«Los aficionados hackean sistemas, los profesionales hackean personas».

(Bruce Schneier)

En la noche, aprovechando el tumultuoso ambiente de una fiesta, donde la elite se reúne a compartir lujos y secretos, 007 se escabulle entre la rigurosa seguridad de la gala, y habla con los asistentes como uno más de ellos, mientras bebe de su vodka martini. El porte, el tono de voz, la seguridad sobre lo que dice, la excesiva confianza que demuestra para resolver problemas ajenos, las preguntas adecuadas y el momento correcto para hacerlas, lo tornan en alguien sumamente peligroso para sus enemigos: misión cumplida.

Eso lo vemos en todas las películas de espías, donde el protagonista se revela contra lo que las personas conscientemente resguardan e inconscientemente pueden llegar a revelar. Una palabra, un dato que para quien lo menciona, puede no tener importancia alguna, para un experto atacante puede ser la llave que abra la caja de Pandora de la seguridad personal y del resguardo de la información sensible. Un rapto auto infligido a nuestra privacidad basado básicamente en nuestra ignorancia, ilusiones e impericias para las relaciones sociales y en la capacidad del agresor para aprovecharlas. Pero, ¿cómo es que nos permitimos ser víctimas de todo esto?

Hace poco tiempo, una ilusión visual conocida desde hace décadas, puso a todo el mundo como loco en las redes sociales: el mítico vestido azul y negro, o blanco y dorado respectivamente (si no escucharon sobre ello, les pido usen Google para saberlo o lo vean aquí). Las ilusiones visuales están ahí y nunca dejarán de sorprendernos; seguro que muchos de ustedes habrán visto varias muy interesantes.

Pero desafortunadamente no todas las ilusiones son únicamente visuales; son lo que son: ilusiones, claro, sin embargo, hay algunas que pueden resultar potencialmente peligrosas para nuestra vida cotidiana, y tienen que ver con cierta tendencia a tomar decisiones involucrando aspectos emocionales o pensamientos poco juiciosos de manera automática. Lo cual es un verdadero inconveniente, porque dichas decisiones absurdas, se ejecutan muchas veces dentro del entorno de la seguridad digital calificándolas como «racionales».

Es sabido que en casi todos los ámbitos de nuestra vida, la seguridad nos resulta un tanto incómoda y tendemos a suavizarla o evaluarla bastante mal honestamente. Da igual qué tipo de seguridad sea: seguridad en el sexo (anticonceptivos), seguridad social (hay que pagarla constantemente), o seguridad informática (hackers, firewalls, antivirus). La seguridad en sí, es una incomodidad necesaria que está sujeta en varias ocasiones, a condiciones impulsivas y medidas incoherentes.

Pero volviendo a las ilusiones, díganme: ¿cuántas puntas tiene este objeto? ¿Dos o tres? Cambia dependiendo del lado desde el que lo mires. En esta ilusión no hay demasiado truco: se trata de una manipulación visual de la perspectiva, pero sobretodo, ilustra un pequeñísimo ejemplo, de la manía que tenemos los humanos, de interpretar primero las cosas en base a nuestra experiencia, que en desmenuzar lo que realmente tenemos delante de nosotros, dejándonos engañar al instante. Y lo anterior es debido a que no somos tan racionales como nos gusta creernos; existen muchísimas maneras de engañar a nuestro cerebro.

Maneras de engañar a nuestro cerebro

  • Engaños de costumbre

Cuanto más acostumbrado estás con una amenaza, más expuesto a ella y más habituado a mitigarla, menos peligrosa te parece. No pasa nada con poner la misma contraseña «abc123» en todos lados, al fin, un hacker jamás va a interesarse en tu vida, ¿verdad que no? Por el contrario, tiendes a sobreestimar los riesgos excepcionales o imprevistos y no puedes reaccionar cuando de verdad estás envuelto en una emergencia.

  • Engaños temporales

Infravaloras un riesgo que va creciendo lentamente o que aumenta a largo plazo: «¿Pará qué compro un storage de backup, si mi disco duro es de 10 TB, de estado sólido, muy confiable y nunca me lo voy a acabar...». Sabes de lo que hablo, ¿verdad?

  • Engaños impalpables

La gente sobreactúa frente a riesgos personificados, intencionales o magnificados. ¿Verdad que tu reacción no es la misma si alguien tira tu datacenter con un DDOS intencionadamente, que si ese mismo datacenter se cae porque ha habido un corte de energía eléctrica, por culpa del viento o la lluvia? Caso contrario; tu reacción se queda corta ante los peligros naturales y no los humanos.

Por otro lado, existen entornos psicológicos y sociales que pueden influir a que un engaño sea exitoso.

Algunos de ellos, son:

  • Exploit de familiaridad

Táctica que se aprovecha de la confianza que la gente tiene en sus amigos y familiares, haciéndose pasar por cualquiera de ellos. Un ejemplo claro de esto ocurre cuando un conocido llega a una fiesta con uno de sus amigos. En una situación normal nadie dudaría de que ese individuo pudiera no ser de confianza. Pero ¿de verdad es de fiar alguien a quien jamás hemos tratado?

  • Crear una situación hostil

El ser humano siempre procura alejarse de aquellos que parecen estar locos o enojados, o en todo caso, salir de su camino lo antes posible. Crear una situación hostil, justo antes de un punto de control en el que hay vigilantes, provoca el suficiente estrés para no revisar al intruso o responder sus preguntas.

