HPE entre los líderes de almacenamiento de Gartner
Ingeniería social es un término muy usado en el mundo informático y es también la técnica más usada por los atacantes para tener acceso a las redes sociales. Mediante acciones se trata de engañar a la víctima buscando entrar en confianza o haciéndose pasar por alguien, (persona o empresa), para obtener lo que se necesita.
CIO América Latina/Mario Augusto Beroes
Uno de los factores más importantes, es la clara tendencia por parte de los usuarios a colocar información personal en forma constante. Desde imágenes de toda su familia, pasando por su estado de ánimo y relación amorosa actual. Las redes sociales proveen de mucha información a un atacante. Lo suficiente como para robar tu identidad o en el menor de los casos ser convincente para tener empatía.
El portal web http://www.lazarus.com.ve, acaba de publicar un trabajo titulado “Ataques de ingeniería social en Venezuela”, que, sin embargo, podría ser aplicado a cualquier país latinoamericano, y cuidado, sino a cualquier nación de nuestra orbe.
Destaca el portal que la ingeniería social termina convirtiéndose en el arte del aprovechamiento de las circunstancias intencionales y azarosas, pues apela a las características psicológicas humanas como la curiosidad, el miedo o la confianza, la rabia, el rencor, la soledad, las cuales ocasionan que las personas no reaccionen siempre de la misma manera.
Pero si predeciblemente, por lo tanto, la efectividad del proceso reside en la manera en que se logra apropiar e interpretar la información recibida, que en muchas ocasiones parece trivial. Algo que como vemos, no sólo sucede en Venezuela; pasa en cualquier país
Las fases del ataque
Al realizar un trabajo de ingeniería social artesanal, la primera fase implica un acercamiento para generar confianza con la víctima. Esto se logra por medio de correos, haciéndose pasar por representantes técnicos de algún servicio o incluso mediante una presentación formal en una charla coloquial. En esta última modalidad, es necesario que el victimario se muestre simpático, sin dar a la víctima ningún motivo que la ponga en situación de alerta ante el extraño. En esta etapa, el esfuerzo es fundamental para captar cualquier información valiosa.
Con base en su curiosidad o deseo, el afectado estará predispuesto, consciente o inconscientemente, a brindar información. La idea es observar la reacción del objetivo y actuar en consecuencia. A partir de ahí, se usará la prueba y el error, según sea el caso.
Si bien, los más vulnerables son aquellos que trabajan atendiendo al público, se puede decir que también entran aquellos que son confiados, aquellos que no siguen buenas políticas de seguridad, aquellos que rompen reglas o simplemente las desconocen. Los niños, las empleadas del servicio y las amas de casa son extremadamente vulnerables a la ingeniería social. De igual manera, en el ámbito empresarial, los hombres son fácilmente seducidos por mujeres muy atractivas y viceversa.
Un ejemplo cotidiano, es el caso en el que se hace seguimiento a una familia objetivo para determinar sus costumbres diarias. Así, se investigan aspectos como: los nombres de los integrantes, los horarios y las actividades que realizan. Una vez se tiene suficiente información, el victimario llama a quien permanece en casa y le describe alguna situación en la que alguno de los familiares corre peligro. Posteriormente, le pide que entregue objetos de valor con el fin de poder ayudar. La persona, ingenua, puede llegar a caer en ese ataque de ingeniería social y ser víctima de robos y otros delitos.
Con el fin de evitar estos ataques, también es importante que las personas sepan qué información es clasificada como sensible, confidencial o pública. Esto permite tener un mayor control de los límites que existen en el momento de compartir datos con otras personas, lo cual evita filtraciones.
“Nosotros recomendamos como medida adicional hacer talleres de ingeniería social en donde se realicen controles respecto al tema. Contratar con una empresa consultora de seguridad de la información que haga ingeniería social entre los empleados y determine quiénes han sido víctimas de estas prácticas para mejorar y reforzar su capacitación.
