Hay una escena en la película ‘Matchstick Men’ donde el personaje protagonista interpretado por Nicolas Cage tiene este diálogo con la actriz Alison Lohman:
Lohman: No pareces un tipo malo.
Cage: Eso me hace bueno en lo que hago.
Esta conversación condensa una verdad fundamental de todas las estafas ya sea que se reproduzcan en el mundo digital o en el físico – para conseguir que alguien baje la guardia con un ardid inteligente facilita la vida de un ladrón. En el idioma de los hackers, esto se llama ingeniería social.
La ingeniería social se trata de hackear la mente humana algo que de muchas formas es más fácil que hallar una nueva vulnerabilidad de software y utilizarla como una puerta a su empresa. Estas vulnerabilidades, llamadas de día cero, pueden costar decenas de miles de dólares en el mundo de los hackers – dinero que se puede ahorrar si se engaña a alguien para que instale un virus en su propia máquina. Después de todo no hay necesidad de pasar por el esfuerzo de recoger un candado cuando puede convencer a alguien de dejarle entrar a su hogar.
Pero ¿Qué hace un ataque de ingeniería social eficaz? La clave es la atracción la cual puede variar desde una publicación en Facebook que llama la atención sobre una celebridad hasta emails con líneas de asunto sobre el negocio de su empresa. Uno de los ataques más publicitados del año pasado fue el ataque a RSA el cual empezó cuando un empleado abrió un email titulado: ‘Plan de Reclutamiento 2011’. Cuando el empleado abrió el anexo la persona dio inicio a una cadena de eventos que llevó a la violación de los datos. Mientras que hackear un sistema requiere conocimiento de vulnerabilidades de programación hackear la mente humana exige un tipo de conocimiento diferente – específicamente qué tipos de emails o links son más probables que abra la víctima.
Una forma de obtener esos datos es dirigirse a personas de acuerdo con sus trabajos e intereses y tal vez no existe mayor fuente de información en esos temas que las redes sociales. Un paseo por un perfil en LinkedIn puede revelar la experiencia y cargo de una persona; un vistazo a cuentas de Facebook puede revelar sus amigos y pasatiempos. Mientras que las redes sociales han hecho bastante en los últimos años para reforzar sus controles de privacidad puede que muchos usuarios no los usen o los vuelvan ineficaces sin querer al aceptar como amigo a alguien que no conocen. Las investigaciones han demostrado que el perfil falso promedio en Facebook tiene alrededor de 726 ‘amigos’ – más de cinco veces lo que tiene un usuario típico del sitio.
Hackear la mente humana también toma otras formas. Por ejemplo la optimización de motores de búsqueda (SEO) es una técnica favorita de los hackers. La idea detrás de SEO es mejorar la clasificación de su website en motores de búsqueda como Google. En las manos correctas, esto es perfectamente legítimo; en las equivocadas incrementa la posibilidad de que la gente termine en un sitio malicioso. También existen métodos que son menos técnicos, como una conversación telefónica que hace que alguien baje la guardia.
Solamente hasta hace poco Check Point patrocinó un estudio de Dimensional Research que reveló que el 43 por ciento de los 853 profesionales de TI en el mundo encuestados dijeron haber sido blanco de estafas de ingeniería social. La encuesta también halló que los empleados nuevos son los más susceptibles a ataques con el 60 por ciento que citó las contrataciones recientes como de “alto riesgo” para la ingeniería social. Desafortunadamente el entrenamiento no parece llevar el ritmo de las amenazas pues solamente el 26 por ciento de los encuestados dan entrenamientos continuos y el 34 por ciento dijo que no intentan educar a los empleados. La buena noticia es que la marea está cambiando y más empresas estan cobrando consciencia sobre las amenazas de seguridad – y a qué técnicas de ingeniería social pueden ser susceptibles los empleados.
La educación es el elemento clave para defenderse de ataques pero el proceso inicia teniendo políticas vigentes para proteger los datos. Esto incluye controlar quien tiene acceso a cual información y definir políticas que refuercen y contribuyan a las operaciones del negocio. De ahí, se debe educar a los empleados sobre cuáles son las políticas y luego probarlas con ellos. La clave de esto es compartir datos sobre los ataques que son detectados para que los empleados puedan entender mejor cómo son blanco. A menudo una buena dosis de cuidado puede ser efectiva – si llega un correo inesperado solicitando información privada dele seguimiento con el supuesto remitente para asegurarse de que sea legítimo.
Apuntalar todo esto deben ser redes y puntos finales protegidos por las mejores prácticas y los últimos arreglos de seguridad pero en su núcleo combatir hackeos contra la mente humana requiere cambios de actitud más que armas tecnológicas. Si existe un antivirus para la mente, tiene que ser actualizado con conocimiento de políticas corporativas y con la comprensión de cómo los atacantes se dirigen hacia sus víctimas. Incorporar esos datos en un programa de entrenamiento puede ser la diferencia entre una fuga de datos y una noche tranquila en la oficin