La ingeniería social es un término que se ha vuelto muy relevante en los últimos años. Se refiere al arte de “engañar” o hacer que una persona ejecute una acción que puede ser perjudicial. Generalmente está asociada a la ciberseguridad o seguridad de la información. En pocas palabras es el arte de “jaquear” a alguien, entendiendo que siempre será más fácil engañar a una persona que a un computador.
En español la palabra “jaquear” hace referencia en el ajedrez a poner en “jaque” al rey poniéndolo en peligro. Pero la palabra “jaquear” también proviene de la voz inglesa “hacker”. Inicialmente la RAE definió al “jáquer” como un pirata informático.
Posteriormente al considerar que todos los “jáqueres” no son malos, se creó una segunda acepción al agregar la definición que se cita a continuación:
“2. m. y f. Inform. Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora.”
Esta segunda definición fue del beneplácito de todo el grupo de jáqueres de sombrero blanco que están del lado del bien. Estos son aquellos que usan sus habilidades para innovar y detectar fallas y vulnerabilidades antes de que sean aprovechadas por los ciberdelincuentes.
El primer caso de ingeniería social documentado.
El engaño está presente desde el origen del hombre, la Biblia está llena de referencias de ingeniería social. Desde la caída de Adán y Eva en el Edén, engañados por la serpiente haciéndoles creer que si comían del fruto prohibido serían iguales a Dios.
A Sansón también lo engaño el mal representado por Dalila. Ella usó sus habilidades y belleza para que Sansón le revelara el verdadero origen de su extraordinaria fuerza lo que dio origen a su caída.
La ingeniería social en acción
En plena pandemia me contactó un alto ejecutivo de una institución financiera internacional quien fue víctima de un ataque informático basado en ingeniería social. Los atacantes lograron hacerse con una copia de su tarjeta SIM de teléfono. Este ataque se conoce como: “sim swapping”.
Al tener acceso al número telefónico de la víctima y como piezas de un dominó todos y cada uno de los servicios que esta persona tenía registrados inicialmente con ese número, así como su correo, fueron cayendo en manos del atacante uno a uno.
En una secuencia fatal, se comprometieron en este orden: número telefónico, correo electrónico, cuentas de redes sociales, servicios de mensajería y billetera electrónica.
Una de las consecuencias fue la sustracción inmediata de 4.5 Bitcoins, con un valor actual de 34.472,74$ por Bitcoin. Hagan ustedes mismos el cálculo para que estimen la magnitud del robo.
Hoy en día los bancos y las personas ya no se roban con pistolas y pasamontañas. Ahora los delincuentes desde la comodidad y seguridad de su hogar realizan sus fechorías con una computadora y una conexión a internet.
La desconfianza y la precaución son los padres de la seguridad
Está frase atribuida a Benjamín Franklin es quizás una de las mejores recomendaciones que podemos hacer a la hora de protegernos de la ingeniería social. El ser humano es confiado, descuidado y servicial por naturaleza, nos gusta crear empatía mediante el servicio y ayuda a otros.
A las personas nos cuesta decir que NO, lo que entienden muy bien los delincuentes que utilizan un sinnúmero de técnicas y estrategias basadas en nuestra bondad. Dicha bondad mal empleada puede ser muy efectiva y perjudicial para nosotros como individuos y para nuestras organizaciones o lugares de trabajo.
Ejemplo del caso de ingeniería social más común
Hagamos un pequeño experimento juntos. Lee pausadamente el siguiente mensaje enviado por su madre:
“Querido hijo, necesito tu ayuda urgentemente, sabes que no soy muy buena con temas de tecnología, mi teléfono se dañó y estoy usando el numero de una vecina para que por favor me compartas un código que te va a llegar a tu WhatsApp, para que por favor me lo compartas cuanto antes y así recuperar mi cuenta.”
Si al leer este mensaje pudo usted ver y escuchar a su madre diciendo cada palabra, ha sido víctima de una ingeniería social muy básica.
Si alguien recibe un correo electrónico o mensaje de texto de una persona conocida o de un familiar o ser amado, leerá ese mensaje visualizando el rostro de la persona, su voz, entonación incluso, mentalmente podrá ver las expresiones y gestos de quien “dice” ser el autor de este mensaje.
Ahora imaginen que el delincuente tiene datos específicos y personales, como el nombre propio, apodos, o el nombre de algún familiar cercano, etc. El impacto y efectividad del ataque puede aumentar dramáticamente su efectividad.
El ejemplo anterior fue un simple phishing de los muchos que existen. Se envía un correo o mensaje a cientos de posibles víctimas esperando que una o varias caigan en el engaño y muerdan el anzuelo. Cuando el atacante tiene nuestra información detallada es un ataque personalizado y dirigido a un solo individuo u organización lo que conocemos como: “spear phishing”.
Ejemplo de una modalidad de ingeniería social emergente.
Veamos un segundo ejemplo basado en la oportunidad y emergencia:
“Hola buenas tardes le escribe Angélica Paz de Microsoft, hemos detectado que su computadora tiene en estos momentos un virus informático muy peligroso que podría borrar toda su información y dañar su equipo. Debe contactarnos de manera inmediata al número” telf.: 999-999-999, o haciendo clic en el siguiente enlace: http://microsoft.soporte.icrt.com”
Los ataques de phishing simulando ser personal de soporte técnico interno o externo están en franco crecimiento. Son una de las demostraciones de ingeniería social más empleada en estos momentos.
Todo ataque o intento de ataque de ingeniería social siempre tendrá un factor humano en su objetivo. Entendiendo que somos humanos y actuamos y respondemos en base a nuestras emociones y sentimientos.
Juan Carlos Paris
Panamá 1ero de julio del 2021