El mayor punto débil de tu seguridad eres tú: asà te pueden atacar con la ingenierÃa social
Cuando pensamos en la gente que suele realizar ataques informáticos, lo primero que nos viene a la mente suele ser un experto informático capaz de descifrar la mejor de las contraseñas o aprovecharse de vulnerabilidades desconocidas para el común de los mortales. Pero por lo general, para robarte la cuenta de Facebook o Gmail ni siquiera hay que tener grandes conocimientos informáticos, vale con esperar a que tú se la des amablemente.
Muchos atacantes deciden estudiar informática para acceder a los sistemas aprovechándose de los bugs de un software, pero hay quienes prefieren especializarse en engañar y manipulara los propios usuarios. Para ello no hacen falta ni vulnerabilidades ni hackeos increÃbles, sino conocer muy bien la mente humana y la forma de pensar de tu vÃctima, y aprovecharlo para que te de los datos necesarios para acceder a su ordenador, a los servidores de su empresa o por qué no, a sus correos electrónicos o cuentas de redes sociales.
ImagÃnate que para proteger una cuenta habilitas como pregunta secreta cual es el nombre de tu primera mascota. Pues bien, aplicando la ingenierÃa social, un atacante que ya haya intentado acceder a tu cuenta y sepa cual es la pregunta puede intentar ganarse tu confianza y llegar disimuladamente hasta la respuesta. Después de todo, una conversación sobre mascotas no tiene por qué hacerte sospechar de que te vayan a hackear una cuenta personal.
Otros atacantes simplemente recurren a la vÃa rápida del phishing para engañarte haciéndose pasar por un servicio, y enviarte un correo con un enlace fraudulento mediante el que intentar que escribas tu contraseña. ImagÃnate que te envÃo un correo electrónico diciéndote que soy el señor Paypal, que he detectado un error y que necesito que te identifiques inmediatamente mediante un enlace que adjunto, y que lleva a una web falsa en la que guardar todo lo que escribes.
El atacante puede jugar con las emociones
Para profundizar un poco más en el mundo de la ingenierÃa social hemos estado hablando con un experto con más de 11 años de experiencia en el mundo de la seguridad informática. Se trata de Josep Albors, director de comunicación y responsable del laboratorio de ESET España, y que también colabora con la Guardia Civil y el Ejercito de Tierra en la formación de nuevos agentes en materia de seguridad informática.
Josep nos cuenta que la ingenierÃa social es un riesgo que deberÃamos tomarnos en serio, porque apunta al eslabón más débil en la mayorÃa de situaciones: el ser humano. "El atacante puede jugar con las emociones de la vÃctima", nos cuenta, "o incluso averiguar información personal de la misma a partir de publicaciones en redes sociales para intentar convencerla de que le proporcione información o le permita saltarse sistemas de seguridad establecidos"
Muchos negocios no establecen barreras de acceso a datos importantes y los empleados pueden acceder a ellos".
Las personas más vulnerables a este tipo de ataques, nos explica, son aquellas que manejan información confidencial o pueden permitir el acceso a datos confidenciales. "No hace falta siquiera que sea el CEO de una empresa, puesto que muchos negocios no establecen barreras de acceso a datos y sistemas importantes y no son pocos los empleados que pueden acceder a ellos, aun sin saberlo".
Hablando con Josep también aprendemos que hay varios tipos de ataques comunes. Por una parte están los que intentan engañar a los usuarios para que abran un fichero o pulsen sobre un enlace haciéndose pasar por algunos servicios muy utilizados, mientras que por la otra también está el que se conoce como "Fraude del CEO".
"En él los delincuentes apuntan a cargos directivos, obtienen información privada de los mismos de fuentes abiertas o espiándoles en persona, y llegan a suplantar a proveedores de esa empresa para conseguir que se hagan transferencias a números de cuentas gestionados por ellos".
Dicho en otras palabras, si eres el dueño de una empresa alguien podrÃa estar cotilleando tus redes sociales o espiándote en persona. Con algunos de los datos que consiga obtener sobre tu persona se intentará hacer pasar por ti para darle a tus proveedores una dirección bancaria fraudulenta. Con ella, en vez de pagarte a ti le estarÃan pagando directamente al suplantador.
Piensa en la información que compartes en redes sociales, seguro que entre ella está tu nombre, apellidos o nombre de tu empresa. Uno también se puede fijar en cómo escribes en redes sociales para ser más convincente a la hora de imitarte. Ya sólo hace falta un proveedor con la suficiente confianza como para creerse lo que le dice alguien que dice ser tu.
Cómo saber cuándo nos la quieren jugar
Pero claro, vivimos en una era en la que todos los dÃas estamos conociendo personas nuevas y estableciendo amistades en las redes sociales. Por lo tanto, ¿cómo podemos saber si esa persona que acabamos de conocer está intentando sacarnos información mediante la ingenierÃa social en vez de simplemente saber más sobre nosotros?