  • Leer el lenguaje corporal

Un atacante experimentado puede hacer uso y responder al lenguaje corporal. El lenguaje corporal puede generar, con pequeños, detalles una mejor conexión con la otra persona. Respirar al mismo tiempo, corresponder sonrisas, ser amigable, son algunas de las acciones más efectivas. Si la víctima parece nerviosa, es bueno reconfortarla. Si está reconfortada, es altamente susceptible de sufrir un ataque.

  • Validación social

Como seres sociales que somos, buscamos la aprobación del colectivo. Por tanto, si en un email alguien nos pide específicamente que hagamos algo raro, es posible que dudemos. Pero si en esa misma conversación hay varios conocidos más (por ejemplo trabajadores de la misma compañía), sentiremos una presión extra del conjunto y acataremos las normas, vengan de quien vengan.

Ni somos cabalmente racionales ni completamente emocionales e instintivos. Somos ambos «estados», todo el tiempo. Esta es la punta de lanza de aquellos que explotan la Ingeniería Social utilizándola en la superficie de un ataque informático para lograr un objetivo. Sí, a veces usamos más un estado que otro, pero ambos se ven involucrados en la evaluación de amenazas y peligros. La principal complicación viene a que somos orillados a tomar juicios y decisiones sin disponer/conocer los datos o la información necesaria o sin tener la capacidad intelectual para evaluar correctamente. Además nuestra racionalidad se restringe en gran medida por la complejidad de nuestro mundo moderno ocasionándonos diversas limitaciones y obligándonos a requerir entonces nuestra intuición ligada a las propias experiencias personales.

Y cuando una heurística falla, nuestro sentimiento de seguridad se aleja de la realidad misma. A veces prestamos más atención al riesgo mediático o más amenazador, en lugar de al más prevalente pero menos noticioso o llamativo. O creamos riesgos nuevos tratando de eludir los viejos. La seguridad es siempre un compromiso. Y si la severidad del riesgo se malinterpreta, entonces la seguridad será inadecuada. De ahí la importancia de aprender a vencer los sesgos cognitivos a la hora de tomar decisiones de seguridad.

Una leona en traje de oveja

Y hablando del tema, ¿cómo podríamos defendernos ante la Ingeniería social?

La pregunta del millón. Y la respuesta es que no hay un método infalible. Cualquiera, absolutamente cualquiera, es susceptible de caer en un ataque de ingeniería social. Da igual que sea el panadero de la esquina, o Edward Snowden. Si el ataque es lo suficientemente meticuloso, lo suficientemente sofisticado, cualquier persona va a caer.

En esta práctica se recurre, principalmente, a la manipulación de la psicología humana mediante el engaño. Un ingeniero social sabe qué botones pulsar para conseguir que un usuario caiga en su trampa. Se inventa un contexto o una historia totalmente creíble que le permite controlar la interacción con la víctima utilizando características psicológicas humanas como la curiosidad (lo que nos mueve a mirar, a responder y a tocar donde no debemos), el miedo (ante el temor, buscamos ayuda de cualquier manera o caemos más fáciles en las trampas porque no podemos razonar con tranquilidad), la confianza (nos sentimos seguros ante la menor muestra de autoridad). Por eso es que los atacantes estarán atentos a cualquier error que cometas sin que te des cuenta. Aquí reside parte de la efectividad de la ingeniería social, pues lo que dices frente a cualquier persona con la que te encuentres podría no tener relevancia alguna, pero ante un cracker que utiliza este método, el nombre de tu prima o a qué secundaria asististe puede convertirse en la clave de acceso a tu correo, y de ahí al resto de tus servicios financieros, por citar un ejemplo.

Como dice el famoso phreaker y cracker Kevin Mitnick, la ingeniería social tiene cuatro principios por los cuales su efectividad como herramienta cracker resulta inmensurable:

El primero es que ante alguien que inspira el mínimo respeto o incluso lástima, todos queremos ayudar, por lo que nos mostramos dispuestos siempre a dar un poco más de lo que se nos pide. Esto lleva al segundo principio, el primer movimiento es siempre de confianza hacia el otro, que se explica por sí solo. El tercer principio explotado por los expertos en es que no nos gusta decir NO, esto lleva a mostrarnos menos reacios a ocultar información y a cuestionarnos si no estaremos siendo muy paranoicos al negar todo, y en cómo afectará esto en la idea del otro sobre nosotros. El último punto es indiscutible: a todos nos gusta que nos alaben.

Con estos principios sociológicos aplicados juntamente a las técnicas psicológicas mencionadas sobre un individuo, que muestre vulnerabilidad por su ignorancia, despreocupación o impericia, el trabajo de los hackers se vuelve no sólo efectivo, sino también indetectable, ya que generalmente no se dejan trazas útiles para investigaciones, después de atacar eficazmente el elemento humano.

Asaltar al individuo como herramienta cracker, pero también como herramienta para la vida cotidiana, como pueden ver, tiene muchísimos vectores de ataque, ya que para sufrir sus consecuencias no hace falta tener una computadora en el medio.

No sean confiados, estén más atentos e infórmense constantemente recordando, otra vez, que el eslabón más vulnerable de cualquier sistema de seguridad siempre somos nosotros mismos.