Ingeniería Social 2.0

Con la irrupción de la web 2.0 y el auge de las redes sociales en los últimos años, la participación pública en los contenidos de la red se está incrementado de manera exponencial. Hoy en día, la información fluye sin límite, desde y hacia los propios usuarios de internet. Esta evolución, ha cambiado completamente la realidad de la red, modificando tanto la manera en la que los usuarios hacen uso de sus contenidos, como el modo en el que las organizaciones la utilizan para lograr sus objetivos de negocio.

Este cambio de paradigma en internet conlleva, a su vez, una serie de nuevos riesgos que no deberían ser ignorados por las organizaciones. La enorme cantidad de información que podemos encontrar en la red, no sólo de las propias organizaciones, sino también de las personas que trabajan en ellas, puede ser utilizada para engañar o manipular a los empleados con el objetivo de acceder a información confidencial u obtener otro tipo de beneficios de manera ilícita.

Este tipo de ataques, conocidos habitualmente como ataques de ingeniería social, aprovechan el eslabón más débil de la seguridad de cualquier sistema: las personas que lo operan. De este modo, pueden hacer uso del engaño y la manipulación de los empleados para lograr sus objetivos que pueden ir desde obtener información interna o confidencial hasta conseguir acceso a la red o los sistemas internos de la organización.

Según Kevin Mitnick, gurú de la ingeniería social, el éxito de este tipo de ataques se basa en las siguientes premisas:

• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir “No”.
• A todos nos gusta que nos alaben.

Realmente es muy sencillo utilizar la información que encontramos en la red para potenciar la confianza a la que hace referencia la segunda premisa de Mitnick. Internet nos proporciona todo tipo de datos sobre las organizaciones y las personas que pueden ser aprovechadas por los atacantes para preparar y personalizar sus ataques.

Por ilustrar este tipo de ataques con un ejemplo, podemos imaginar que mediante el acceso a una red social como pueden ser Facebook, Linkedin o similares, podemos conseguir identificar a un usuario que cuente con la confianza de nuestra potencial víctima y ingeniárnosla para conseguir su dirección de correo electrónico. Con este simple dato, podríamos enviar un mail fraudulento haciéndonos pasar por el conocido de nuestra víctima, ya que modificar el remitente de un mail es una operación trivial. Además, podríamos personalizar y dar mayor realismo al mail gracias a la información que encontráramos sobre ambos en la propia red social, en blogs personales, o en cualquier otra fuente públicada en internet.

Son muchos los métodos de ingeniería social que utilizan los atacantes haciendo uso de nuestra información pública. No sólo se pueden valer del mail, sino que también pueden servirse de otros canales como el teléfono o incluso de la interacción directa, haciendo uso de los datos recabados para dar mayor veracidad al fraude o engaño perpetrado.

Uno de los sectores especialmente vulnerables ante el uso de técnicas de ingeniería social, es el de los servicios de atención al cliente, o call center, que generalmente poseen información confidencial de la empresa o de sus clientes, y cuyos miembros, debido a su relación continua con agentes externos a la organización pueden llegar a bajar la guardia ante llamadas malintencionadas o fraudulentas. Una de las técnicas más utilizadas para obtener información de este tipo de departamentos consiste en suplantar a algún usuario lícito de la organización para obtener información privada del mismo. Es en este segundo caso, cuando la información obtenida de Internet puede ser de gran utilidad para los atacantes a la hora de engañar al operador.

Igual que ocurre con el resto de ámbitos de seguridad de la información, la implicación y el impulso por parte del consejo de dirección, son vitales para que las iniciativas que pretendan aumentar el nivel de seguridad de las organizaciones ante ataques de ingeniería social lleguen a buen puerto. Para poder hacer frente de manera efectiva a este tipo de amenazas, es necesario definir y establecer políticas de seguridad que marquen las directrices a seguir en el trato con agentes externos a la organización. Además, estas políticas y procedimientos deberán ser adecuadamente divulgados para que puedan ser conocidos y tenidos en cuenta por todos los miembros de la organización.

Es importante señalar que, auditar de manera periódica la respuesta de nuestra organización ante ataques de ingeniería social como complemento a las auditorías más técnicas, es básico para poder obtener una visión global y fidedigna del nivel de seguridad de nuestra organización. 

Por otro lado, se debe tener presente que el medio más efectivo del que disponemos para protegernos de este tipo de ataques pasa por realizar acciones continuadas de concienciación y formación del personal, con el objetivo de evitar en lo posible que los empleados de la organización puedan caer en este tipo de fraudes o engaños.

En conclusión, la evolución y el crecimiento de Internet ha dotado a los atacantes maliciosos de una cantidad mucho mayor de información y herramientas con las que llevar a cabo su actividad. Las organizaciones deben ser conscientes de los riesgos existentes y actuar en consecuencia, anticipándose y preparándose para afrontar esas nuevas amenazas a las que están expuestas.