostrará en la herramienta.

Sin embargo, para el usuario solo será evidente que hubo un error al iniciar sesión, será redirigido a la página original y podrá ingresar normalmente a su plataforma, sin saber que ha proporcionado información delicada a atacantes con intenciones maliciosas y poco éticas.

Es posible que mientras lees esta información podrías pensar que eres muy cuidadoso/a, que esas cosas no podrían sucederte a ti, es excelente que seas precabido/a, pero que eso no te haga bajar la guardia, nunca estamos totalmente seguros.

Como ejemplo está la historia de un ejecutivo que dirigía una empresa, un día decidió hacer una auditoría y remediación de la seguridad informática, él aseguraba que no podría ser víctima de un ataque cibernético porque nunca compartía más información de la necesaria, seguía todas las instrucciones de seguridad, etcétera. El encargado de la auditoría le dio una valiosa lección.

Empezó a investigar sobre el ejecutivo y se enteró de que era coleccionista de monedas, así que se infiltró en la comunidad que compartía este pasatiempo, foros y grupos en redes sociales, este fue su medio para acercarse y hablarle sobre una colección ficticia de monedas que había heredado y necesitaba vender para costear el tratamiento médico de su esposa.

El ejecutivo mordió el anzuelo, accedió a comprar la colección de monedas raras y para continuar la comunicación le compartió su correo electrónico corporativo, con esto el auditor, que estaba haciendo papel de ingeniero social, utilizó algunas herramientas de phishing y pudo encontrar cada vez más información. Al final de su auditoría presentó los resultados y explicó lo que había hecho, demostrando que, en la cadena de seguridad, el eslabón más débil siempre es el usuario.

El phishing es solo una de las múltiples estrategias utilizadas por los ingenieros sociales. A continuación verás una lista de otros ataques de Ingeniería Social:

• Tailgating: consiste en seguir de cerca a la víctima. En el ámbito físico podría ser seguir a alguien hasta una habitación donde se guarda información confidencial o incluso activos valiosos, observar el proceso de ingreso y luego tratar de vulnerar. Otro ejemplo es permanecer cerca de alguien mientras introduce su contraseña en la plataforma de interés o incluso las credenciales de la computadora.
  
• Baiting: es el típico caso del dispositivo de almacenamiento extraíble infectado (USB, CD, DVD). El ingeniero social lo coloca en un lugar fácil de encontrar como un restaurante, en la calle, en la biblioteca de la universidad o en la sala de copiado de la empresa. La víctima encuentra el dispositivo y, generalmente por curiosidad, lo introduce en su ordenador. Allí es cuando el dispositivo instala y ejecuta software malicioso para extraer información.
  
• Scareware: es considerado malware porque es software desarrollado para infundir miedo y, con esto, persuadir a la víctima de ejecutarlo. Por ejemplo, emplear un falso antivirus para, engañar al usuario haciéndole creer que está infectado y que necesita ejecutar algunas acciones en el ordenador con privilegios de administrador. La víctima se asusta y otorga los permisos de ejecución, pero en realidad lo que ejecuta es el software malicioso que extraerá toda su información confidencial.
  
• Watering hole: este ataque consiste en “envenenar” una aplicación web legítima, inyectándole código maligno para persuadir a la víctima de proporcionar información confidencial y descargar software dañino, como ransomware, por ejemplo.
  
• Quid pro quo: es latín y significa “una cosa por otra”. Se engaña a la víctima haciéndole creer que recibirá un servicio o un beneficio a cambio de su información, el atacante se puede hacer pasar como agente de servicio al cliente o  hace creer a la víctima que ganó un concurso y solamente necesita proporcionar cierta información.
  
• Vishing: por medio de llamadas telefónicas con las que se finge una encuesta gubernamental o un plan de mejora continua de una compañía, el ingeniero social persuade a la víctima de proporcionar información delicada o confidencial.

Prevención ante todo

Y la lista continúa. Entonces, conociendo todos estos peligros y ejemplos nos podemos preguntar: ¿Cómo me protejo de un ataque de Ingeniería Social? La respuesta es que nunca vamos a estar totalmente protegidos, pero se pueden seguir las siguientes recomendaciones para ser menos propensos a un ataque de este tipo:

• Mantener la privacidad en el más alto nivel posible y configurar las redes sociales (personales y profesionales) de una manera que no proporcione información que puede ser utilizada para manipularnos o extraer más datos.
  
• Utilizar contraseñas seguras que cumplan con todos los estándares y cambiarlas frecuentemente. Lo recomendable es cada dos o tres meses y, por supuesto, no utilizar la misma contraseña en todas nuestras plataformas: si nos vulneran una contraseña, el resto permanece seguro.
  
• Configurar la autenticación en dos pasos.
  
• Estar siempre atentos a preguntas delicadas. Ningún banco o entidad respetable solicita credenciales o información confidencial por medio de llamadas o correo electrónico. Por lo tanto, desde el momento en que la otra persona solicita información sensible se debe cortar la comunicación.
  
• Mantenerse siempre informados e instruirse en el tema. No es necesario ser expertos, pero sí tener conocimientos básicos para estar al tanto de los riesgos y la forma de evitar caer en este tipo de ataques.

Espero que esta información haya sido de utilidad. ¡Hasta luego!