¿Qué es la ingeniería social?

Saber romper medidas de seguridad no hace que seas hacker, al igual que saber puentear un coche no hace que seas ingeniero de automoción.

Eric Raymond

Hola a todos. Hace tiempo hablé ya de la importancia de usar contraseñas adecuadas en nuestros sistemas, cuando les conté como proteger la información importante. También conté, en otro momento, la importancia de cuidar nuestra identidad digital. Para entrar en materia, léanlos o reléanlos si quieren, que yo les espero aquí. ¿Ya?. Pues bien, hoy quiero ir un paso más allá con ambos conceptos, y hablarles de ingeniería social. No, no se trata de que nos dediquemos a la eugenesia, a aplicar el modelo de sociedad de Platón ni a montar una tecnocracia extrema.

La ingeniería social es el conjunto de técnicas destinadas a sonsacar información importante del eslabón más débil de la cadena de seguridad: el usuario. Es decir, averiguar sus contraseñas, o alguna otra información útil, mediante espionaje y/o un enfoque psicológico. Nadie está exento de caer en la trampa en alguna ocasión, pero sabiendo en qué consiste será mucho más complicado que nos engañen.

Para empezar, tengamos en cuenta que es imprescindible usar contraseñas con la fortaleza suficiente, sea en la cuenta de correo, en una página web o para proteger el ordenador o un fichero. Este artículo a mí al menos me pone los pelos de punta… la contraseña más común es “123456”, y en la lista son demasiado comunes también “password”, “qwerty” y trivialidades de ese estilo. Tan fácil acceder a esos datos que asusta. La cuestión es que, usando como contraseña algo como “23041983”, no hay que pensar mucho para darse cuenta de que es una fecha, probablemente de nacimiento. Si usamos “NeilDiamond”, alguien que sepa que somos fans del cantante americano podría deducir que es probable que esa sea nuestra contraseña. Si lo proclamamos públicamente en nuestro perfil de la red social correspondiente ya estamos dando pistas a alguien con mala intención.

Como ya les conté aquí, las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños. La posibilidad “recordar contraseña” NO es una opción. El uso de reglas mnemotécnicas debe ser razonablemente complejo. Por ejemplo, de la expresión “¡Nadie va a lograr entrar en mi cuenta!” podemos sacar la contraseña “Nv4l33mC!9” (iniciales, en mayúsculas los sustantivos, sustituyendo algunas letras por números, el signo de exclamación y al final recuento del número de caracteres).

Tengamos también en cuenta que hoy día es habitual la llamada pregunta de seguridad, para los casos en los que se ha olvidado la contraseña. Esas preguntas también deben estar bien pensadas (de hecho, las preguntas prediseñadas por muchas páginas son de juzgado de guardia). Si usamos “Profesión del padre”, “Nombre de mi novia” o “Lugar de nacimiento” cualquiera que nos conozca un poco puede averiguarlas. Mejor ser más creativos y usar cosas como, al menos, “Aniversario de boda de mis padres”, “Segundo nombre de mi abuela” o “Dónde gané el campeonato de escondite”; con esto ya lo estamos poniendo más complicado… a no ser que seamos tan zotes de poner estos datos en nuestro perfil de Facebook o similar, claro. Además, si usamos de nuevo técnicas como la de más arriba, mejor.

Bien, supongamos que nuestra contraseña no se averigua así como así (si es así, bien hecho, pero no se confíen). Aún así, existen distintas técnicas con las que la mayor parte de la gente accede a dar su contraseña a otra persona. El más típico es el de, telefónicamente, suplantar a un operador de mantenimiento; realmente, muy rara vez un técnico necesitará nuestra contraseña para hacer sus tareas, y además normalmente podría acceder a ella de otros modos, con lo cual, no se fíen. Ataques cómo este, y similares, se encuadran en el denominado phishing, y tienen distintas formas. La más mediática (y grave) es recibir un falso correo del banco, con una plantilla hábilmente falsificada, pidiendo los datos de nuestra tarjeta de crédito, PIN o similar; NUNCA debemos contestar, y debemos poner el caso en conocimiento de la policía.

Las técnicas para llegar a averiguar estos datos se dividen, principalmente, en pasivas y activas; una subdivisión, en todos los casos, es que las técnicas pueden ser o no presenciales. Las pasivas se basan en la observación: examinar nuestros perfiles públicos obteniendo datos básicos, intentar hacerse una idea de nuestro comportamiento ante un ordenador, de nuestros conocimientos, etc. Las activas ya implican una actuación por parte del asaltante, y tienen distinto nivel de agresividad: desde en la oficina cotillear en los post-it que hay sobre el ordenador a la suplantación de identidad (como el caso ya citado más arriba). Si bien el acceso no autorizado a información es un delito en cualquier caso, cuanto más agresiva es la técnica más grave es el delito, con lo cual ténganlo en cuenta si se ven envueltos en una situación de este estilo.

Del dibujante Vergara; extraído de proyectoautodidacta.com

Por cierto, que el primer paso para acceder a una cuenta de correo es saber que existe. Es por esto que, ante el próximo correo masivo que reciban sin que el listado de receptores vaya en “copia oculta”, tienen mi bendición para soltarle la bronca del año al emisor del mismo. Si encima se trata de un hoax (reenvía este correo 10 veces y el niño nigeriano recibirá el dinero para su operación, contesta a este correo o cerrarán Hotmail, si no reenvías a todos tus contactos esta foto de un pobre gatito criado en  un frasco eres un desalmado, etc.), yo les pago la gasolina y la cerilla para incendiar el ordenador del irresponsable que se lo haya hecho llegar. Lógicamente no todos los correos de este estilo pretenden llegar a acceder a nuestros datos, pero sólo con que pretendan enviarnos spam ya es un perjuicio, tanto para nosotros como para el propio rendimiento de la red y el resto de usuarios. Si alguien en su círculo de contactos no ha tomado conciencia aun de este problema, por favor, infórmenle. Irá en beneficio de todos; es, mutatis mutandis, el equivalente a la salud pública en estos medios.

Pese a todas nuestras precauciones, en el fondo nadie estamos exentos de caer en la trampa. Exceptuando los casos triviales, la ingeniería social se basa en buena medida en la psicología, y hay patrones al respecto. Fueron formulados por un conocido cracker, Kevin Mitnik, y son los siguientes:

1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir “No”.
4. A todos nos gusta que nos alaben.

Mejor quedar como un borde desagradable que como un tonto útil en caso de que alguien a quien no conocemos nos pida, sutilmente, cierta información importante.

Pero, en todo caso, somos humanos y estamos sujetos a que alguien con labia nos tire de la lengua. En todo caso, espero que tras esta explicación hayan tomado conciencia del problema. Protejan bien la información de su correo, de su cuenta bancaria, de su tesis doctoral, etc., y no bajen la guardia.

Cuídense.

Juan.