Ingeniería Social implica valerse de cualquier medio para obtener información acerca de una o varias personas, para obtener beneficio o causar daño. No se asocia sólo a las acciones ejecutadas en línea, y se aprovecha de la credulidad de las personas. Se presentan sus Principios y algunas Formas conocidas. La metodología empleada en el trabajo fue de investigación documental, complementada por la propia experiencia del autor en el área de estudio. Los resultados más relevantes se refieren a las distintas formas de aplicar Ingeniería Social que existen y las principales medidas para contrarrestar sus ataques. La conclusión a la que se puede alcanzar, es que la principal defensa contra la Ingeniería Social es educar y entrenar a los usuarios en aplicar políticas de seguridad y asegurarse de que sean seguidas.
Realmente la Ingeniería Social no es una nueva disciplina ni nada por el estilo. Existe y se viene aplicando desde el principio de la humanidad. Donde hay embaucadores y timadores, y donde hay incautos e ingenuos, hay Ingeniería Social. Es muy escuchada la expresión de “Todos los días sale un tonto a la calle. El que lo agarre es de él.”
La idea de estas líneas es ofrecer una idea acerca de lo que es la Ingeniería Social, indicar cómo se lleva a cabo la Ingeniería Social, cómo se pueden evitar los ataques a través de la Ingeniería Social, las consecuencias de las apariciones de las llamadas Redes Sociales, y el discutir hasta dónde es ético hacer Ingeniería Social.
Una de las medidas más efectivas para contrarrestar las acciones de la Ingeniería Social, es el conocimiento. Por lo tanto, mientras más se conozca, mejor se estará preparado para no caer en las manos de los Ingenieros Sociales.
¿A cuántas personas conocemos que nos han dicho que le “hackearon” su cuenta de correo? ¿O que alguien hizo “operaciones fraudulentas” con su cuenta de usuario en una empresa? ¿O que sencillamente alguien “se metió” en su Banco Virtual y le “limpió” la cuenta? ¿A cuántas personas no le han “clonado” su tarjeta de crédito o de débito? ¿A cuántas personas le han aplicado el “paquete chileno”?
Pues esas personas han sido víctimas de la llamada “Ingeniería Social”.
Alvin Toffler
Alvin Toffler (en sus obras “La Tercera Ola” o “The Third Wave” y “Cambio de Poder” o “Powershift”, publicadas en 1980 y 1990 respectivamente) habla de las “Olas” o “Eras” de la humanidad, comenzando por la 1ra Ola, donde el poder descansa en quien tiene la fuerza (o grandes ejércitos). Con el advenimiento de la Revolución Industrial llega la 2da Ola, donde quien tiene dinero tiene el poder. En los tiempos modernos, en la llamada 3ra Ola, se dice que quien posee la información tiene el poder.
Y esto último se corrobora al ver que muchas de las personas influyentes actualmente, son personas ligadas a los medios de comunicación, donde precisamente la materia prima con la que trabajan en la información. Podemos citar por ejemplo a Bill Gates (EEUU), Carlos Slim (México), Ted Turner (EEUU), Silvio Berlusconi (Italia), entre otros.
Cambio del Poder a través de las Olas.
¿Y qué tiene que ver eso con la Ingeniería Social? ¿Qué es Ingeniería Social?
Se puede hacer una recopilación de varias definiciones que ayudará a dar una idea más amplia acerca de la “Ingeniería Social”:
Técnica especializada o empírica del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían.[1]
Es el conjunto de conocimientos y habilidades que se requieren para manipular a las personas de tal forma que lleven a cabo una acción que normalmente no harían.[2]
Todo artilugio, tretas y técnicas más elaboradas a través del engaño de las personas en revelar contraseñas u otra información, más que la obtención de dicha información a través de las debilidades propias de una implementación y mantenimiento de un sistema.[3]
Es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.[4]
Son técnicas basadas en engaños que se emplean para dirigir la conducta de una persona u obtener información sensible.[5]
Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que ésta sé de cuenta de que está revelando “información sensible”.[6]
Haciendo un análisis, se puede apreciar, entre las definiciones presentadas hay una serie de elementos comunes, que se pueden identificar:
La presencia de un “Ingeniero Social” o de la persona que busca la información
La presencia de una persona incauta o inocente, que ofrece la información
Herramientas, instrumentos y técnicas para encontrar la información
Un objetivo definido que se pretende alcanzar (ya sea obtener lucro o perjudicar y causar daño)
Entonces, se puede decir que simplemente la Ingeniería Social implica el valerse de cualquier medio para obtener información acerca de una o varias personas, con el fin de alcanzar un beneficio o de causar algún daño. No se asocia sólo a las acciones ejecutas en línea (o en la red), y se aprovecha de la credulidad de las personas.
