El caballo de Troya del siglo XXI
La ciudad de Troya fue conquistada alrededor del año 1300 a.C., tras diez años de asedio. El plan de los griegos para su conquista incluía el caballo de Troya, que guardaba en su interior los soldados que acabarían ocupando la ciudad. Lo que parecía un obsequio, resultó ser la trampa que catapultaría el sitio de Troya. Por esto, los softwares maliciosos se llaman Troyanos: aparentemente inofensivos, infectan nuestro sistema informático cuando se ejecutan.
La Ingeniería Social es el nuevo caballo de Troya. Se puede definir como una forma de ciberataque que depende, en gran medida, de la interacción humana. Suele implicar el engaño a las víctimas para ganar su confianza y que rompan procedimientos normales de seguridad, siendo ellos mismos los que cedan datos e información a los atacantes por su propia voluntad.
Un escenario de caballo de Troya se puede dar a través de las redes sociales…
¿Cómo actúa la ingeniería social en las redes sociales?
El aumento del uso de redes sociales está directamente relacionado con la creada necesidad de los usuarios de compartir información personal de manera constante. Este banco de datos, tan visible y expuesto, es de gran importancia para los atacantes, pues, por estadística, siempre habrá alguien que muerda el anzuelo.
Los ataques de ingeniería social han crecido. La estrategia que utilizan los ciber-delincuentes supone un gran trabajo de investigación para ellos, lo que les lleva también a ser cada vez más eficientes:
- Primero reúnen información del mercado social, creando un perfil para sus objetivos (ya sea en Twitter, Linkedin, Facebook,…).
- Consolidan un plan de ataque para transmitir fiabilidad.
- Recolectan información de un particular, entienden su comportamiento (temas de interés, amigos, etc.), y ganan su confianza.
- El atacante hace su primer acercamiento (con un falso perfil, agregándole, etc.) teniendo ya definida la táctica de engaño que va a utilizar.
- Cuando la víctima lo considera su amigo, el delincuente se muestra cercano y siempre intentará sonsacarle aún más información a través de mentiras.
- Una vez siendo “amigos”, el cazador pedirá datos más personales (correo electrónico, dirección, teléfono,…).
- En este punto, la identidad podría suplantarse de una manera más eficiente o se le mandaría un enlace llamativo que, al abrirlo, ejecutase un troyano que infectara el ordenador y diera acceso a las cuentas del cazado.
- El atacante borra todo rastro, abandona perfiles y no vuelve a hablar con la víctima.
¿De qué principios se aprovecha la ingeniería social?
Para conseguir lo anterior, los ciber-criminales se aprovechan de la buena voluntad de las personas a través de 4 principios básicos que, según Kevin Mitnick, uno de los hackers y phreakers (expertos en manipulación de teléfonos) más conocidos de EEUU, todos cumplimos:
- Todos queremos ayudar.
- El primer sentimiento es siempre de confianza hacia el otro.
- No nos gusta decir “NO”.
- A todos nos gusta que nos alaben.
¿Cómo evitar que nos cacen?
Desgraciadamente, no hace falta ser un experto para llevar a cabo ataques de ingeniería social, por lo que no existen sistemas informáticos que nos ayuden a prevenir estas situaciones.
La seguridad de las redes no depende de un software, sino de la capacidad que tengan los usuarios de protegerse a sí mismos utilizando el sentido común. No aceptar a cualquiera como amigo, controlar las publicaciones que hacemos en nuestras redes y no abrir archivos de personas que no son de confianza.
Por lo tanto, somos los únicos capaces y responsables de saber interpretar de forma adecuada las políticas de seguridad de nuestra información personal y hacer que se cumplan.
Si quieres saber más sobre la Ingeniería Social, aquí te dejamos un vídeo de mrHouston sobre Seguridad Informática e Ingeniería Social. También puedes consultar nuestros consejos sobre ciberseguridad para evitar estos ataques.