Gema Juanes, a la que tuve el gusto de conocer hace ya unos cuantos años en la Rooted, me escribió a finales del año pasado para acordar mi participación en la próxima edición del Security Forum de Barcelona, que se celebraba este año.

El COVID19 hizo acto de presencia poco después, así que el evento se ha ido posponiendo hasta que al final ha acabado por cancelarse.

Y me he dado cuenta de que tenía por ahí perdidos los apuntes de la quedada que hicimos en su día por el centro de Madrid para que me hiciera unas cuantas preguntas y sacáramos algunas fotos de recurso, que han publicado estos días por la revista (ES).

Dejo también por aquí la entrevista que me hizo por si a alguien le resulta interesante hablando, como no, de ingeniería social.

¿Qué es la ingeniería social?

Básicamente son todo el conjunto de herramientas y técnicas que permiten a una persona engañar a otra. En el ámbito de la ciberseguridad decimos normalmente que son ese tipo de ataques cuyo objetivo es la persona que está a los mandos de la máquina: el operario de una instalación, el secretario, el administrativo de turno, el CEO…

Se le ataca a esa persona, aunque quizás el objetivo final sea obtener acceso a los recursos informacionales o económicos de la organización.

¿Qué tipos de ataque vía internet son los más utilizados?

Internet realmente es solo un canal, y es que los ataques de ingeniería social, al tener como objetivo las personas, se repiten en prácticamente cualquier canal.

¿Cuáles son los más habituales? Pues los fraudes online. Tanto los que se envía vía email, como los que se realizan por redes sociales. Que si el ataque del príncipe nigeriano (una persona hereda o encuentra una gran fortuna y casualmente la quiere compartir contigo), que si el de la novia rusa (una muchacha extranjera de muy buen ver se ha enamorado de ti y quiere que os conozcáis en persona), que si el phishing del albarán o factura adjunta (una empresa que puede ser real te envía un correo con un adjunto en PDF o DOC argumentando la entrega de una factura o albarán, y que por supuesto viene con regalo)

A mi de vez en cuando me da por seguirles el rollo a estos cibercriminales, y así puedo explicar en tono de humor cómo funcionan este tipo de ataques de ingeniería social. De hecho en su día publiqué un artículo sobre mi amor imposible con la Capitana del Ejército de Estados Unidos Kristen Griest, y también el cómo intentaron engañar a mi madre haciéndole pensar que le compraban un robot de cocina que tenía en venta en una plataforma de segunda mano.

¿Cómo las empresas pueden prepararse para no sufrir este tipo de ataques?

Hay dos acercamientos:

  • El formativo: Que se basa en hacer talleres inhouse en el que les exponemos a la plantilla a ataques reales, para que sepan diferenciarlos del resto de contactos que son legítimos.
  • El técnico: Que empieza, al menos, por migrar el ecosistema a un servicio que ya cuenta con las garantías suficientes, como es el caso de GSuite. Simplemente con este cambio (en vez de usar el correo corporativo de turno, utilizaremos el entorno de trabajo de Google), minimizamos hasta el extremo la recepción del correo potencialmente dañino (el 99% del SPAM, entre donde está la mayor parte de ataques de ingeniería social). Y de paso, también eliminamos de un plumazo el riesgo a que los activos informacionales de la organización sean víctima de un ransomware, habida cuenta de que por cómo están diseñados, los documentos de la suite ofimática de Google no pueden ser cifrados (y si alguno creado con otra herramienta y subido a nuestro Drive es cifrado, siempre podremos volver a una versión anterior del mismo).

Esto es una de las partes de mi trabajo como Consultor de Presencia y Reputación online que más me toca implementar en las organizaciones, la verdad. Hay mucha PYME que todavía sigue alojando su correo en un servidor físico o lo tiene subcontratado a un administrador de sistemas que a su vez subcontrata el espacio en un servidor físico de alguna otra empresa, y eso es caldo de cultivo para el desastre.

¿Cuáles son los principios básicos de la ingeniería social?

Escribí ya hace tiempo un artículo al respecto.

Lo más gracioso de todo es que son exactamente los mismos que en su día definió Robert Cialdini como los 6 principios de la persuasión:

