Hackeando la mente humana
Por Tomer Teller, evangelista de seguridad e investigador de Check Point Software Technologies:
Hay una escena en la película ‘Matchstick Men’ donde la actriz Alison Lohman tiene este diálogo con el personaje protagonista interpretado por Nicolas Cage:
-Lohman: No pareces un tipo malo. -Cage: Eso me hace bueno en lo que hago.
Esta conversación condensa una verdad fundamental de todas las estafas ya sea que sucedan en el mundo digital o en el físico. Conseguir que alguien baje la guardia con un ardid inteligente facilita la vida de un ladrón. En el idioma de los hackers, esto se llama ingeniería social.
La ingeniería social se trata de hackear la mente humana, algo que de muchas formas es más fácil que hallar una vulnerabilidad de software.
Pero ¿Qué hace un ataque de ingeniería social eficaz? La clave es la atracción, la cual puede variar desde una publicación en Facebook que llame la atención sobre una celebridad hasta emails con líneas de asunto sobre el negocio de su empresa. Mientras que hackear un sistema requiere conocimiento de vulnerabilidades de programación, hackear la mente humana exige un tipo de conocimiento diferente – específicamente qué tipos de emails o links son más probables que abra la víctima.
Una forma de obtener esos datos es dirigirse a personas de acuerdo con sus trabajos e intereses y tal vez no existe mayor fuente de información en esos temas que las redes sociales, y aunque éstas han reforzado sus controles de privacidad, puede que muchos usuarios no los usen o los vuelvan ineficaces, sin querer, al aceptar como amigo a alguien que no conocen. Las investigaciones han demostrado que el perfil falso promedio en Facebook tiene alrededor de 726 ‘amigos’ – más de cinco veces lo que tiene un usuario típico del sitio.
Hackear la mente humana también toma otras formas. Por ejemplo la optimización de motores de búsqueda (SEO) es una técnica favorita de los hackers. La idea detrás de SEO es mejorar la clasificación de su website en motores de búsqueda como Google. En las manos correctas, esto es perfectamente legítimo; en las equivocadas incrementa la posibilidad de que la gente termine en un sitio malicioso. También existen métodos que son menos técnicos, como una conversación telefónica que hace que alguien baje la guardia.
Check Point patrocinó un estudio de Dimensional Research que reveló que de 853 profesionales de TI encuestados el 43% dijo haber sido blanco de estafas de ingeniería social. La encuesta también halló que los empleados nuevos son los más susceptibles de atacar. Desafortunadamente el entrenamiento no parece llevar el ritmo de las amenazas pues solamente el 26% de los encuestados dan entrenamientos continuos y un 34% dijo que no intentan educar a los empleados. Sin embargo cada vez más empresas cobran consciencia sobre las amenazas de seguridad – y a qué técnicas de ingeniería social pueden ser susceptibles los empleados.
La educación es el elemento clave para defenderse de ataques pero el proceso inicia teniendo políticas vigentes para proteger los datos. Esto incluye controlar quién tiene acceso a cuál información y definir políticas que refuercen y contribuyan a las operaciones del negocio. Después, se debe educar a los empleados sobre cuáles son las políticas y luego probarlas con ellos. La clave de esto es compartir datos sobre los ataques que son detectados para que los empleados puedan entender mejor cómo son blanco. A menudo una buena dosis de cuidado puede ser efectiva – si llega un correo inesperado solicitando información privada dele seguimiento con el supuesto remitente para asegurarse de que sea legítimo.
Combatir hackeos contra la mente humana requiere cambios de actitud más que armas tecnológicas. Si existe un “antivirus para la mente”, tiene que ser actualizado con conocimiento de políticas corporativas y con la comprensión de cómo los atacantes se dirigen a sus víctimas.