"Depende de lo buena que sea la persona a la hora de utilizar la ingenierÃa social puede llegar a ser bastante difÃcil llegar a darse cuenta de que nos están intentando sacar información", nos comenta Josep Albors. "Lo mejor es analizar cada una de las respuestas que damos y pensar si podrÃan ser utilizadas en nuestra contra o en la de nuestra empresa".
En resumen, lo que nos quiere decir es que seamos cautos cuando estemos conociendo a personas nuevas, un clásico de los tiempos de la vida offline. Tenemos que ser conscientes de qué tipo de información compartimos y cual puede ser utilizada en nuestra contra. No deberÃamos herir sentimientos previniendo, porque lo lógico es que cualquier persona entienda que no le contemos nuestra vida las primeras veces que hablamos.
Otro de los métodos clásicos utilizados por los atacantes es el phishing mediante ingenierÃa social. Nos pueden enviar SMS, correos electrónicos o una URL a una web aparentemente real, pero que es sólo una copia de la original diseñada especÃficamente para engañarnos y obtener nuestros datos. ¿Cómo podemos diferenciarlas?
lo primero que nos deberÃa hacer sospechar es que sea un mensaje que no esperamos
Albors nos cuenta que lo primero que nos deberÃa hacer sospechar es que sea un mensaje que no esperamos. Si alguna vez te encuentras pensando que es raro que tu banco o una web se ponga en contacto contigo por este medio para un tema que nunca habÃais tratado asÃ, mejor desconfiar. Y cuidado con abrirlos por pura curiosidad, porque puede jugarnos malas pasadas.
"Algunos consejos que podrÃamos ofrecer es desconfiar de los ficheros adjuntos, especialmente si son ejecutables (la minorÃa) o vienen comprimidos y utilizan una extensión poco frecuente (js, vbs, hta, etc.)", nos explica, "además de revisar los enlaces que nos proporcionan, puesto que suelen estar acortados o suplantar alguna web original (phising)".
Nuestro hacker de cabecera también nos explica que existen varias herramientas como el framework Metasploit o el SET (Social-Engineering Toolkit), diseñadas para automatizar estos ataques. También nos advierte de que otro método utilizado es el abandonar USBs con contenidos que puedan ser de interés para la vÃctima e inciten a abrir el fichero.
"Por ejemplo, dejar un pendrive abandonado en una oficina con una hoja de cálculo Excel con el sugerente tÃtulo 'Relación despidos 2017'", nos cuenta. "Estoy seguro que muchos deshabilitarÃan las medidas de seguridad que incorpora MS Office por defecto, y que no permiten la ejecución de Macros maliciosas, con tal de ver su contenido".
¿Entonces cual serÃa el principal consejo para quien se quiera proteger? Es la última pregunta que le hacemos a Josep. "Que ande siempre atento y no se confÃe", responde. Nunca se sabe cuándo podemos estar siendo vÃctimas de un ataque de ingenierÃa social, salvo que estemos especialmente entrenados, y esa persona tan simpática que acabamos de conocer en la cola de embarque de un avión puede estar queriendo sacarnos información que no deberÃamos compartir.
Espera, ¿hay herramientas de ingenierÃa social?
Convencer a una persona para que te revele sus datos, aún siendo sorprendentemente efectivo, no deja de ser tedioso y de requerir bastante tiempo. Razón por la que muchos atacantes prefieren tirar la caña del phishing y esperar a que los incautos piquen, algo para lo que como hemos visto llevan años existiendo herramientas varias.
Una de las más populares es el Social-Engineering Toolkit o SET. Se trata de una única recopilación de herramientas para realizar ataques avanzados contra el elemento humano. Esto puede ser útil tanto para crackers como para empresarios que quieren testar la seguridad de su empresa y cómo se comportan sus empresarios ante estas amenazas.
Entre otras cosas, esta herramienta permite diseñar y crear ataques de phishing mediante correos electrónicos que se le envÃan a la vÃctima. También permite utilizar múltiples ataques basados ??en la Web para comprometer la seguridad de la posible vÃctima, como por ejemplo clonar páginas como Facebook alojándolas en nuestro servidor para obtener los datos que rellene quien entre.
A su vez, la aplicación permite simplificar la creación de ficheros .exe maliciosos, o realizar ataques masivos enviando correos electrónicos a múltiples vÃctimas personalizando los mensajes. Entre sus funciones el SET también ofrece la posibilidad de crear medios infectados con metasploits que utilizan el archivo autorun.inf.
Como conclusión podemos decir que efectivamente nosotros somos el mayor punto débil de nuestra seguridad, y que los atacantes no sólo lo saben, sino que llevan años aprovechándose de ello. Por lo tanto toca tomar conciencia de estos peligros y estar atentos, sobre todo tratando de no revelarle a un desconocido información sensible y estando atento a las posibles estafas mediante correos electrónicos o mensajes de móvil.