La Ingeniería Social es tan antigua como la humanidad, ya que desde tiempos inmemorables han existido timadores y embaucadores.
Kevin Mitnick
Y precisamente, el terreno fértil para poder llevar a cabo una Ingeniería Social viene dado por algunos principios señalados por Kevin Mitnick [7], a la sazón uno de los llamados padres de de la Ingeniería Social:
• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir No.
• A todos nos gusta que nos alaben.
Aparte de esos principios, se pueden identificar otros factores que ayudan al Ingeniero Social en su “labor”:
• En sistemas de información o en redes, el eslabón más débil de la cadena siempre es el usuario
• El miedo y la codicia
• La inocencia y la credulidad
Ahora bien, ¿quiénes hacen Ingeniería Social?
En teoría cualquier persona, pero se han identificado varios grupos que llevan a cabo la actividad, como lo son:
Detectives privados
Miembros de organismos policiales y/o de inteligencia gubernamental o comercial
Delincuentes organizados
Hackers[i] y Crackers[ii] (delincuentes organizados, pero orientados hacia la Tecnología de Información)
Personas curiosas que sientan el deseo de obtener información acerca de otras personas
Caricatura "Piso para Cuatro". (Haga clic para agrandar)
Algunas de las formas conocidas de hacer Ingeniería Social son:
Phishing es un término informático que se refiere a un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete al intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas[12]. Se deriva del vocablo inglés “fishing” o pesca, por la metáfora de “pescar” víctimas incautas a través de señuelos.
De hecho, Kevin Mitnick se hizo famoso por su Phishing telefónico, con el cual pudo obtener información sensible de numerosos usuarios, mediante llamadas telefónicas realizadas.
Una de las primeras variantes del Phishing se conoce como “Estafa Nigeriana”, que a su vez tiene al menos cinco (5) tipos:
1. La clásica estafa nigeriana o africana, en la que una supuesta autoridad gubernamental, bancaria o petrolera africana solicita al destinatario los datos de su cuenta bancaria con el objeto de transferir a ella grandes sumas de dinero que desean sacar del país, por supuesto a cambio de una sustanciosa comisión. Caso de aceptar y tras una serie de contactos por correo electrónico e incluso por fax o teléfono, en un momento dado se solicita al incauto algún desembolso con el que poder hacer frente a gastos inesperados e incluso sobornos. Por supuesto ni las cantidades adelantadas serán nunca restituidas, ni se recibirán jamás los beneficios prometidos.
2. En el timo de la lotería, el mensaje indica que el destinatario ha obtenido un premio de la lotería, aún cuando no haya participado en sorteo alguno. A partir de aquí la mecánica es similar al caso anterior, tras sucesivos contactos se acaba solicitando algún tipo de desembolso al efecto de sufragar los gastos ocasionados por algún ineludible trámite.
3. El Tío de América, consiste en un mensaje de correo electrónico en el que los supuestos albaceas de un desconocido y adinerado pariente anuncian su fallecimiento y notifican al destinatario su inclusión entre los beneficiarios del testamento. Como en los otros casos, en algún momento del proceso los timadores acabarán solicitando que el incauto afronte algún tipo de gasto. Es de reseñar que en este caso se utilizan técnicas de ingeniería social, ya que el apellido del difunto se hace coincidir con el del destinatario.
4. El prisionero español o peruano. Este timo tiene un origen muy anterior a los previos, a comienzos del siglo XX. En esta versión, uno de los timadores, el confidente, contacta con la víctima para explicarle que está en contacto con una persona muy famosa e influyente que está encerrada en una cárcel española (o según versiones más modernas, de algún país africano) bajo una identidad falsa. No puede revelar su identidad para obtener su libertad, ya que esa acción tendría repercusiones muy graves, y le ha pedido al confidente que consiga suficiente dinero para pagar su defensa o fianza. El confidente ofrece a la víctima la oportunidad de aportar parte del dinero, a cambio de una recompensa extremadamente generosa cuando el prisionero salga libre. Sin embargo, una vez entregado el dinero, surgen más complicaciones que requieren más dinero, hasta que la víctima ya no puede o quiere aportar más. En ese momento se acaba el timo y el confidente desaparece.
