Generación de claves seguras : contraseñas a prueba de hackers (III)

Publicado el miércoles, 31 de Enero de 2011 por Antonio Navarro Navarro

Los consejos respecto a la longitud, complejidad y tiempo de vida de las contraseñas que se daban en la primera y segunda parte de este artículo no ofrecen protección contra el que es, sin lugar a dudas, el sistema de ataque más poderoso y que ofrece un mejor resultado : la ingeniería social.

Ingenieria social

Un ordenador puede tener instalado un excelente cortafuegos, un sistema antivirus de última generación e incluso un mecanismo de cifrado de datos de alto nivel, pero si no se protege uno de los elementos claves del sistema la seguridad no está garantizada. Ese elemento es el usuario, y la ingeniería social es la práctica de obtener información confidencial a través de los usuarios legítimos de un sistema.

Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera...
Albert Einstein (1879 - 1955)

El factor humano es el eslabón más débil en un sistema de seguridad. Mediante la manipulación y el engaño es relativamente sencillo obtener la información confidencial necesaria para hacer que todas las medidas de seguridad sean inútiles.

Kevin Mitnick que se define a si mismo como un hacker sin malas intenciones y es uno de los ingenieros sociales más famosos de los últimos tiempos, dice que la ingeniería social se basa en estos cuatro principios:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir no.
  • A todos nos gusta que nos alaben.

Una vez planteados esos principios en los que se basa la ingeniería social, es necesario ver con detalle en qué consisten esas técnicas de manipulación. Con unos cuantos ejemplos reales de este tipo de ataques es fácil identificar sus características principales:

  • ¿Si una web le ofreciera acceder al historial de conversaciones de todos tus contactos de MSN de forma sencilla, introduciría tus datos de acceso a Microsoft Messenger?
  • ¿Si su banco le indicara que tiene que confirmar un ingreso en su cuenta de una cantidad de dinero, seguiría sus instrucciones para hacerlo?
  • ¿Si recibiera una llamada telefónica de su compañía telefónica para confirmar sus datos bancarios y evitar la baja de su línea se los proporcionaría?
  • ¿Si le solicitaran pagar una pequeña cantidad de dinero para realizar los trámites para cobrar un premio de lotería de un país extranjero, lo haría?

Todos los ejemplos anteriores son reales y seguro que en alguna ocasión ha recibido un mensaje de correo electrónico o una llamada parecida a los que se indican en ellos. En todos los casos se sigue una misma pauta: la posibilidad de alcanzar algo deseable (acceso a datos confidenciales, conseguir dinero, evitar la desconexión del teléfono, etc.) mediante un mecanismo sencillo (acceder a una web, indicar un número de cuenta, etc.) y originado por lo general en una fuente de confianza (nuestro banco o compañía telefónica)

Como evitar ser víctima de la ingeniería social : consejos útiles

La mejor herramienta para protegerse de los ataques de ingeniería social es el sentido común. Con un pequeño esfuerzo de análisis de los ejemplos anteriores puede encontrar rápidamente preguntas sin respuesta: ¿Es posible que un servicio usado por millones de usuarios como MSN tenga una vulnerabilidad que permita acceder al historial de conversaciones? ¿Es creible que una entidad bancaria necesite confirmación para recibir dinero en una cuenta? ¿De verdad cree que una compañía telefónica puede perder sus datos bancarios? ¿Es posible ser el ganador de un premio de lotería sin haber jugado?

¿Saben? La primera regla de un timo es que no se puede engañar a un hombre honrado. No se ha hecho nunca. No puede suceder. Imposible. Solo funciona si alguien quiere algo a cambio de nada. ¿Y qué hacemos? Pues le damos nada a cambio de algo.

Unos pequeños consejos pueden ayudarle a identificar las estrategias usadas en la ingeniería social y por tanto a evitar ser víctima de este tipo de ataques :

  • Nunca revele por teléfono o e-mail datos confidenciales (como claves de acceso, números de tarjetas de crédito, cuentas bancarias, etc.).
  • Nunca haga click en un enlace a una página web que le llegue a través de un e-mail en el que le piden datos personales.
  • Desconfíe de cualquier mensaje de e-mail en el que se le ofrece la posibilidad de ganar dinero con facilidad.
  • Si es usuario de banca electrónica o de cualquier otro servicio que implique introducir en una web datos de acceso, asegúrese de que la dirección de la web es correcta.
  • No confíe en las direcciones de los remitentes de e-mail o en los identificadores del número llamante en el teléfono: pueden falsearse con suma facilidad.
  • Instale en su ordenador un buen software de seguridad que incluya si es posible funcionalidad antivirus, antiphising, antispyware y antimalware para minimizar los riesgos.
  • Utilice el sentido común y pregúntese siempre que reciba un mensaje o llamada sospechosa si alguien puede obtener algún beneficio de forma ilícita con la información que le solicitan.

Por último una breve reflexión: la ingeniería social existe desde que el hombre es hombre : a fin de cuentas simplemente se trata de conseguir que otra persona haga o diga lo que nosotros deseamos. Además, mucho antes del nacimiento de la red Internet ya se utilizaban esas técnicas con propósitos deshonestos y con excelentes resultados, aunque nadie las acuñó con el término de "Ingeniería Social" : eran conocidas con nombres que seguro que nos suenan como "El timo de la estampita", "El tocomocho", "El nazareno"...

Escuchar, preguntar, idear, proponer, planificar, ejecutar y triunfar.

Si tiene algún proyecto interesante en el que podamos colaborar puede contactar conmigo en el teléfono 691.305.876 a cualquier hora del día o usar el formulario de contacto que encontrará en el apartado correspondiente de esta web.