En el campo de la seguridad informática, la ingeniería social se conoce como la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Asimismo se define como aquellas conductas y técnicas utilizadas para conseguir información de las personas. Por otro lado, es también una disciplina que consiste en sacarle información a otra persona sin que esta sé de cuenta de que está revelando «información sensible” y que normalmente no lo haría bajo otras circunstancias. La ingeniería social se sustenta en el principio de que en cualquier sistema «los usuarios son el eslabón más débil”.
En la práctica, un ingeniero social utiliza comúnmente el teléfono o Internet para engañar a la gente. Entre otras cosas puede fingir ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet utiliza el método del envío de solicitudes de renovación de permisos de acceso a páginas web, crean memos falsos que solicitan respuestas e incluso las famosas «cadenas”, llevando así a los usuarios a revelar información sensible, o a violar las políticas de seguridad típicas de su organización. Con este método, los ingenieros sociales «explotan” la tendencia natural de la gente a ayudar.
Kevin Mitnick, un famoso hacker, experto en ingeniería social comentó:
«La gente por no querer quedar mal o crear un escándalo, brinda a cualquiera que le solicita, «información sensible”, y ahí es donde juega un papel importante la educación, el enseñarle a los empleados a decir no”.
Implicaciones económicas de las brechas de información
Una investigación realizada por el Instituto Ponemon a 50 empresas de Estados Unidos que perdieron datos durante el año 2011 informó que el costo anual por pérdidas de información rebasa los $36.5 millones de dólares por empresa.
Asimismo, un estudio de seguridad a nivel mundial presentado por Cisco sobre la fuga de información, reveló que la pérdida de datos a consecuencia de la conducta de los empleados es una amenaza mucho más grande de lo que creen muchos profesionales en el área de tecnologías de información.
¿Por qué la Ingeniería Social (IS) es tan efectiva?
Existen cientos de razones que podrían explicar por qué la IS es tan efectiva, sin embargo sólo mencionaré algunas de ellas.
- El campo de la seguridad de la información está enfocado principalmente en seguridad técnica– Todas las empresas se han enfocado en crear muros de fortalezas con la mejor tecnología, protegiendo así todos sus activos con los mejores «firewalls” lo mejores «IDS”, todas las actualizaciones al día, con políticas de seguridad (todas ellas enfocadas en aspectos técnicos), en fin todo lo que tiene que ver con la fase técnica de un sistema de información. Ahora bien es POCO lo que presupuestan para atender las necesidades de orientación y capacitación en áreas relacionadas al aspecto humano de esa cadena de protección de datos.
- Casi no se presta atención a la interacción máquina-persona.- Mucho se ha estudiado y reportado sobre la importancia de atender la interacción máquina-persona sin embargo muy pocas empresas entienden que reforzando el lado humano mediante adiestramientos y seminarios acerca de la ingeniería social se crea una cultura de seguridad que a la larga se convierte en un retorno de inversión.
- Ingeniería Social (IS) es extremadamente difícil de detectar– No existe un sistema de detección de intrusos (IDS) para detectar la «falta de sentido común” o ignorancia del usuario.
Hoy, la ingeniería social es quizá la técnica más divulgada para propagar ciberataques, porque consiste en la utilización o aprovechamiento de las debilidades en los usuarios, utilizando su desconocimiento o miedo, entre otros factores, para aprovecharse de su ingenuidad y obtener lo que queremos. En este caso: acceso a la información.
El perfil de ingeniero social
Las cualidades que debe poseer un ingeniero social para destacarse en esta disciplina pueden ser varias, desde su habilidad para relacionarse con sus pares hasta cuales son sus ambiciones, conocimientos en el área de informática, su apariencia de inocencia, su credibilidad y su grado de curiosidad.
Las destrezas de IS se pueden enseñar, practicar y dominar al punto de que usted, con un poco de adiestramiento y gran capacidad para convencer, puede convertirse en un ingeniero social en cosa de meses.
Ahora bien algunas de las características o requisitos más importantes se destacan las siguientes:
- Capacidad de socializar con facilidad.
- Habilidad en el hablar.
- Habilidad en el arte de persuasión.
- Sonar convincente.
- Aparentar ser inofensivo.
- Mantener un perfil bajo.
- Sonreír siempre.
- Tono de voz cómodo.
En la siguiente entrega abordaremos el tema de la ingeniería social desde su principios y fundamentos de funcionamiento, hasta algunos consejos para estar protegido contra la ingenuidad, sobre confianza o torpeza humana, en otras palabras la famosa Capa 8.