5. La venta del teléfono móvil (celular) en eBay. En este fraude, los timadores localizan a usuarios particulares de eBay que tengan a la venta teléfonos móviles. Ofrecen una puja muy alta en el último momento, ganando así la subasta. A continuación se ponen en contacto con el vendedor para explicarle que desean enviar el móvil a un supuesto hijo que está trabajando como misionero en Nigeria pero que el pago se efectúe mediante Paypal, por lo que necesitan conocer la cuenta del vendedor para depositar el dinero. A continuación envían un falso mensaje con las cabeceras falsificadas para que parezca que proviene de Paypal, confirmando que el pago se ha realizado. Si el vendedor intenta comprobarlo desde el enlace que se da en el mensaje será reenviado a una web falsa con la apariencia de ser de Paypal, donde se les explica que, por motivos de seguridad, el pago, aunque ha sido realizado, no será transferido a su cuenta hasta que no se realice el envío. Obviamente, si envía el móvil al comprador, nunca recibirá el dinero. [13]
Estafa Nigeriana. (Haga clic para agrandar)
Caricatura de Estafa Nigeriana (haz clic para agrandar)
A pesar de parecer un correo legítimo enviado por Yahoo!, la dirección no es la correcta.
También se presenta la modalidad de Lavado de Dinero mediante el Phishing.
Empresas ficticias reclutan teletrabajadores por medio de e-mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.[14]
Los Ingenieros Sociales gustan de usurpar o suplantar identidades en cuentas de correo ya existentes. Para eso se sirven de los llamados “xploits”, que no son más que portales que envían tarjetas postales (por ejemplo de Gusanito.com) a las víctimas potenciales, y que antes de ser leídas pide que se introduzca la contraseña de la cuenta de correo. Por supuesto que esa contraseña se le envía de regreso al Ingeniero Social, quien luego toma el control del buzón de correos respectivo.
Correo recibido, con direcciones modificadas de los enlaces salientes.
Xploit (Haga clic para agrandar)
Otra variante es el Phishing bancario, en el cual se envía un correo electrónico a las víctimas potenciales, solicitando que sean actualizados sus datos personales. Por supuesto que lo dirige a una dirección falsa, donde se capturan datos sensibles de la víctima que serán usados para vaciar sus cuentas bancarias.
Phishing Bancario (Haga clic para agrandar)
Phishing Bancario (Haga clic para agrandar)
Phishing Bancario (Haga clic para agrandar)
Phishing Bancario. Nótese la dirección en la barra de navegación. (Haga clic para agrandar)
Phishing Bancario (Haga clic para agrandar)
El ya mencionado Phishing telefónico, que mediante la voz agradable de un hombre o mujer, que supuestamente pertenece al equipo de soporte técnico de nuestra empresa o de nuestro proveedor de tecnología, requiere telefónicamente de información para resolver un inconveniente detectado en nuestra red.
El “spear phishing” es una variante del Phishing, Se traduce como “pesca de arpón” porque es un ataque de Phishing dirigido a un objetivo específico.
Los timadores de “spear phishing” envían mensajes de correo electrónico que parecen auténticos a todos los empleados o miembros de una determinada empresa, organismo, organización o grupo.
Podría parecer que el mensaje procede de un jefe o de un compañero que se dirige por correo electrónico a todo el personal (por ejemplo, el encargado de administrar los sistemas informáticos) y quizá incluya peticiones de nombres de usuario o contraseñas.
En realidad, lo que ocurre es que la información del remitente del correo electrónico ha sido falsificada. Mientras que las estafas de suplantación de identidad (phishing) tradicionales están diseñadas para robar datos de personas, el objetivo de las de “spear phishing” consiste en obtener acceso al sistema informático de una empresa.
Si responde con un nombre de usuario o una contraseña, o si hace clic en vínculos o abre datos adjuntos de un mensaje de correo electrónico, una ventana emergente o un sitio web desarrollado para una estafa de “spear phishing“, puede convertirse en víctima de un robo de datos de identidad y poner en peligro a su organización.
Las estafas de “spear phishing” también se dirigen a personas que utilizan un determinado producto o sitio web. Los timadores utilizan toda la información de que disponen para personalizar al máximo posible la estafa de suplantación de identidad (phishing). [15]
El Ingeniero Social hace uso de la técnica del paquete chileno. Esa es una “estafa que consiste en dejar caer un rollo de papeles que tiene en su exterior semejanza con un fajo de billetes. Cuando un transeúnte se acerca a recogerlo, el estafador (paquetero) finge hacer lo mismo y luego, en vez de repartirse el supuesto dinero, usa algún pretexto para convencer a la víctima de que esta le entregue algo de valor y se quede con el fajo”[16].
También puede usar el truco de la tarjeta de crédito atascada en el Cajero Automático para conocer el número de dicha tarjeta y la clave secreta.
Algo que ya se ha vuelto muy común en la actualidad es la clonación de tarjetas de crédito o de débito. Se debe tener mucho cuidado y no perder de vista la tarjeta con la que se vaya a cancelar alguna compra en cualquier establecimiento.
