Conoces la técnica de la ingeniería social ?
Muy a menudo la gente suele olvidar que que los servicios informáticos están estrechamente ligados a las personas humanas. Hay una frase que dice: «Una cadena se rompe por el eslabón más débil.» Esta afirmación es la clave de muchos quebraderos de cabeza. Con frecuencia encontramos servicios en la red con un nivel de seguridad excelente; contraseñas fuertes, cifrado, restricciones de acceso por IP… pero ¿qué ocurre con la persona que maneja estos servicios?
Precisamente esta es la clave fundamental para que un atacante pueda llevar acabo un ataque informático. La persona humana. De poco sirve tener un sistema robusto si la persona que accede al sistema no tiene unas nociones de seguridad informática básicas. La ingeniería social es la técnica que tiene como objetivo realizar una intrusión aprovechando a la persona como vulnerabilidad del sistema. La ingeniería social no es más que la evolución del engaño aplicado a las nuevas tecnologías. Ya de por sí suele dar buenos resultados a los atacantes, evidentemente si alguien te pide tu clave de acceso a tu cuenta de correo no se la vas a dar sin más, pero si se hace pasar por alguien en quien tu confías (y para esto también hay múltiples técnicas en la red) podría hacer que entraras en una web que simula ser el portal de acceso a tu correo electrónico e introdujeses tu clave en el portal falso. A este tipo de ataques se les conocen como ataques phising. Como ves llevarlos a cabo no requiere más que saber construir una web y hacer uso de la ingeniería social para poder obtener los credenciales de acceso de un individuo.
Un clásico entre los clásicos de uso de la ingeniería social consiste en vulnerar la seguridad del sistema de reseteo de claves mediante la pregunta secreta. Todos sabemos que cuando creamos una cuenta de correo o nos damos de alta en algún portal muy a menudo nos dan distintos métodos de restauración de la clave de seguridad en caso de que la olvidemos. Este sistema puede ser seleccionar una pregunta a la cual no nos cueste trabajo recordar la clave. En no pocas ocasiones un posible atacante intenta hacer uso de este sistema y se encuentra con preguntas del estilo «mi equipo de fútbol favorito», un poco de ingeniería social y el atacante podrá sustraer con facilidad el equipo de fútbol favorito del individuo, responder a la pregunta y conseguir resetear la clave. Ahora el atacante podrá logear en el sistema y acceder a la información privada hasta que el individuo sea consciente de que su clave ha sido cambiada.