Seis pasos para no caer en el "arte del engaño"

Seis pasos para no caer en el "arte del engaño" Seis pasos para no caer en el "arte del engaño"

JP

Javier Pinillos

Márketing y Ventas (Núm. 160) · Márketing

Según el modelo OSI (open system interconnection, o interconexión de sistemas abiertos), la transmisión de información la conforman siete “capas”. Las empresas luchan por segurizar todas y cada una de ellas, desde la capa física, donde se encuentran los cables y conectores, hasta las aplicaciones, pasando por las redes por las que se transmite la información. Sin embargo, a esta definición tan teórica le faltaría una capa adicional que, desde el punto de vista de la ciberseguridad, es la más importante de todas: la octava capa, a la que hacemos referencia cuando queremos señalar a las personas, que son los verdaderos actores del proceso de información. Pero esta capa es, sin duda, también la más peligrosa, ya que a través de ella se producen más del 95% de los ataques de los que son víctimas las empresas.

Lo anterior lo podemos comprobar con un clarificador ejemplo. Fue a principios de los años 80 cuando uno de los cibercriminales más conocidos de toda la historia forjó su leyenda: Kevin Mitnick. Mitnick nunca destacó por tener unos amplios conocimientos técnicos, ya que nunca los necesitó. Su carrera como cibercriminal se basó en buscar un camino alternativo a la hora de conseguir la información que buscaba. En lugar de enfrentarse a todos los sistemas tecnológicos que una empresa dispone para proteger su información –véase firewalls, sistemas de detección de intrusos (IDS/IPS), antivirus, plataformas para evitar la fuga de información (DLP), plataformas antispam, honeypots, etc.–, Mitnick utilizaba un camino mucho más “fácil”: atacar directamente a la persona. Es un camino, sin duda, mucho más efectivo, porque no requiere poseer grandes conocimientos técnicos. Fue él quien introdujo el concepto de “ingeniería social” en el hacking. La llamada ingeniería social (social engineering) se fundamenta en cuatro principios básicos:

- Todos queremos ayudar.

- El primer movimiento es siempre de confianza hacia el otro.

- No nos gusta decir “no”.

- A todos nos gusta que nos alaben.

 

Utilizando estos cuatro principios, Mitnick fue capaz de conseguir información de varias de las más grandes compañías de Estados Unidos. Este “cibercriminal” (que no hacker, ya que hay que recordar que el término hacker se refiere a aquellos expertos en informática que ayudan a las empresas, que utilizan sus conocimientos para el bien, no para el mal) presumía de poder conseguir cualquier información de una empresa concreta con tan solo seis llamadas de teléfono, cierta investigación previa de las víctimas y sus habilidades sociales para convencer a la gente. Haciéndose pasar por un proveedor o partner –puesto que había realizado una labor previa de investigación, conocía tan bien a la empresa objetivo que era capaz de hacerse pasar por cualquiera de sus empleados o colaboradores–, se las ingeniaba para alabar el trabajo de la víctima escogida, normalmente una persona de bajo perfil dentro de la compañía; luego le decía que tenía un problema y le solicitaba amablemente su ayuda. Al tratarse de una llamada telefónica, saber si quien estaba al otro lado era efectivamente quien decía ser era bastante difícil de verificar, y, dado que dos de los principios de la ingeniería social son que todos somos confiado...


Javier Pinillos

·

Profesor de Ciberseguridad en IE Business School y perito informático forense