Los Códigos de Seguridad Empresarial ignoran la Ingeniería Social

Si quisiéramos "robar" información de una empresa, la forma más sencilla de lograrlo sería  engañando a sus empleados. Puede ser a quien nos contesta una llamada telefónica, un correo electrónico, o incluso buscando papeles en la basura; todo ello nos permite encontrar información valiosa que puede ser usada en perjuicio de la propia organización.


Kevin Mitnick, uno de los "hackers" más famosos del mundo, quien logró violar la seguridad de los sistemas más sofisticados de importantes instituciones en el mundo, estuvo en México impartiendo una conferencia en "Infosecurity Forum" organizado por Tecnofin.

Para Mitnick el elemento humano es la clave de la seguridad en las organizaciones, y generalmente es la pieza que no se considera en los sistemas de seguridad empresarial. Una forma de "hackeo", que se apoya en la influencia, el engaño y la manipulación psicológica para conseguir un objetivo, es lo que se conoce como ingeniería social.

Los "hackers" ya no necesitan molestarse en violar un firewall; simplemente usan la ingeniería social. "Desde mi punto de vista en la cadena de los negocios, el eslabón más débil son las personas", comentó Mitnick. Por ello, para establecer un programa de seguridad se necesita la integración de componentes tales como personas, procesos y tecnología.

Los métodos de ataque más comunes mencionados por Mitnick son:

  • Revelar, transmitir o cambiar el password.
  • Crear una nueva cuenta.
  • Revelar números de acceso remoto.
  • Ataques de phishing
  • Ejecutar un programa malicioso (por ejemplo el caballo de Troya).
  • Visitar un sitio Web que "explota" la vulnerabilidad de un buscador.
  • Añadir privilegios o derechos de acceso a cuentas existentes.
  • Enviar o transferir información confidencial.

La información de las empresas hoy en día se encuentra disponible en los sitios Web, por lo que es mucho más fácil para un "hacker" manipular la tecnología: puede incluso hacer una llamada telefónica en la que aparezca como usuario interno de la empresa, y así conseguir la información que desea. "Cualquier sistema operativo está sujeto a la ingeniería social", asegura Mitnick.

Agujeros en el firewall humano

"La ingeniería social es más débil que cualquier sistema - afirma - porque las personas suelen pensar que esas historias de ataques no les van a pasar a ellas y, sin embargo, se ha demostrado que la gente es muy vulnerable".

Entre las anécdotas que Mitnick refirió se encuentra  la de cómo logró obtener 35 passwords mediante una serie de llamadas telefónicas que hizo a una empresa, fingiendo ser parte del área de sistemas. "Un hacker necesita un solo password para entrar a los sistemas de seguridad de la empresa, no ¡35!"

Los ataques a través de la ingeniería social normalmente son muy simples, pero se convierten en un problema complejo. Los más comunes son:

  • Soporte técnico. El hacker entra al sitio Web de la empresa, busca nombres de empleados y llama al help desk pidiendo reconfigurar su password porque lo olvidó. Aunque cada día el agente del help desk pide datos de identificación del usuario, todavía se dan este tipo de ataques.
  • Copiar los sistemas de IVR. Un ejemplo son los fraudes a través de instituciones financieras. La voz real suena exactamente como la del banco, el usuario teclea y deja los números de código y de identidad personal. Este es el nuevo método de phishing por IVR: ahora en lugar de mandar un hiperlink al sitio del banco, se manda a través de un correo electrónico un número telefónico para que el usuario llame y verifique su número de cuenta, porque "hay un problema".

En general las personas tienden a confiar en los demás, perciben que seguir los protocolos de seguridad es una pérdida de tiempo, subestiman el valor de la información y no se percatan de las consecuencias de sus acciones.

Por otra parte, la cultura organizacional nos ha enseñado que debemos estar dispuestos a ayudar a los demás, a brindar en forma natural la información que se nos solicite, y generalmente no tenemos en cuenta las consecuencias.

Las fallas más comunes en la ingeniería social son:

  • Préstamo de password.
  • Diseño de password "adivinables".
  • Screen Savers no activados.
  • Faltas de precaución con la información confidencial.

Mientras las empresas no se preocupen por entrenar a sus empleados en buenas prácticas complementarias de seguridad, las fugas seguirán existiendo. Los sistemas básicos de protección implican el entrenamiento del personal: que conozca qué información debe proteger, cómo hacerlo y de quién.

Utilizar la Información en forma "Inteligente"

Hoy en día podemos acceder a la información de cualquier empresa a través de su página Web, por lo que es mucho más fácil para un hacker manipular la tecnología: puede incluso hacer una llamada telefónica desde el exterior, y que aparezca como usuario interno de la empresa, y con ello conseguir la información confidencial que desea.

Reunir información a través del sitio Web, con nombres de empleados, teléfonos, correos electrónicos, cargo y puesto en la organización, responsabilidades, etc. es bastante factible. Otra fuente de información son los contenedores de basura, en los que se pueden  encontrar nombres de proyectos, listas de clientes, programas de trabajo, datos de facturación, impresiones de información, calendarios, directorios telefónicos, entre otras muchas cosas, todo lo cual resulta muy valioso para un hacker.

Si un defraudador comienza uniendo esas "pequeñas piezas sueltas" de información, puede construir un mapa exacto de la información que necesita, y ya tiene  un buen pretexto para entrar en contacto con quien puede proporcionársela en la empresa. Para ello, utiliza la confianza que le brinda el conocimiento previo que ha reunido de la empresa o del proyecto del que desea obtener más información. "El atacante siempre desarrolla una respuesta para contrarrestar cualquier objeción posible, y deja una  'salida' para evitar 'quemar' a la fuente", afirma Mitnick.

Para reconocer posibles ataques, sugiere lo siguiente:

  • Poner atención cuando en una conversación nos sentimos incómodos.
  • Rehusarse a dar información sobre contactos.
  • Dudar de una solicitud extraña o inusual.
  • Dudar de una persona que nos hace demasiados halagos, o que quiere hacer hincapié en su autoridad.

"La ingeniería social es la amenaza más efectiva y peligrosa para la seguridad de la información, por lo que se requiere de una vigilancia constante para mitigar esta amenaza, mediante políticas, procedimientos, procesos, entrenamiento de resistencia y respuesta a incidentes", concluye  Mitnick.