sábado, 21 de noviembre de 2009

Morbo, Ingenuidad e Ingeniería Social

Por: Martín Hoz (Fortinet) - Noviembre de 2009

Hace al rededor de 10 años, me tocó dar una pequeña charla dentro del marco del Día Internacional de la Seguridad en Cómputo (DISC) sobre ingenería social. Para prepararme, recuerdo haber leído lo que pude encontrar sobre el tema, pero una de las cosas que no pude localizar fué una definición clara y a falta de algo mejor, usé una lámina donde definía a la Ingeniería Social como la "Inducción a la comisión de actos que favorecen un ataque. Que la víctima haga algo, diga algo o deje de hacer algo", definición que fué inclusive citada un par de años mas tarde en un artículo de Mercé Molist, una periodista española que se ha dedicado ya por años a seguir el movimiento de hackers, crackers, similares y conexos en el mundo de habla hispana.

En aquellos años, el SPAM no era el problema que hoy es, la Web estaba relativamente poco extendida, la gente no se conocía en foros abiertos, "en el chat" o "el messenger", y por tanto, para hacer ingeniería social se necesitaba algo de ingenio, tanto para tramarla como para ejecutarla. Por ejemplo, si uno accedía a Internet vía un sistema Unix, VMS o similar, uno podría usar el protocolo "Talk" para entablar conversaciones con alguien de otro servidor, pero se sabía que ese "alguien" del otro lado de la lìnea realmente existía (en el ambiente académico, prevaleciente en los inicios de la expansión de Internet, tener una cuenta en un servidor involucraba demostrar la pertenencia a la institución dueña del servidor). Entrar a un foro tipo BBS involucraba cierta "autenticación" hacia el mundo real...

Hoy las cosas han cambiado: cualquiera puede tener uno o varios servidores del servicio que sea usando PCs en su casa, con anchos de banda y poder de cómputo que hace 10 o 15 años solo podían soñar organizaciones con presupuestos millonarios (en dólares americanos). La masificación ha sido buena porque ha acercado la tecnología a la gente y nos ha facilitado la vida, pero debemos recordar que algunas cosas no son en el mundo digital como lo son en el mundo real. Abajo algunas cosas

1) No todo lo escrito necesariamente es cierto. Muchos de nosotros crecimos con la idea de que si algo estaba escrito era verdad. "Papelito habla" reza un conocido refrán. Sin embargo, en la Internet no es así: el hecho de que alguien asevere algo (en un foro, en una página web, o en algun otro lado) no necesariamente implica que sea verdad, especialmente si no hay manera de validar que quien puso eso es una persona que en realidad existe. No todo lo escrito es necesariamente cierto.

2) El morbo es caro. ¿Cuántas veces ha sucedido una desgracia o un incidente en la localidad, y hemos recibido un mensaje que dice "haz click para ver el video exclusivo" de dicho incidente o desgracia? ¿Cuántas veces nos ha llegado un mensaje (por correo, messenger o en alguna red social como Facebook) diciendo que hagamos click para ver una fotografía chistosa, amarillista o hasta pornográfica de un amigo nuestro o de una celebridad? ¿Cuántas veces hemos recibido mensajes con "teorías de complot" para tal o cual suceso y nos mandan ir a algun lugar? - dar click en algun sitio así , puede se todo lo que necesita un atacante para instalar código que después nos haga la vida difícil: desde mas lenta la PC hasta el robo de nuestros datos... Caro es el morbo.

3) Nadie da cosas gratis. Nunca. Esto es verdad en el mundo real, pero por alguna razón hay gente que cree que en el mundo de Internet las cosas son diferentes. ¿Por qué seguimos recibiendo, aunque sea esporadicamente, mensajes diciendo que ganaremos dinero si reenviamos un correo a alguna dirección, o si hacemos click en algun lado...? - Ni las grandes compañías, ni los personajes famosos dan un beneficio a nadie sin promocionarlo en las vias "regulares" (noticieros, radio, televisión o sus páginas en Internet) puesto que la ganancia de ellos está en la cobertura y en dejar su marca en nuestras cabezas, esperando sean favorecidos con nuestra decisión de compra alguna vez. Pero no hay "ofertas secretas de dinero" porque eso no genera la masa crítica que se necesita para "recuperar" la inversión en publicidad. Pero hay gente que lo sigue creyendo. Cosas de gratis nadie da.

4) La ingenuidad cuesta. Si recibí un mensaje de una chica rusa que no tenía por qué haber conocido, muy guapa, diciendo que me conoció pero no me quiere decir dónde, me dice que está enamorada de mi y solo de mi, y le creo, estoy en problemas. Si recibí un mensaje de un abogado/banquero o el hijo/viuda/amigo de un dictador/empresario/presidente/líder de otro país, donde dejó una millonaria suma de dinero, y necesita de mi ayuda para poder tener ese dinero y yo me quedo con un buen porcentaje, y le creo, estoy en problemas. Cuando algo parece demasiado bueno para ser verdad, vale la pena cuestionarse ¿Cómo dieron conmigo? ¿Por qué a mí? ¿Qué garantías tengo de que sea verdad? y la mas importante ¿Cuánto arriesgo? - Que nos pidan datos personales o dinero, para después chantajearnos o defraudarnos, no es descabellado. Especialmente cuando hay gente que lucra con esto. Cuesta la ingenuidad.

5) La amistad virtual es peligrosa. Hace años, la gente no tenía redes sociales para comunicarse con sus amigos, pero conocías gente vía el IRC y vía sistemas tipo BBS. Con el auge de las redes sociales los messengers y demás, tener "2,000 amigos" es cosa de 2,000 clicks. Pero, ¿Conozco de alguna forma o de otra a la gente con la que tengo contacto? ¿Son amigos de alguien que conozco? ¿Puedo "autenticarlos" hacia la vida real? - Hay gente que es popular y efectivamente puede conocer 2,000 (o mas) personas en algun momento de su vida, pero conocer a alguien en línea, y hacerlos parte de mi vida sin las precauciones debidas, puede tener repercusiones no deseables. Peligrosa es la amistad virtual.

La Ingeniería Social, por desgracia, seguirá surtiendo efecto por mucho tiempo todavía. Mientras haya gente de buena voluntad que quiera ayudar sin cuestionar, mientras haya gente ingenua que no se pregunte el por qué de las cosas, mientras exista el morbo de ver algo que quizá sabemos no debíamos. La ingeniería social ataca el eslabón mas débil de toda la cadena: La gente. Y ataca de la gente la parte que nos hace humanos: nuestros sentimientos. Es una pelea difícil y por un buen rato quizá estemos mas del lado de perder, pero esperemos que la educación (propia, y de nosotros hacia nuestro círculo social) pueda ayudar a que nuestra estancia y convivencia en línea sea mas provechosa que peligrosa. A final de cuentas, estamos en este mundo solo de paso, no hay segundas partes, y mas vale que lo disfrutemos.

1 comentario:

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.