Ingeniería social...y un dineral

Erase una vez un hombre contratado para comprobar la seguridad de los datos en una gran compañía estadounidense. Esta compañía había hecho una inversión millonaria en mejorar los sistemas de seguridad de la información. Había instalado sensores biométricos para el acceso de los empleados. Cortafuegos, detectores de intrusión, y cerraduras de alta seguridad protegían los datos críticos de la empresa. Un ejército de guardias de seguridad vigilaba permanentemente todas las entradas para evitar una intrusión de cualquiera que no tuviese autorización. El perímetro estaba completamente asegurado.

Tan orgullosos estaban en la empresa de su bunker inexpugnable, que propusieron a nuestro hombre un trato. Hay un archivo con tu nombre en un ordenador dentro del edificio. Si consigues averiguar lo que hay en él, te pagaremos 10 millones de dólares. Si no, no cobrarás nada y presumiremos de que nuestro sistema de seguridad es invulnerable incluso al hacker más famoso del mundo. Tienes un mes para lograr tu objetivo.

Pasado el mes, se convocó al hombre a una reunión con todo el consejo de administración. Con cierto aire de superioridad, el Presidente de la compañía le preguntó por el resultado de sus intentos de intrusión. El hombre les mostró el contenido del archivo como quien saca un euro del bolsillo para pagar el autobús. El asombro de la cúpula de la empresa se tornó en cólera cuando el hombre, sacando un portafolios del maletín que le colgaba del hombro, mostró su carta final. Con una media sonrisa colocó encima de la mesa los planos secretos de un  prototipo que pretendían lanzar al mercado a lo largo del año siguiente. Sólo existía una copia, almacenada en el ordenador del Presidente.

Esta es una de las muchas historias, con ciertas licencias novelescas, que nos podría contar nuestro hombre, llamado Kevin Mitnick. Bajo el seudónimo de Cóndor, fue el hacker mas buscado en los 90 por el FBI. Lo detuvieron el 15 de Febrero de hace 25 años. Pasó 5 años en prisión. Desde entonces, se dedica a lo mismo por lo que fue perseguido, pero esta vez contratado por empresas para comprobar sus sistemas de seguridad.

Mitnick es considerado como el mago de la Ingeniería Social. Ésta consiste en el uso de una serie de técnicas usadas para manipular a las personas y conseguir que divulguen información confidencial o realicen alguna acción que no deben o quieren hacer por medio del engaño.  El término se puede aplicar a muchos aspectos de la vida cotidiana. Estrategias políticas para manipular a la opinión pública, los famosos timos de la estampita y de los trileros o el famoso “si te portas bien, te compro un helado” son ejemplos cotidianos de Ingeniería Social.

En el artículo anterior referente al Phising, introducía el concepto de una de las técnicas de Ingeniería social más utilizada: La obtención de confianza por parte del usuario. Recibir un correo de una presunta empresa confiable, nos hace ser menos cautos a la hora de contestar o pulsar en los enlaces que acompaña.  Otra de las técnicas es el principio de Autoridad. Tendemos a creer y confiar a quien aparenta ser una entidad de mayor rango. Los correos falsos de Hacienda o de la Dirección General de Tráfico son buenos ejemplos de esta técnica. Otro es el famoso timo del CEO, en el que, mediante suplantación de identidad, nuestro supuesto jefe nos ordena en tono amenazante y con urgencia que hagamos una transferencia inmediata de una elevada cantidad de dinero de la empresa.

El análisis que hacen los ingenieros sociales del comportamiento humano, les lleva a predecir las reacciones de los estafados con bastante fiabilidad. Saben que, en general, no nos gusta decir no. Nos gustan los halagos. Nos complace ayudar. En el ejemplo anterior del la estafa del CEO, se mezcla en muchas ocasiones la urgencia con alabanzas diciendo que se le vino a la cabeza nuestro nombre en primer lugar para solucionarle el problema. Confianza, autoridad, halago, ayuda, no decir no. Todas esas técnicas en el mismo timo. Ingeniería social pura.

Todos queremos ayudar. Por eso compartimos una y otra vez en Facebook fotos terribles de niños enfermos, perros, ancianos que necesitan nuestra ayuda urgente. Sólo con un euro puedes salvarlos. Las autoridades no nos ayudan. Si tú no puedes, al menos se solidario y compártelo con tus contactos. Por favor. Cada uno ayuda de la manera que puede. Muchísimas gracias a todos por vuestra solidaridad.  El tsunami ya está en marcha.

Nuestros intereses lo primero. Recibimos una llamada del departamento de personal. Este año la empresa ha decidido que solicitemos las vacaciones mediante una web habilitada para ello. Nos envían el enlace y sólo tenemos que poner nuestro nombre y clave de acceso para acceder al calendario. Los turnos de vacaciones se asignarán por estricto orden de solicitud. Otra vez, autoridad, urgencia, confianza.

Podría seguir eternamente. Ninguno somos invulnerables por completo a estos ataques. En seguridad informática el eslabón más débil siempre es el humano.  De nada sirve una norma en la empresa para que los empleados cierren la sesión de su puesto cuando se ausenten, si después le dan la contraseña a un extraño bajo engaño. Debemos conocer este tipo de estrategias y estar concienciados de que la seguridad es algo inherente a nuestro tiempo. No es paranoia, es simplemente preparación y sentido común. Ya lo decían nuestras abuelas: Nunca te fíes de un extraño. Sabiduría.

Por supuesto, no me he olvidado de nuestro protagonista. ¿Cómo consiguió los 10 millones? Pues evidentemente, mediante Ingeniería Social. En concreto, el comportamiento humano ante la curiosidad. La única parte vulnerable de la empresa que detectó Mitnick era la cafetería de invitados. Estaba situada en el vestíbulo del edificio, antes de pasar los controles de seguridad. Allí se recibían visitas y los empleados bajaban a tomar café con amigos o familiares que los visitaban. El resto del perímetro era inexpugnable.

Mitnick preparó un pendrive con un programa que se instalaría de manera discreta nada mas conectarse a un ordenador. Y lo dejó en el suelo de la cafetería. El resto se lo pueden imaginar. Media hora después, nuestro hacker ya estaba conectado a la red de la empresa desde dentro. Como el perímetro era inquebrantable, nadie se preocupó de la seguridad interna. Contraseñas por defecto, redes no protegidas  y archivos estratégicos de la empresa sin cifrar.

La curiosidad mató al gato. Y, en este caso, salió carísima