Mathmind. Lean Management

Wikipedia la define como: “La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos”.

Es la técnica usada para obtener información, acceso o privilegios en sistemas de información que permite realizar actos que perjudican y exponen a las personas u organismos comprometidos a riesgos o abusos.

Podríamos ponernos en plan técnico y enumerar sus tipologías como son el Hunting, el Farming, etc.
O enumerar sus técnicas como el Phishing, Shoulder Surfing, Dumpster Diving, Caballo de Troya, así como otras tantas formas que hoy en día intentan, con mayor o menor éxito, y con más o menos sofisticación, hacer caer en la trampa a la persona u organismo objetivo de su ataque.

Pero creemos que es más importante explicar de forma clara y sencilla en qué se basan estos “ingenieros sociales”.
Antes de profundizar, debemos señalar que el mejor remedio es estar prevenido e informado.

Mathmind. Lean Management

Los principios en los que se sustenta la ingeniería social son:

  • Reciprocidad: Las personas intentamos dar y recibir en la misma medida. Un «instinto» social muy arraigado en nuestra naturaleza, y, por ende, fácilmente manipulable.
  • Urgencia: el típico; ¡Vamos señora que se acaba! ¡Aproveche esta oferta! ¡Hasta fin de existencias! ¡Solo disponible durante los próximos 10 minutos…!
  • Consistencia: Somos animales de costumbres. En las relaciones es muy importante porque demuestra que eres estable y confiable. Y esta característica es aprovechada por el atacante.
  • Confianza: Nuestro grado de alerta baja cuando nuestro interlocutor nos cae bien o está alineado con nuestros intereses.
  • Autoridad: La usurpación de identidad juega un papel decisivo, bien sea real (robo del perfil digital del jefe) o aparentada (clonado de perfiles o emails muy parecidos).
  • Validación social: Como seres sociales que somos, buscamos la aprobación del colectivo. Si tus compañeros lo han hecho, y no dicen nada, porque tu no.

“Y es que en cualquier sistema “las personas son el eslabón débil.”

Mathmind. Lean Management
Cual Lazarillo de Tormes, el atacante es alguien muy astuto y perspicaz, capaz de estar agazapado el tiempo necesario hasta que encuentre su oportunidad. Su principal deseo es satisfacer su ego, principalmente para enriquecerse a costa de las incautas y confiadas personas. Estos “malos” suelen ser muy decididos e inteligentes, en muchos casos grupos muy bien organizados que gracias a todas las experiencias y lecciones que van aprendiendo a lo largo de sus intentos cada vez son más sofisticados en sus actuaciones. La ingeniería social no es algo nuevo, es una adaptación de timos tan clásicos como el tocomocho o el timo de la estampita, que ya en el año 1973 aparecían en el cine español con “La llamaban la madrina” de Lina Morgan. Aunque resulte sorprendente, aún se siguen dando casos de víctimas que caen en estos engaños. Hoy en día nuestra vida es más digital, y en ese mundo virtual se mueven en la actualidad la gran mayoría de timos, estafas, fraudes y trampas que evolucionan día a día y que usan esas técnicas basadas en la ingeniería social cada vez más precisa por la enorme cantidad de información personal que dispersamos por la red.
Mathmind. Lean Management

Javier Perea, experto en seguridad informática, decía en un estudio:

“Las amenazas de ingeniería social son peores que el malware más intrusivo, ya que es más difícil protegerse frente a ellas. Especialmente porque el objetivo son las personas, no solo el sistema. En este sentido, la forma más eficaz de protegerse frente a estas amenazas es estar informado, y las empresas deben impulsar la educación en materia de seguridad, con el fin de mitigar los riesgos.”

Añadiría, además, usar el sentido común en todos y cada uno de los supuestos diarios en los que nos encontremos. Como ya sabe, si algo huele mal, posiblemente es que no esté en buen estado.

Y ahora llega la pregunta del millón; ¿Cómo nos protegemos de estos ataques?

No hay forma efectiva de protegerse contra un ataque de Ingeniería Social porque no importa que se implementen controles, siempre existe ese “factor humano” que influye en el comportamiento de los individuos. Pero sí podemos reducir la probabilidad de éxito del ataque.

Que las empresas lleven a cabo políticas de seguridad claras, y establezcan procesos para reducir la amenaza de este tipo de ataques, ayuda a mitigar los riesgos.

Además, creemos que es de vital importancia tomar otro tipo de medidas que ayudan considerablemente a mejorar nuestra seguridad, no solo contra la ingeniería social, consiguiendo mantener un mundo digital más seguro:

  • Concienciación: Algo tan sencillo nunca fue tan eficaz. Seguro que en el día a día de cada persona hay situaciones que, debido a su concienciación, evitan percances. Así es cuando, por ejemplo, nos encontramos en lugares muy concurridos, donde no descuidamos las carteras, mantenemos los bolsos cerrados y en lugar visible, etc. etc. En el mundo digital también debemos ser conscientes de los peligros, y las empresas deben formar a sus empleados en el modo de actuar ante comportamientos sospechosos.
  • Seguridad física: Quizá esta sea la parte en la que a nivel empresarial todos estén más cubiertos, Firewall, IDS, IPS etc. Estos sistemas no dependen del factor humano y, por lo tanto, el error puede venir por fallos en configuración.
  • Control de activos digitales: Utilizar herramientas que nos garanticen la confidencialidad, la integridad y la disponibilidad de la información, y ante una brecha de seguridad que dispongamos de una trazabilidad de la misma mediante sistemas orientados a las personas.
  • Simulacros de ingeniería social: Estos simulacros nos muestran con exactitud cuál es el nivel de concienciación, así como el nivel de seguridad de la organización en base a su eslabón más débil, el empleado.

No debemos olvidar un riesgo intrínseco a la continuidad de negocio, la cadena de proveedores. Un vector de ataque que impacta directamente en una amplia gama de partes interesadas.
La información es clave para generar el conocimiento necesario que mitigue lo máximo posible el riesgo.

Mathmind. Lean Management

Conclusión

La amenaza de la ingeniería social como una forma de acceder a los sistemas corporativos suele pasarse por alto, priorizándose el gasto en favor de asegurar los sistemas contra los ataques informáticos.

En primer lugar, debemos concienciar a las organizaciones que invertir en combatir la ingeniería social formando a sus empleados y a ellos mismos no es un gasto, sino una inversión.

Pero para conseguir que esta concienciación forme parte del ADN de la compañía es imprescindible contar con el apoyo de sistemas de gestión de activos digitales que te acompañen en el camino y te sirvan guía.

Esperamos que cuando salgan hoy del evento, se lleven una idea, que la clave para asegurar los sistemas y el negocio, radica en la formación y preparación de todos los miembros de la organización contra los posibles vectores de ataque.

Debemos ser conscientes de que, si hay un agujero en el techo, no es suficiente ni efectivo cerrar las puertas delantera y trasera, así como las ventanas, hay que tapar el agujero.

Las personas son un componente vital y, a menudo, son pasadas por alto en los sistemas de seguridad como parte integrante de ese sistema, ya que, sin el conocimiento y la capacitación adecuados, pueden convertirse en el eslabón débil que exponga sus datos al mundo.