lunes, 19 de agosto de 2013

Educación y prevención frente al arte del engaño de la ingeniería social

"Social engineering", por mishozoo
El mes pasado asistí a un curso de Selva Orejón en el que conocí mejor el concepto de ingeniería social, un término asociado a la seguridad informática. Se trata de un conjunto de técnicas de engaño para que los usuarios en Internet den información confidencial o sensible, aprovechando la confianza de las personas y lo predecibles que pueden ser bastantes de nuestros comportamientos o reacciones por tendencia natural. Pueden llegar incluso a pedir ayuda para alguien con problemas, por ejemplo, con un mensaje que deba difundirse, y que habitualmente suele ir acompañado de virus, p. ej.: "Se necesita sangre del tipo X para un niño con una enfermedad rara, ingresado en el hospital Z. Hazlo llegar a todos tus contactos...". Mediante la ingeniería social pueden llegar a conocer mucho sobre la víctima, haciéndola cada vez más indefensa, dado que van sabiendo lo suficiente para elegir la forma de proceder con cada persona.
Lamentablemente la ingeniería social es una práctica muy extendida, y hay por tanto muchísima casuística: los ataques más conocidos, y de los que más está advertida la gente, son los de phising (unos de los más peligrosos).

Pero existen otros no tan conocidos y aparentemente más inocentes, sobre los que es necesario advertir, muchos de los cuales han encontrado en las redes sociales un filón.
Paco Sepúlveda, en su estupenda presentación "Facebook, riesgos y amenazas" comenta algunos de los trucos de ingeniería social más habituales y/o novedosos, que se utilizan en la mayor red social del mundo. Aquí apunto cinco de estos ejemplos:
- Self Inflicted Javascript Injection: Convencen al usuario, ofreciéndole algún tipo de beneficio (suele ser alguna herramienta o aplicación informática) para que copie y pegue código en su navegador.
- Aplicación "¿Quién te conoce mejor?": Se supone que un amigo ha contestado unas preguntas sobre ti. Para saber que ha contestado, te pide entrar en el enlace y dar una serie de información y permisos suficientes para enviarnos correos o publicar por nosotros en el muro.
- Enlace "¡He encontrado un vídeo en el que apareces tú!": Mentira. Al hacer clic tendremos que instalar un programa de vídeo que vendrá con sorpresa: una buena ración de malware.
- Nos hemos quedado tirados en (cualquier país): Supuestamente es el mensaje de un amigo que nos pide dinero para regresar. No cuesta nada pegarle un toque y asegurarte. Probablemente tu amigo haya dado permiso a alguna aplicación, avísale y que desinstale las prescindibles. Y por supuesto, que lo denuncie a la red social.
- Conseguir el botón de "Ya No Me Gusta": Facebook nunca utilizaría el perfil de un amigo para enviarte un mensaje y decirte que tienes que hacer clic en un enlace para activar un botón nuevo de la red social... Es un engaño masivo.

Mis principios básicos para combatir en la medida de lo posible estas técnicas es, primero, conocer que estas prácticas se llevan a cabo; segundo, ser plenamente conscientes cada vez que concedemos información o permisos, y tercero, si es posible, hacerlo cuando sea 'imprescindible', aunque la mayoría de las veces que sospechas o dudas mínimamente no compensa el riesgo que asumimos, y que nunca debemos subestimar, que no nos engañen las apariencias. Creo que no se trata tanto de convertirnos en unos sufridores desconfiados, sino de ser prevenidos y no tan impulsivos: entrenarnos en seguridad debe ser una responsabilidad.
Todos podemos ser víctimas de este tipo de ataques, pero con formación, podemos movernos más tranquilamente por las redes sociales, y ser bastante menos vulnerables hacia estas técnicas.

Comparte esta entrada

votar
Blogging tips