Los consejos respecto a la longitud, complejidad y tiempo de vida de las contraseñas que se daban en la primera y segunda parte de este artículo no ofrecen protección contra el que es, sin lugar a dudas, el sistema de ataque más poderoso y que ofrece un mejor resultado : la ingeniería social.
Un ordenador puede tener instalado un excelente cortafuegos, un sistema antivirus de última generación e incluso un mecanismo de cifrado de datos de alto nivel, pero si no se protege uno de los elementos claves del sistema la seguridad no está garantizada. Ese elemento es el usuario, y la ingeniería social es la práctica de obtener información confidencial a través de los usuarios legítimos de un sistema.
Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera...
Albert Einstein (1879 - 1955)
El factor humano es el eslabón más débil en un sistema de seguridad. Mediante la manipulación y el engaño es relativamente sencillo obtener la información confidencial necesaria para hacer que todas las medidas de seguridad sean inútiles.
Kevin Mitnick que se define a si mismo como un hacker sin malas intenciones y es uno de los ingenieros sociales más famosos de los últimos tiempos, dice que la ingeniería social se basa en estos cuatro principios:
Una vez planteados esos principios en los que se basa la ingeniería social, es necesario ver con detalle en qué consisten esas técnicas de manipulación. Con unos cuantos ejemplos reales de este tipo de ataques es fácil identificar sus características principales:
Todos los ejemplos anteriores son reales y seguro que en alguna ocasión ha recibido un mensaje de correo electrónico o una llamada parecida a los que se indican en ellos. En todos los casos se sigue una misma pauta: la posibilidad de alcanzar algo deseable (acceso a datos confidenciales, conseguir dinero, evitar la desconexión del teléfono, etc.) mediante un mecanismo sencillo (acceder a una web, indicar un número de cuenta, etc.) y originado por lo general en una fuente de confianza (nuestro banco o compañía telefónica)
La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común. Con un pequeño esfuerzo de análisis de los ejemplos anteriores puede encontrar rápidamente preguntas sin respuesta: ¿Es posible que un servicio usado por millones de usuarios como MSN tenga una vulnerabilidad que permita acceder al historial de conversaciones? ¿Es creible que una entidad bancaria necesite confirmación para recibir dinero en una cuenta? ¿De verdad cree que una compañía telefónica puede perder sus datos bancarios? ¿Es posible ser el ganador de un premio de lotería sin haber jugado?
¿Saben? La primera regla de un timo es que no se puede engañar a un hombre honrado. No se ha hecho nunca. No puede suceder. Imposible. Solo funciona si alguien quiere algo a cambio de nada. ¿Y qué hacemos? Pues le damos nada a cambio de algo.
Unos pequeños consejos pueden ayudarle a identificar las estrategias usadas en la ingeniería social y por tanto a evitar ser víctima de este tipo de ataques :
Por último una breve reflexión: la ingeniería social existe desde que el hombre es hombre : a fin de cuentas simplemente se trata de conseguir que otra persona haga o diga lo que nosotros deseamos. Además, mucho antes del nacimiento de la red Internet ya se utilizaban esas técnicas con propósitos deshonestos y con excelentes resultados, aunque nadie las acuñó con el término de "Ingeniería Social" : eran conocidas con nombres que seguro que nos suenan como "El timo de la estampita", "El tocomocho", "El nazareno"...
Si tiene algún proyecto interesante en el que podamos colaborar puede contactar conmigo en el teléfono 691.305.876 a cualquier hora del día o usar el formulario de contacto que encontrará en el apartado correspondiente de esta web.
Si desea contactar conmigo lo puede hacer a través del teléfono 691.305.876 o usando el formulario de contacto.