Ingeniería social, la razón del éxito de los ladrones digitales |
Escrito por Édgar Medina |
Jueves, 02 de Julio de 2015 06:30 |
Por estos días resuena el nombre de Jaime Alejandro Solano, bautizado como el 'rey del robo de millas'. Es señalado de hurtar 5 millones de millas a clientes de Diamond Avianca. Solano acudió a la persuasión y al engaño para ganarse la confianza de sus víctimas y llevarlas a entregar sus datos de acceso a las zonas de administración de información de la aerolínea. Así, concretó movimientos delictivos exitosos basados no solo en su dominio de la computación, sino en su capacidad para manipular a las personas. Es decir, acudió a la 'ingeniería social'. A modo de contexto, la ingeniería social ha sido usada no solamente para vulnerar sistemas informáticos, ha sido útil hasta para ganar guerras. Un ejemplo conocido y divulgado por la literatura nos remite a la ciudad de Troya, cuyas murallas eran consideradas infranqueables. No existía arma ni ejército capaz de romper las defensas; vencer por intermedio de la fuerza bélica era un imposible. Sin embargo, los griegos obraron con astucia y construyeron un enorme caballo de madera y lo obsequiaron, en lo que parecía ser un gesto honorable de su parte con sus enemigos. En su interior aguardaba un ejército que asoló la ciudad cuando cayó la noche. Conquistaron lo imposible por medio del ingenio y la manipulación. (Lea: Natalia París y Fonseca, entre las víctimas del rey del robo de millas) De hecho, los troyanos cibernéticos deben su nombre a que su forma de operar se inspira en el caballo de Troya: detrás de una fachada inocente se esconde su propósito abyecto. El usuario descarga una aplicación inofensiva, como lo es un juego o un reproductor de video. Una vez lo hace, abre las puertas de su dispositivo para que el cibercriminal finiquite su ataque, robe información o inutilice el equipo por medio de líneas de código invisibles para el usuario. La lección es clara: el punto más débil de una muralla, bien sea de piedra o cibernética, pueden ser las personas. “Los cibercriminales sacan provecho de varias premisas sociales: todos queremos ayudar; el primer movimiento es siempre de confianza hacia el otro; no nos gusta decir no, y a todos nos gusta que nos alaben”, afirma el experto en seguridad informática de Eset, Pablo Ramos. Un método conocido de ingeniería social es el 'phishing' y fue una de las estrategias usadas por Solano: engañar por medio de correos y sitios web que lucen legítimos. El usuario recibe mensajes que parecen provenir de una empresa de confianza en su bandeja de entrada. En ellos, se suele solicitar o sugerir el ingreso a una dirección web. Cuando la potencial víctima da clic en el vínculo referido, es dirigida a un sitio que puede lucir exactamente igual al de la empresa suplantada. De ese modo, termina ingresando su nombre de usuario y contraseña en un formulario de acceso falso. Esos datos llegan a manos del ladrón cibernético. Sin embargo, esta ha sido solo una de las estrategias de engaño usadas por los cibercriminales. En algunos casos, se han utilizado mecanismos de mayor complejidad. En el 2012, la firma de químicos DSM fue objeto de un engaño que se ha repetido en otras ocasiones: el cibercriminal dejó una USB en el estacionamiento de la compañía. Un empleado la recogió y la conectó en un equipo de la firma. La unidad de almacenamiento contenía un programa malicioso cuyo objetivo era robar contraseñas y nombres de usuarios. Por fortuna, los sistemas de seguridad detectaron la amenaza a tiempo y la bloquearon. De acuerdo con el investigador Stu Sjouwerman, de la compañía KnowBe4, ahora se está usando la voz de las contestadoras automáticas para engañar usuarios. Los cibercriminales lanzan una voz automática que le señala a la persona objeto del ataque que se ha hecho uso de su tarjeta de crédito para comprar un artículo. Después, le sugiere que para notificar el posible robo, debe ingresar los datos de su tarjeta a través del teléfono. La persona, alarmada por el hecho, y confiada porque parece una llamada legítima proveniente de un sistema automático, aporta la información. "En algunos casos, hasta se le dice a la víctima que un asesor autorizado lo llamará una vez concluya el proceso de verificación automatizado", aseguró Sjouwerman. Algunos cibercriminales se han tomado el trabajo de disfrazarse como integrantes de una compañía de mantenimiento de sistemas informáticos para conocer detalles del funcionamiento de las redes y equipos que serán objeto del ataque. Atacantes a la espera Un cibercriminal dedicado puede tomarse meses estudiando a una organización para encontrar un punto débil que le permita acceder a información relevante de sus funcionarios. En una multinacional, cuyo nombre es confidencial, varios de los empleados solían pedir comida china al mismo lugar. El atacante diseñó una página que lucía exactamente igual a la del sitio de comidas y obtuvo los nombres de usuario y claves que usaban. Para fortuna del cibercriminal, varias de las contraseñas que consiguió eran las mismas que los empleados usaban para acceder a su cuenta corporativa. Por eso, se suele sugerir que no se use la misma contraseña para todos los servicios. @EdgarMed en Twitte Fuente y más información: El Tiempo |
Solve for Tomorrow Latam fortalece red de docentes de América LatinaSamsung anuncia el lanzamiento de su plataforma digital Solve for Tomorrow Latam, un espacio para reconocer y dar valor a los docentes. |
Hoy se estrena el documental "Madre Carmen"El documental Madre Carmen de Venezuela, una caraqueña común y extraordinaria, llega a la pantalla de Venevisión, |
Banesco extiende el plazo de postulación al Presupuesto ParticipativoBanesco extiende los plazos de postulación para su Presupuesto Participativo 2024 en el Área Metropolitana de Caracas |
“The Wailers" llegan a CaracasLa emblemática banda jamaiquina se presentará en vivo y con todos sus éxitos el próximo 10 de mayo. |
Farmatodo y Acción Solidaria se alían para Fortalecer el Banco de MedicamentosFarmatodo, ha formalizado la alianza estratégica con Acción Solidaria, reconocida organización dedicada al apoyo a personas en situación de vulnerabilidad, con el objetivo de fortalecer su Banco de Me... |
María Corina Machado y Corina Yoris: La dignidad no se negociaLa insobornable María Corina Machado nos ha demostrado que la dignidad no se negocia. |
Partidos y democratizaciónPosibilidad de transformación del sistema político, alternabilidad, transferencia pacífica de mando, garantía de gobernabilidad a largo plazo… |
Contienda atípicaLa presente contienda electoral es toda una ironía. |
La filosofía: La base de todoEn pocas épocas de la historia la filosofía había sido tan importante y determinante como en la actualidad. |
De la presidenciable Corina YorisLa conocimos telefónicamente, algunos años atrás, cuando tratamos de la posibilidad de un proyecto de ley de creación de la Academia Nacional de Filosofía, |
Siganos en