La ingeniería social

Seguro que tienes muchas cuentas de usuario en diferentes páginas web. Direcciones de correo, identidades en comunidades, redes sociales y tiendas on-line. ¿Alguna de ellas tiene preguntas de seguridad para recuperar las contraseñas?, ¿has rellenado las preguntas por defecto con información verdadera?

Si las respuestas a las dos últimas preguntas que te he hecho son afirmativas, tus cuentas están en peligro.

La ingeniería social es una técnica de cracking (ver cracker en inglés, o una traducción automática) tan antigua como la informática. Se trata simplemente de hacer uso del conocimiento que tenemos sobre un tercero de forma maliciosa, para suplantarlo, robarle información valiosa o manipularlo para que nos entregue información que no debería. Es el camelo. Te camelas a otra persona, la engañas y le robas: en este caso la información que necesita para cambiar la contraseña de una de tus cuentas de usuario y robarte el acceso a tus datos, o a tu reputación en el caso de redes sociales, durante un tiempo precioso e irrecuperable.

Hoy en día hay miles de formas de ingeniería social, y la mayoría no implican el contacto personal directo, como el phishing por correo electrónico o el scamming que consiste en hacer web falsas que recuerdan a las páginas de identificación de usuarios de nuestros servicios web favoritos (el banco, google, facebook). Sin embargo, la más peligrosa sin duda es la que proviene de una persona que te conoce. Que conoce tu información, tu pasado y tu forma de ser, y la usa en tu contra.

¿Responderías con el nombre del hospital donde naciste a una pregunta de seguridad que preguntase “en qué hospital naciste”? Yo no. Cualquier persona que conozca en qué ciudad naciste, ¿cuántas respuestas a la pregunta tiene que probar?, ¿5, 10, 15? No lo hagas.

Tener preguntas de seguridad en un servicio web debería estar prohibido; al menos por el sentido común. Hay formas mucho más seguras de resetear una contraseña, como combinar un correo electrónico alternativo con el envío de mensajes a tu teléfono móvil, o tener que llamar a un centro de atención al cliente. Si tienes que rellenar las respuestas a las preguntas de seguridad de los sitios web donde has depositado tus datos, pon tus propias preguntas. Invéntate preguntas absurdas, surrealistas, que no tengan sentido. Si no puedes y debes responder a “las del fabricante”, no lo hagas con información verdadera, porque el conocimiento es poder. Cualquier persona que te conozca, o que conozca a una persona de tu entorno y se gane su confianza, puede obtener información muy precisa para cambiar la contraseña de tu cuenta de usuario. Invéntate un mecanismo exótico de generación de la respuesta y nunca se lo digas a nadie… pero no pongas información deducible o rastreable.

Luego te pasa como a las famosas de iCloud y nos llevamos las manos a la cabeza.

Nota importante: habréis notado que uso la palabra cracker y no la palabra hacker. No es trivial. Un hacker no es un delincuente informático, punto; quien diga lo contrario no tiene ni idea de qué está diciendo. Un hacker es simplemente una persona con la inquietud necesaria para explotar todas las características, todo lo que le ofrece un determinado sistema: nada más. Es el polo opuesto a un usuario que aprende lo mínimo para sobrevivir frente a ese mismo sistema. De por sí, no es malo, ni mucho menos. Cuando alguien usa esa inquietud y sus conocimientos para robar y delinquir no se le llama hacker, sino cracker. El mal uso del término hacker se lo debemos a la prensa y a los medios de comunicación, pero no es correcto.

3 comentarios en “La ingeniería social

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *