1

Hackeando la mente humana

Hackeando la mente humana
Hackeando la mente humana.

Un análisis de Tomer Teller, evangelista de seguridad e investigador de Check Point Software Technologies. 

Hay una escena en la película ‘Matchstick Men’, donde el protagonista interpretado por Nicolas Cage tiene este diálogo con la actriz Alison Lohman:

Lohman: No pareces un tipo malo.
Cage: Eso me hace bueno en lo que hago. 

Esta conversación condensa una verdad fundamental de todas las estafas, ya sea que se reproduzcan en el mundo digital o en el físico, para conseguir que alguien baje la guardia con un ardid inteligente que facilita la vida de un ladrón. En el idioma de los hackers, esto se llama ingeniería social.

La ingeniería social se trata de entrar en la mente humana, algo que de muchas formas es más fácil que hallar una nueva vulnerabilidad de software y utilizarla como una puerta a su empresa. Estas vulnerabilidades, llamadas de día cero, pueden costar decenas de miles de dólares en el mundo de los hackers – dinero que se puede ahorrar si se engaña a alguien para que instale un virus en su propia máquina. Después de todo no hay necesidad de pasar por el esfuerzo de recoger un candado cuando se puede convencer a alguien de dejar entrar a su hogar.

Pero, ¿qué hace un ataque de ingeniería social eficaz? La clave es la atracción que puede variar desde una publicación en Facebook (que llama la atención sobre una celebridad), hasta mails con líneas de asunto sobre el negocio de su empresa. Uno de los ataques más publicitados fue el ataque a RSA que empezó cuando un empleado abrió un correo titulado: ‘Plan de Reclutamiento 2011’.

Cuando el empleado abrió el anexo, la persona dio inicio a una cadena de eventos que llevó a la violación de los datos. Mientras que hackear un sistema requiere conocimiento de vulnerabilidades de programación, hackear la mente humana exige un tipo de conocimiento diferente – específicamente qué tipos de mails o links son más probables que abra la víctima.

Una forma de obtener esos datos es dirigirse a personas de acuerdo con sus trabajos e intereses, y tal vez no existe mayor fuente de información en esos temas que las redes sociales. Un paseo por un perfil en LinkedIn puede revelar la experiencia y cargo de una persona; un vistazo a cuentas de Facebook puede revelar sus amigos y pasatiempos. Mientras que las redes sociales han hecho bastante en los últimos años para reforzar sus controles de privacidad, puede que muchos usuarios no los usen o los vuelvan ineficaces sin querer al aceptar como amigo a alguien que no conocen. Las investigaciones han demostrado que el perfil falso promedio en Facebook tiene alrededor de 726 ‘amigos’ – más de cinco veces lo que tiene un usuario típico del sitio.

NO ES BROMA…HACKEARON EL FACEBOOK DE MARK ZUCKERBERG

Hackear la mente humana también toma otras formas. Por ejemplo, la optimización de motores de búsqueda (SEO) es una técnica favorita de los hackers. La idea detrás de SEO es mejorar la clasificación de su website en motores de búsqueda como Google. En las manos correctas, esto es perfectamente legítimo; en las equivocadas incrementa la posibilidad de que la gente termine en un sitio malicioso.

Hasta hace poco, Check Point patrocinó un estudio de Dimensional Research que reveló que el 43% de los 853 profesionales de TI en el mundo encuestados dijeron haber sido blanco de estafas de ingeniería social. La encuesta también halló que los empleados nuevos son los más susceptibles a ataques con el 60% que citó las contrataciones recientes como de “alto riesgo” para la ingeniería social.

Desafortunadamente, el entrenamiento no parece llevar el ritmo de las amenazas, pues solamente el 26% de los encuestados dan entrenamientos continuos y el 34% dijo que no intentan educar a los empleados. La buena noticia es que la marea está cambiando y más empresas están cobrando conciencia sobre las amenazas de seguridad – y a qué técnicas de ingeniería social pueden ser susceptibles los empleados.

La educación es el elemento clave para defenderse de ataques, pero el proceso inicia teniendo políticas vigentes para proteger los datos. Esto incluye controlar quién tiene acceso a cuál información y definir políticas que refuercen y contribuyan a las operaciones del negocio. De ahí se debe educar a los empleados sobre cuáles son las políticas y probarlas con ellos. La clave es compartir datos sobre los ataques que son detectados para que los empleados puedan entender mejor cómo son blanco.

Apuntalar todo esto deben ser redes y puntos finales protegidos por las mejores prácticas y los últimos arreglos de seguridad, pero combatir hackeos contra la mente humana requiere cambios de actitud más que armas tecnológicas. Si existe un antivirus para la mente, tiene que ser actualizado con conocimiento de políticas corporativas y con la comprensión de cómo los atacantes se dirigen hacia sus víctimas. Incorporar esos datos en un programa de entrenamiento puede ser la diferencia entre una fuga de datos y una noche tranquila en la oficina.