* Por: Jonathan Palafox López
“Estimados usuarios de Amazon, necesitamos empleados a tiempo parcial, sin experiencia, ingresos diarios 500-2000. Contácteme”.
El mensaje anterior lo recibió un amigo mientras estábamos reunidos. Al recibirlo, visiblemente entusiasmado, lo compartió conmigo, leyéndolo en voz alta. Lo leía con credulidad, agradecido incluso de recibir una oportunidad así; se le notaban las ganas de continuar con el proceso. Inmediatamente lo detuve.
El mensaje es un ejemplo de un mecanismo utilizado para obtener información sensible y confidencial de las personas, misma que a los perpretadores les ha de permitir obtener algun beneficio mediante el secuestro de recursos, el uso de algún medio de pago, la suplantación de la identidad o el acceso privilegiado a sistemas. Al conjunto de estos mecanismos, donde el elemento vulnerable y vulnerado es el humano, se les denomina Ingeniería Social.
La Ingeniería Social se apalanca en varios sesgos cognitivos naturales en las personas; por ejemplo, en la comunicación se pueden mencionar marcas o personajes relevantes para intentar transmitir autoridad o confianza (“Estimados usuarios de Amazon…”); también pueden hacer uso de estadísticas o tendencias para intentar convencer (orillando mediante el efecto de arrastre) a una persona a actuar “como tantas otras personas ya lo están haciendo”; también, la comunicación en la Ingeniería Social puede apelar a la escasez y a la buena fortuna para aceptar algo que solo nosotros hemos ganado (estafa nigeriana). Y estos son solo algunos ejemplos de la presentación de la comunicación para lograr el propósito del atacante: obtener información que sería realmente muy dificil de conseguir con recursos auténticamente tecnológicos.
Según el “2022 Data Breach Investigation Report”, formulado por Verizon, la Ingeniería Social, en sus múltiples modalidades, ocupa un puesto en el top tres de vulnerabilidades presentadas en cada una de las regiones del mundo que el informe analiza. En Lationamérica y el Caribe es, junto a la Negación del Servicio (DoS) y a la Intrusión de Sistemas, la causa del 88% de las vulnerabilidades informáticas. Debido a que la Intrusión de Sistemas, además, puede darse a través de mecanismos de Ingeniería Social, es especialmente importante prestar atención a las dinámicas de esta última.
Otra fuente, We Live Security, de la firma de seguridad ESET, ha revelado que se duplicaron los eventos de vulneración de los sistemas informáticos a través de la Ingeniería Social en 2020 respecto de 2019. De todos ellos, en Latinoamérica, Perú ocupa el primer lugar con el 30% de los ataques, seguido de Brasil con el 18% y, completando el desafortunado podio, está México, con casi el 17%.
Y los datos para el futuro cercano no son más tranquilizadores. Según pandasecurity.com, de la empresa de seguridad Panda, los ataques de pishing se van a duplicar en 2022 respecto de 2021. El pishing es uno de las formas de Ingeniería Social más extendidas, donde la víctima recibe un correo electrónico de una fuente aparentemente confiable, en el que le solicitan validar o corregir alguna información personal y, para ello, le solicitan acudir al sitio de la compañía a través de un enlace colocado en el propio correo. Este sitio, por supuesto, es un sitio fraudulento, diseñado con el propósito de transmitir confianza y aparentar ser el sitio oficial, por lo que las víctimas suelen proporcionar datos que luego son usados para llevar a cabo los fraudes.
Por desgracia, la Ingeniería Social funciona porque se aprovecha de aspectos naturales de la psicología humana (sesgos cognitivos), aspectos circunstanciales de los individuos (falta de empleo, familiaridad con la tecnología), aspectos universales (curiosidad, morbo, empatía), por solo mencionar algunos.
Aunque las víctimas de este tipo de prácticas suelen ser personas no capacitadas para detectarlas, basta que la comunicación se presente de una manera convincente para que incluso individuos especializados caigan en la trampa y comiencen a suministrar información sensible. En Youtube, entre muchos ejemplos, puede observarse un video donde, como parte de un ejercicio de demostración de Ingeniería Social, una mujer puede acceder a cambiar la cuenta de un tercero, vía telefónica, simplemente escenificando una situación de urgencia (“…el trámite tiene que quedar hoy…”) y angustiante (su hijo está llorando), apoyada con un audio de un bebé en llanto. Preocupante.
Hay un elemento más que propicia la extensión y éxito de la Ingeniería Social: la disponibilidad de la información. Las redes sociales han logrado establecer lazos y comunicación con otros individuos cuya interacción sería limitada o nula sin ellas; sin embargo, su uso también ha supuesto la exposición sin filtro y voluntaria de la intimidad de la gente. Cada vez que seguimos a alguien, publicamos algo o hacemos saber que algo nos gusta, los atacantes tienen insumos para ejecutar una estrategia de comunicación con más probabilidades de ser creíble: si exponemos una reciente adquisición, un mensaje que señale un problema en el envío podría funcionar; si nos quejamos de algun banco, una irregularidad en la cuenta puede ser el método ideal; si un virus, como el Covid 19, nos preocupa, la disponibilidad de las vacunas en la localidad puede ser el mensaje adeduado.
La carrera para atender las vulnerabilidades de los sistemas no parece que tenga un fin cercano. Mientras haya un beneficio potencial de romperlos, habrá quien decida recorrer ese camino, y las empresas deberán seguir invirtiendo en hacerlos más robustos. Los esfuerzos para disminuir las incidencias por Ingeniería Social deben estar enfocados en el eslabón que esta explota: las personas. La educación/capacitación en la manera en que funcionan los sistemas puede ser un buen primer paso. Sesiones donde se muestren casos de ataques por Ingeniería Social pueden ser muy provechosos también. Pero, sobre todo, el desarrollo del criterio y del sentido común son elementos que pueden drásticamente afectar la efectividad de la Ingeniería Social.
Para terminar, podríamos hacer una lista extensa de cosas a tener en cuenta en la comunicación que recibimos para evitar ser víctimas de este tipo de ataques, pero comencemos con 5:
1) Si parece demasiado bueno, es muy probable que sea falso.
2) Es mas probable que le caiga un rayo a que gane un concurso (en el que además, no ha participado).
3) Cuando tenga dudas respecto de algun producto o servicio que sí utiliza, continúe la comunicación por un medio oficial.
4) Siga los procedimientos diseñados. Para algo se hicieron.
5) Haga preguntas antes de dar respuestas.
Como usted ha llegado hasta aquí en su lectura, ha ganado un premio; para reclamarlo, basta que deposite una cantidad a la cuenta… así de fácil podría ser caer.
* Ingeniero en Sistemas Computacionales, fundador de Tres Factorial Ingeniería de Software. Miembro de Canieti Guanajuato desde 2018 y Coordinador de la Comisión de Innovación en Concamin.
jonathan.palafox.lopez@gmail.com
twitter @jpalafoxlopez
