Los muros siempre tienen la misma finalidad: impedir que alguien entre en tus dominios. En la ciberseguridad pasa lo mismo. Las empresas construyen sus murallas con herramientas de encriptación o de monitorización, gastándose de media 18,4 millones de dólares al año.
Pero…se dejan abierta la puerta de servicio de la muralla al descuidar el elemento humano, el cual se puede manipular psicológicamente para dejar entrar a alguien en sus dominios. La seguridad, además de con las máquinas está íntimamente relacionada con las personas.
Y esto fue lo que ocurrió con Twitter. En sus propias palabras: “Detectamos lo que creemos que es un ataque coordinado de ingeniería social por personas que se dirigieron con éxito a algunos de nuestros empleados con acceso a sistemas y herramientas internos”.
Un hackeo masivo para llevar a cabo una estafa con criptomonedas ha alcanzado a figuras internacionales como Bill Gates, Barack Obama, Kanye West, Kim Kardashian, Joe Biden o Elon Musk, entre otros. Todavía se desconoce el alcance real.
Pues detrás de todo esto, está lo que se denomina ingeniería social. Es el arte de usar tu comportamiento, contexto o costumbres para obtener información confidencial o convencerte de que hagas algo que comprometa la seguridad de tu sistema. Y todo sin que te des cuenta. Vamos, como un ladrón de guante blanco.
Muchas veces los ciberataques se esconden bajo esta apariencia. Y ahí va otro dato importante: todo lo que publicamos, especialmente en redes sociales, da pistas de cómo somos, qué nos gusta o cuáles son nuestros hábitos de consumo. Y claro, esta información se puede utilizar para bien… o para mal.
Es decir, la ingeniería social es casi como la ciencia para ‘hackear’ a los seres humanos con su propio consentimiento y tiene más que ver con la psicología que con la tecnología. Por eso es casi tan antigua como el hombre.
¿Te suena el caballo de Troya? En el ámbito digital, la ingeniería social puede entrar en nuestras vidas por varias vías:
– A través del teléfono: te pueden llamar haciéndose pasar por un conocido y pedirte que entregues contraseñas, dinero o acceso remoto a tu ordenador.
– Por email: un correo con un enlace o un archivo adjunto malicioso pueden jugarnos una mala pasada.
– Por internet.
– A través de un dispositivo externo como un USB: a veces las apariencias engañan y no sería la primera vez que, por ejemplo, un competidor entrega a empleados de una empresa, memorias USB maliciosas con algún tipo de virus para entrar en sus sistemas y espiarles.
Necesitamos conectar a los profesionales con la ciberseguridad, más allá de su protección personal, apelando a la épica de la protección colectiva. De media, las empresas tardan 206 días en detectar intrusos en una organización y la Ciberseguridad puede ser la mayor arma de guerra actualmente.
Debemos trabajar por mejorar el mundo en el que vivimos. La educación y concienciación en Ciberseguridad y Protección de datos puede hacerlo, y las tecnologías nos permiten que se democratice este conocimiento, sea exponencial y divertido.
Ejemplos de ingeniería social sin tecnología:
En 2007, un hombre burló el sistema de seguridad del banco belga ABM AMRO gracias a un pasaporte falso, su sonrisa y personalidad encantadoras. Aparentando ser un exitoso hombre de negocios, se ganó la confianza del personal. Un día logró acceder a las cajas de seguridad que contenían diamantes y robó gemas por un valor de 28 millones de dólares.
La película Atrápame si puedes se basa en la historia de Frank Abagnale Jr., quien antes de cumplir 19 años consiguió millones de dólares haciéndose pasar por piloto de aviones, médico y abogado. Su principal modus operandi era la falsificación de cheques y lo hacía tan bien que el FBI lo reclutó como asesor en ese tipo de fraudes.
