No hay herramienta tecnológica que pueda contrarrestar el ataque a la psique humana, por ello, la ingeniería social es el arma más poderosa para que el negocio del hacker siga en función.
“Es un ataque directamente al humano, la capa más importante de seguridad de un sistema”, comenta Sebastián Bortnik, coordinador de Concientización e Investigación de Eset para Latinoamérica.
Pese al trabajo constante de los fabricantes de soluciones antimalware por garantizar la seguridad de la información y equipo de un usuario o incluso de una corporación, lo cierto es que los sistemas de tecnología que los contienen siempre requerirán de la participación humana y es precisamente ésta la que se convierte en el punto de acceso del atacante a los datos que requiera.
Tecnología, una ciencia exacta que ha traído consigo posibilidades infinitas de comunicación, término que nada tiene de preciso y que en conjunto con la primera ha dado cabida a innumerables beneficios, pero también a grandes riesgos.
Aunque la ingeniería social no es un fenómeno exclusivo de la sesguridad en Web, pues se presenta como una serie de habilidades sociales para engañar a los usuarios con el ánimo de alterar su comportamiento y que pueden ejecutarse incluso mediante una llamada telefónica o un mensaje SMS; no obstante, se ha desarrollado más por esta vía debido, principalmente, al interés de los atacantes por la información que guardan las empresas en sus redes.
Entre las técnicas más usadas se encuentran el scam y el pishing, cuya metodología se basa en la usurpación de compañías de renombre para solicitar información confidencial que el usuario tiene la confianza de proporcionar por creer que se trata de una empresa seria.
Script malicioso que Trend Micro identificó como JS_AGENT.SMJ y se limitaba a pedir al usuario una vista previa del mensaje en su navegador para poder lanzar el ataque.
Douglas Wallace, director de Canal de Symantec Latinoamérica, indica que la principal motivación de los ataques es financiera; es decir, robar información que se pueda vender o accesar a cuentas bancarias.
Según CCP, empresa de asistencia y protección de identidad personal, las consecuencias, en caso de que los hackers tengan éxito con su método, pueden ser desde que pidan un crédito o adquieran bienes o servicios a nombre del afectado, vacíen cuentas bancarias, hasta la venta de bases de datos para posibles extorsiones o incluso secuestros.
De ellos, refiere Rubén Aquino, subdirector de seguridad de la Dirección de Tecnologías de Información y Comunicación de la UNAM, el daño o desconfiguración del equipo es lo menos grave.
