Probablemente has escuchado el término ingeniería social y pensarás que es algo muy sofisticado que afecta sólo a los grandes empresarios. La realidad es que afecta a compañías de todos los tamaños; tal vez la mejor forma de definir esta estrategia de daño tecnológico es decir que la mejor forma de robar una casa es convencer al dueño para que abra la puerta.
De acuerdo con Tomer Teller, evangelista de seguridad e investigador de Check Point Software Technologies, “la ingeniería social se trata de hackear la mente humana, algo que de muchas formas es más fácil que hallar una nueva vulnerabilidad de software y utilizarla como una puerta a su empresa. Estas vulnerabilidades, llamadas de día cero, pueden costar decenas de miles de dólares en el mundo de los hackers, dinero que se puede ahorrar si se engaña a alguien para que instale un virus en su propia máquina. Después de todo no hay necesidad de pasar por el esfuerzo de recoger un candado cuando puede convencer a alguien de dejarle entrar a su hogar”.
Y justo por eso es tan efectiva. Hoy en día, cuando cada vez más microempresas se integran al mundo virtual, y cada vez más personas están conectadas constantemente por distintos canales (y no como antes que sólo existía el correo electrónico) es cada vez más fácil engañar al público.
Lo que ocurre cuando una empresa sufre un ataque de ingeniería social es que alguien en dicho negocio abre un archivo adjunto o da click en algún sitio dañino, y con eso los atacantes consiguen datos de las personas y las empresas o, simplemente, vulneren sus sistemas de seguridad informática. “Mientras que hackear un sistema requiere conocimiento de vulnerabilidades de programación hackear la mente humana exige un tipo de conocimiento diferente – específicamente qué tipos de emails o links son más probables que abra la víctima”, explica el especialista.
Una forma de lograrlo es dirigirse a las personas con mensajes relativos a su trabajo o sus intereses personales, y para investigar esta información los hackers han encontrado una mina de oro en las redes sociales. Si bien los desarrolladores se han esforzado por aumentar las medidas de seguridad para hacer que cada vez sea más difícil vulnerarlas, lo cierto es que las personas siguen aceptando como amigos a gente que no conocen, lo cual significa un riesgo importante pues entonces los atacantes no requieren trabajar para romper dichas medidas: “Las investigaciones han demostrado que el perfil falso promedio en Facebook tiene alrededor de 726 ‘amigos’, más de cinco veces lo que tiene un usuario típico del sitio.”
La educación es el elemento clave para defenderse de ataques pero el proceso inicia teniendo políticas vigentes para proteger los datos. Esto incluye controlar quién tiene acceso a cuál información y definir políticas que refuercen y contribuyan a las operaciones del negocio. Además es necesario que todos los integrantes de la compañía sepan cuáles son dichas políticas y explicarles los riesgos de no seguirlas, de forma que puedan entender cómo pueden ser blanco de estos ataques, poniendo en riesgo su propia seguridad.
“Apuntalar todo esto deben ser redes y puntos finales protegidos por las mejores prácticas y los últimos arreglos de seguridad pero en su núcleo combatir hackeos contra la mente humana requiere cambios de actitud más que armas tecnológicas. Si existe un antivirus para la mente, tiene que ser actualizado con conocimiento de políticas corporativas y con la comprensión de cómo los atacantes se dirigen hacia sus víctimas. Incorporar esos datos en un programa de entrenamiento puede ser la diferencia entre una fuga de datos y una noche tranquila en la oficina”, concluye el experto.
Itzel Castellanos con información de Check Point Software Technologies