  1. Reciprocidad: Los humanos somos por naturaleza recíprocos con nuestros actos. Si alguien nos ofrece algo, tendemos a ofrecerle también algo nosotros. Si alguien nos trata mal, estaremos más susceptibles a pagarle con la misma moneda. Un «instinto» social muy arraigado en nuestra naturaleza, y por ende, fácilmente manipulable. La próxima vez que alguien te ofrezca un trabajo de ensueño desde tu casa en el que solo tienes que meter dinero de una cuenta a otra y te quedas un % por cada transacción, desconfía. Si es tan sencillo de hacer, ¿por qué no lo hacen ellos?
  2. Urgencia: Un clásico entre los clásicos. ¡Aproveche esta oferta! ¡Hasta fin de existencias! ¡Durante los próximos cinco minutos…! Es uno de los mantras habituales de las ventas, en este caso extrapolado al cibercrimen. La mayoría de los ataques de ingeniería social, sobre todo los de hunting, enganchan a las víctimas por medio de la urgencia. Tienes 24 horas para enviarme X datos del banco o Hacienda te pondrá la consabida multa. Comparte ahora mismo este artículo entre todos tus contactos de Facebook y ganaras 100 de oro para gastar en esta aplicación… ¿seguimos?
  3. Consistencia: Somos animales de costumbres. Si hemos dado nuestra palabra (y la acción no nos va a ocasionar un grave trastorno), tendemos más a cumplir que a no hacerlo. El caso de ingeniería social más habitual utilizando este principio es aquel en el que un miembro del equipo técnico de un servicio (o de una empresa) te pide que realices X labores habituales. Aunque una de ellas sea «rara de cojones», como ya te has comprometido la acabarás haciendo junto al resto. Y el criminal ya tendrá seguramente acceso a los servicios de la compañía en tu nombre.
  4. Confianza: Nuestras escasas defensas bajan cuando nuestro interlocutor nos cae bien o está alineado con nuestros intereses. Por no hablar de nuevo de la novia rusa, no es raro que altos directivos o trabajadores con acceso a contenido o servicios confidenciales (gobierno, corporaciones, política, militar,…) sean «seducidos» por supuestos perfiles semejantes (no tienen porqué ser del sexo opuesto, aunque tiende a ayudar) que se ganan su confianza lo suficiente como para que tengan un descuido y puedan aprovecharse de él. A continuación es cuando esa chica morena, ejecutiva de cuentas de X institución, se transforma en un maromo del este que te extorsiona con desvelar contenido inapropiado enviado la noche anterior sino cumples al milímetro sus exigencias.
  5. Autoridad: Si el becario te pide las credenciales de acceso de un servicio, seguramente lo mires con desconfianza. Pero si quien lo hace es el jefe, la cosa cambia. La usurpación de identidad juega un papel decisivo, bien sea real (robo del perfil digital del jefe) o aparentada (clonado de perfiles o emails muy parecidos).
  6. Validación social: Como seres sociales que somos, buscamos la aprobación del colectivo. Por tanto, si en un email alguien nos pide específicamente que hagamos algo raro, es posible que nos lo pensemos. Pero si en esa misma conversación hay varios conocidos más (por ejemplo trabajadores de la misma compañía), y ninguno rechista, entenderemos que no hay ningún problema y acataremos las normas, vengan de quien vengan.

¿Qué estrategias de ingeniería social utilizan hoy en día los hackers?

Ojocuidao, que los hackers son los buenos (alguien que ama tanto un sector del conocimiento como puede ser la informática que es capaz de llevar sus herramientas un paso más allá, hacia algo para lo que a priori no fueron creadas). Entiendo que te refieres a los cibercriminales, que pueden o no ser hackers (la mayoría no lo son, simplemente apretan botones en herramientas de cibercrimen que terceros han creado para sacar tajada).

Y después de dejar claro esto, básicamente hay dos grandes grupos:

  • Hunting: Son aquellos ataques que buscan obtener información específica del objetivo con la menor exposición directa posible. Con el menor contacto. En la práctica hablamos de ataques de ingeniería social enfocados a obtener X dato (normalmente credenciales de acceso a un servicio o cuenta, activación o desactivación de alguna configuración que puede complicar el objetivo final o como apoyo a un ataque mayor, dirigido y persistente), de forma que el atacante se pone en contacto de alguna manera con la víctima, y la insta a realizar una acción cuyo desenlace es el pretendido inicialmente. Y el mejor ejemplo son las campañas de phishing por email, en el que únicamente se suele tener contacto directo con el cibercriminal una sola vez (el email que te envía haciéndose pasar por una entidad o conocido, habitualmente para que insertes tus datos en una supuesta web legítima).
  • Farming: Pues justo lo contrario. En el hunting lo que se busca es una exposición mínima. Obtener algo y desaparecer. Con el farming el objetivo es mantener el engaño el mayor tiempo posible, para exprimir al máximo el conocimiento, recursos o posición de la víctima. Para ello, se suele recurrir a granjas de identidades, que por lo general han sido robadas con anterioridad. Esa novia rusa que se enamora de ti después de haberte visto por alguna red social, ese príncipe nigeriano sin descendencia que casualmente te ha elegido entre los miles de millones de personas de todo el mundo para que heredes su numerosa fortuna… eso sí, después de pagar unos mínimos costes de aduana/retenciones fiscales/seguros,… ¿Te suena de algo?

¿Crees que internet se ha convertido en un terreno ideal para dar rienda suelta a las técnicas de ingeniería social? 

Es, como te decía, un canal más.

Hace años en la calle estaba el timo de la estampita. Ahora simplemente con Internet ese mismo timo lo tenemos pero en derroteros digitales.

Sigue siendo exactamente lo mismo, pero ocurre en una red social, en un email, en un foro, en un servicio de mensajería instantánea… Y pasa lo mismo con las llamadas telefónicas, que no es precisamente una tecnología moderna.

En fin, que la ingeniería social va a seguir existiendo y siendo tan exitosa sencilla y llanamente porque el eslabón más débil de la cadena siempre es el humano.

El canal por el que se lleve a cabo es lo de menos. Ahora es Internet porque es lo que tenemos, pero mañana será lo que venga, y pasado, más de lo mismo.