¿Qué es la ingeniería social?

“¿Querés ganarte un pasaje para dar la vuelta al mundo? ¡Hacé clic en el enlace para participar!”. “Su cuenta ha sido comprometida. Por favor, ingrese su usuario y contraseña para recuperarla”. ¿Alguna de estas frases te suena? Probablemente tu respuesta sea afirmativa, ya que suelen ser (de forma algo exagerada) mensajes falsos que nos llegan para robar nuestros datos. A estos en particular, que llegan por correo electrónico, se los conoce como phishing, aunque son apenas una parte de una categoría mayor basada en el arte del engaño.

Estamos hablando de la ingeniería social, una práctica habitual que busca extraer información mediante, en general, la suplantación de identidad. Definirla sea tal vez una tarea difícil: hay varios especialistas que, al intentarlo, destacan cierto aspecto por sobre otro. Si juntamos las explicaciones, podemos decir que consiste en la manipulación o el engaño de una persona (o de un grupo de personas), tanto para obtener algo a cambio como para lograr que las víctimas realicen una acción. En esto están involucradas la ciencia, la psicología, el arte y las creencias; puede realizarse o no por medio de tecnología y -aunque suele estar asociada a cuestiones negativas- en ocasiones puede emplease para beneficio de las “víctimas”.

“Desde que el homo es sapiens que engañamos y somos engañados. La ingeniería social funciona, en gran medida, por cuatro causas: todos queremos ayudar, el primer movimiento hacia la otra persona suele ser de confianza, no nos gusta decir que no y a todos nos gusta que nos alaben“, resumió Emiliano Piscitelli*, experto en la materia y director de un grupo de investigación sobre el tema. Además, no olvidemos que “venimos condicionados, por ejemplo, para responder a la autoridad”, agregó Marcelo Temperini, abogado especialista en ciberdelincuencia y cofundador de ODILA.

Como vemos, esta práctica apunta al eslabón débil de la cadena: nosotros. Es que “el cerebro tiene múltiples vulnerabilidades para las que no podemos decargar un parche que las solucione. Un ingeniero social sabe cómo explotarlas”, señaló Alan Levy. La pregunta es, entonces, ¿cómo hace para lograrlo?

El ciclo de ataque y sus modalidades

La ingeniería social consiste en varios pasos. Primero, deberá recolectarse información acerca de la víctima para, luego, desarrollar una relación (lo que requiere el contacto con esa persona). Una vez que se logra, se recurrirá a la explotación de ese vínculo, es decir, al engaño. Cuando el ingeniero obtuvo lo que deseaba, cierra ese ciclo de ataque, o bien para volver a interactuar con la persona o bien para que pase desapercibido por el mayor tiempo posible.

Claro que aquí estamos hablando de un ciclo completo. Sin embargo, muchas modalidades que hoy conocemos parecieran limitarse a los tres primeros pasos: obtener información de las víctimas (por ejemplo, con qué banco operan) y contactarlos para quitarles las credenciales de acceso (un correo electrónico que simule ser de esa empresa). Esto significa que hay varias estrategias para realizar ingeniería social y se dividen en dos grandes grupos: los ataques remotos y los ataques locales.

Ataques remotos:

  • Phishing mail (o spear phishing, si está dirigido a un grupo): consiste en un engaño mediante el correo electrónico; suelen impostar empresas con las que tenemos contacto (bancos, redes sociales) o jefes de la compañía para la que trabajamos, como la estafa del CEO.
  • Vishing: son estafas cometidas a través de la voz, es decir, de una llamada telefónica; el ingeniero puede hacerse pasar por un empleado de una compañía o entidad bancaria para pedirnos información personal.
  • Smishing: esta modalidad implica el envío de mensajes de texto, WhatsApp o Telegram; en general, anuncian sorteos donde, para participar, tenemos que ingresar a un enlace fraudulento (tiene un error de tipeo o es un subdominio).

Ataques locales:

  • Tailgating: es, básicamente, acceder a un lugar donde no tenemos autorización para estar; la forma más común es pegarse a alguien de la empresa que esté entrando, usualmente con las manos ocupadas.
  • Shoulder surfing: este tipo consiste, sencillamente, en mirar por encima del hombro o, lo que es lo mismo, espiar disimuladamente, por ejemplo, la pantalla de un telefóno o los datos en algún papel sobre la mesa.
  • Baiting: esto significa colocar señuelos de forma “accidental”, para que la víctima los encuentre (lo que implica conocer sus recorridos); el caso más común es dejar pendrives que, al conectarlos, descarguen un malware.
  • Dumpster diving: es, ni más ni menos, que buscar en la basura información valiosa (contraseñas escritas en un papel, correos electrónicos impresos, hardware descartado).

¿Cómo puede la ingeniería social ser algo positivo?

Tal vez, si llegaste hasta acá, te estés preguntando cómo todo esto puede usarse para el bien. Y es que, claro, la mayoría de las noticias vinculadas a estas prácticas son negativas. Pero deberíamos dividir las aguas: por un lado, tenemos ciberdelincuentes que utilizan todo este conocimiento para engañar gente y estafarla. Pero también existen ingenieros sociales que son contratados por empresas para llevar adelante un ataque de estas características y comprobar qué tan preparado está su personal para detectarlo y contrarrestarlo. Es que, como ya dijimos, cualquiera es vulnerable a caer en estas artimañas: lo único que puede prevenirlo es la capacitación constante, para tener presente que puede suceder y sospechar de una llamada, un email o un SMS a tiempo. En este sentido, el cofundador de ODILA resaltó que “hoy vemos las consecuencias de no pensar en seguridad informática”.

Por supuesto que, para realizar un ataque a pedido de la empresa, el ingeniero deberá contar con las autorizaciones pertinentes, que le ahorren posibles dolores de cabeza. Ahora bien, ¿la ingeniería social implica acciones ilegales? En “A un bit de ir en cana. Hacking e ingeniería social al borde de la ley”*, Temperini detalló que, por ejemplo, en Argentina la suplantación de identidad no está tipificada por el Código Penal (sí lo está la falsificación de documentación). Con lo cual, lo que suele hacerse es, en caso de cometerse un delito mediante ingeniería social, intentar encuadrarlo en otras faltas existentes en la ley, como la de estafa.

Además, la información necesaria puede obtenerse de fuentes abiertas o públicamente accesibles (a esto se lo conoce como OSINT, Open Source Intelligence). De hecho, en la edición número 15 de la Ekoparty, varios ingenieros sociales se unieron a Missing Children para buscar información acerca de chicos perdidos consultando fuentes de información abiertas (OSINT). En 2018, gracias a esto se encontraron 3 niños cuyo paradero se desconocía.

*Este artículo fue redactado a partir de información obtenida en las charlas “A un bit de ir en cana. Hacking e ingeniería social al límite de la ley”, a cargo de Marcelo Temperini y Maximiliano Macedo, y “OSINT e ingeniería social aplicada a las investigaciones”, a cargo de Emiliano Piscitelli, Alan Levy, Carlos Loyo y Jorge Martín Vila. Ambas formaron parte de la 15º edición de la Ekoparty.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s