3 de agosto de 2020

LA INGENIERÍA SOCIAL

Su status dentro de la Ciberseguridad

En pleno comienzo de este convulsionado siglo XXI por múltiples factores que de una u otra forma inducen a pensar, que todo tiene una razón de ser debido a que el planeta necesitaba urgentemente darse un tiempo, un respiro ante tanta agresividad; parece una obviedad afirmar al día de hoy que, en nada sorprende lo que ocurre y absolutamente todo ello gira sin dudas en torno a la Geopolitica del Coronavirus en el presente inmediato.

Ahora bien y entrando a la temática propuesta en esta ocasión, en materia tecnológica, parece una obviedad también afirmar al día de hoy que, a raíz de lo precedentemente esbozado, vivimos épocas convulsas cargadas de posverdad y noticas faltas, donde la manipulación a gran escala ha venido para quedarse. Quien más y quien menos es capaz de imaginar la repercusión que estas armas de desinformación masiva pueden tener en la estabilidad de democracias y estructuras de gobiernos. Sin embargo, son menos los que analizan que mecanismos son los que hacen que la maquinaria de influencia se ponga en marcha, y resulta que esos engranajes están en nuestro cerebro.

A raíz de todo lo expuesto podemos afirmar que la Ingeniería Social ha dado una vuelta de tuercas en los albores de este siglo, sin dudas a equivocarnos, enriquecida por las nuevas tecnologías y también por el auge de las redes sociales, que se han convertido en una fuente de datos inagotables (big data) y enormemente accesible a todos. Pero no solo ha mutado en lo que a metodología se refiere, sino también en cuanto a sus pretensiones y fines últimos, apostando por atacar a la línea de flotación de funcionamiento de los Estados, es decir a un objetivo mayor.

Amén de ello, la Ingeniería Social sigue dando pasos gigantescos con un atrevimiento que antoja atípico, no parece que la percepción que se tiene de la misma y su potencial haya cambiado un ápice, de manera especial en el contexto de la Seguridad Informática y el nuevo quinto elemento de la Geopolítica: el Ciberespacio.

Por ello y todo expuesto ut-supra podemos afirmar que la Ingeniería Social, es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos, técnica que pueden usar ciertas personas para la obtención de información, accesos o permisos en sistemas de información, que les permite realizar algún acto que perjudique o exponga a una persona o a un organismo comprometido a riesgos o abusos, y precisamente los eslabones más débiles de cualquier cadena son siempre los seres humanos, y es allí donde la Ingeniería Social aprovecha para atacar, tratando explotar el punto débil, apelando a la vanidad, la avaricia, la curiosidad, el altruismo, el respeto o temor a la autoridad de las personas, para conseguir que revele cierta información o que permita el acceso a un sistema informático.

En la actualidad existen infinitas técnicas de Ingeniería Social que utilizan los ciberdelinduentes, desde cebos, es decir ofrecer algo que desea para conseguir que el usuario descargue un archivo malicioso; también el phishing es otra muy conocida y principalmente es la más utilizada en nuestro país, es decir un correo electrónico fraudulento para que comparta información personal; los pretextos, hacerse pasar por otra persona con el fin de tener acceso a información privilegiada; o scareware, que es cuando se engaña a un sujeto para que crea que su equipo está infectado con malware y luego ofrecer una solución que infecta el ordenador. Otra técnica conocida es el vishing, que se realiza a través del teléfono y consiste en la suplantación de identidad de una persona o una compañía, para la obtención de información confidencial; otra frecuente es por las redes sociales, lugar donde los cibercriminales consiguen a menudo extorsionar a los internautas. El smishing, técnica utilizada a través de los mensajes de texto también, con suplantación de identidad, donde también los cibercriminales intentan principalmente que las victimas pinchen en un enlace, llamen a un numero de teléfono o respondan al mensaje entre otras.

¿Entonces una vez que conozcamos todos estos indicios, como reconocemos la Ingeniería Social? Para ello es preciso tener siempre en cuenta que cualquier consejo o ayuda que no hayamos solicitado, se debe tratar con suma precaución, en espacial cuando se realiza un clic en un determinado enlace, puesto que ello es una probabilidad de que se trate de un fraude de Ingeniería Social, de esta manera también cuando nos solicitan una contraseña o información financiera. Si bien es dable entender ciertamente que la Ingeniería Social al ser una técnica en contraposición de algo físico, eso hace que se haga imposible eliminarla de nuestro ordenador, y aunque parezca irrisorio o inentendible, la única forma de prevención es tomar todos los recaudos esbozados precedentemente y no dejarse engañar, por supuesto sin dejar de mencionar que se debe contar siempre con un buen antivirus, además del sentido común y precaución como ya expresamos.

Una vez descripto en forma individual el riesgo que corremos, también hay que decir que, a otro nivel mucho más elevado, los estados-nación están participando activamente en campañas de Ingeniería Social, o al menos la usan como parte de ataques muchos más sofisticados, que son las amenazas persistentes avanzadas (APT). Este tipo de ciberespionaje on line cumple un rol importante en los esfuerzos cibernéticos de países que son potencias tecnológicas como EEUU, China, Rusia, etc. Por eso, mientras que el termino APT sugiere el uso de tecnología maliciosa sofisticada, los ataques APT a menudo se basan en la antigua táctica de Ingeniería Social con el fin de lograr la introducción inicial en un sistema, es decir cuando el objetivo del intruso es el ciberfraude o ciberespionaje, preferentemente ataca el sistema de personas con un puesto alto dentro de la organización, de modo de tener acceso a datos confidenciales.

Repetimos la percepción de inseguridad de la red, afecta nuestro óptimo aprovechamiento de los enormes beneficios que nos acerca. Un poco de atención y cuidado, y un permanente estado de alerta ante los riesgos, evitará que la gran mayoría de los intentos de estafa logren suceder.

Si las técnicas de ingeniería social se pueden usar para obtener información privada o imponer un punto de vista o una nueva ley antes contraria al sentir popular ¿por qué no podría usarse para lo contrario? En ese sentido, el filósofo Karl Popper, opinaba que de hecho esa era la manera correcta de usarla. Para él, lo propio de la ingeniería social era el resolver los problemas sociales en forma análoga a como un ingeniero hace para que exista mayor producción.

En conclusión, tanto la comunicación política y de gobierno como otras disciplinas involucradas de lleno en la cuestión tecnológica como la ciberseguridad, tienen mucho que ofrecer para el mejoramiento de nuestras sociedades y si bien es cierto que la ingeniería social suele tenérsele en un concepto negativo, también es cierto que es necesaria para resolver muchas problemáticas de comunicación y de conducta  tanto a nivel individual como a nivel social por lo que me parece importante la formación en este aspecto.

Por último y de acuerdo a todo lo expuesto en el presente artículo, es necesario replantarse realmente si la Ingeniería Social, entendida como tal es “la materia pendiente” dentro de la ciberseguridad, y para ello es menester revertir muchos conceptos entre ellos, entender que el ser humano no es el eslabón más débil, sino el más fundamental, puesto que la Ingeniería Social está fundamentada en la conducta humana, en los principios psicológicos que rigen nuestra mente y nuestras decisiones en los comportamientos sociológicos  que comparten la mayoría de las personas. Sus cimientos son atemporales, existen desde que el hombre es hombre. Si continuamos minusvalorando al enemigo, estaremos abocados a perder la partida.

Dr. Mario Ramón Duarte

Abogado (UCASAL)

Juez Administrativo de Faltas Sauce (Ctes.) M/C

Especialista Derecho Faltas y Contravencional (UCSF)

Miembro Dossier Geopolítico/Cees (CBA. ARG) (CABA-ARG).

Colaborador CENEGRI (RJ. BRA.)

Esp. Ciberseguridad y Ciberdefensa

 

FUENTES CONSULTADAS

 

https://blog.corporacionbi.com/seguridad/ataques-de-ingenieria-social-banco-industrial

https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/

https://espaciotecnologico.co/ingenieria-social/

https://red.computerworld.es/actualidad/la-ingenieria-social-a-examen-de-conciencia

 


Comentarios »
Aun no hay comentarios, sé el primero en escribir uno!
Escribir un comentario »