En 2007 fue burlado uno de los sistemas de seguridad más caros del mundo. No hicieron falta armas, violencia, ni ningún tipo de aparato electrónico para que un hombre saliera con 28 millones de dólares en diamantes del banco ABM AMRO situado en Bélgica. El único arma que utilizó no se puede comprar: el encanto personal.

El tipo, que se hacía llamar Carlos Héctor Flomenbaum, tenía un pasaporte argentino que había sido robado en Israel. Con esta identidad se hizo cliente del banco y forjó la confianza de los empleados durante un año. Mientras se hacía pasar por un empresario de éxito, regalaba cajas de bombones a los trabajadores del banco. Un día, estos le dieron acceso a las cajas de seguridad que contenían gemas de 120.000 quilates, y entonces llevó a cabo uno de los mayores robos cometidos por una sola persona.

La moraleja es bien sencilla: no importa la tecnología de la que se dispone o cuán cara es esta, mientras intervenga el factor humano, el sistema sigue siendo vulnerable.

Cada 40 segundos una compañía sufre un ataque por la falta de formación básica en ciberseguridad de sus empleados - Soluciónelo hoy

El usuario es el eslabón más débil en seguridad

El relato anterior nos lleva a hablar de la ingeniería social. Un conjunto de técnicas psicológicas y habilidades sociales que, utilizadas de forma consciente y muchas veces premeditada, permite la obtención de información, o recursos de terceros. Lo que se hace después con la información conseguida no tiene límites, aunque eso ya no entra dentro de la ingeniería social. Por ello, en lo que respecta al mundo de la informática, es posible que un ingeniero social nunca toque un ordenador ni acceda a ningún sistema.

Se han dado casos en los que tampoco es necesario que el ingeniero social trabaje la confianza de sus víctimas o las manipule, ya que puede aprovechar datos que están a la vista como un post it en un escritorio, las notas de una libreta, los mensajes que se ven en la pantalla de un teléfono móvil o incluso buscar en la basura (un método conocido como trashing). Dicho de otra manera, puede obtener datos sin ejercer ningún tipo de presión, lo cual se traduce en que, en estos casos en particular, no estaríamos hablando de una técnica de engaño, sino de aprovechar el descuido ajeno.

En el ejemplo inicial se saca en claro que el objetivo del robo eran las gemas, pero también refleja que el activo más importante de cualquier compañía sigue siendo la información. Posiblemente, el ladrón no hubiera sabido cosas como dónde se encontraban los diamantes si no hubiera sido porque los empleados le facilitaron estos datos. De ahí que las empresas no solo deban de invertir en sistemas de seguridad, sino en formar a cada uno de los miembros de su equipo por lo que pudiera pasar.

No podemos olvidar que la ingeniería social sigue siendo una de las técnicas más utilizadas entre los cibercriminales. Y no es de extrañar puesto que, gracias a este método, han conseguido aglutinar mil millones de dólares en los últimos dos años provenientes de un centenar de bancos. Sin embargo, las empresas de otros ámbitos no están exentas de este peligro.

Información sobre ingeniería social

 

Los casos que veremos a continuación ilustran hasta qué punto puede influir el factor humano en la economía de una empresa, e incluso en el estado de los principales mercados. Son dos ejemplos que merece la pena tenerlos presentes a la hora de que una compañía decida invertir en mejorar su seguridad informática.

Caso Ubiquiti Networks y la ingeniería social inversa

Ubiquiti Networks es un proveedor estadounidense de servicios de redes de alto rendimiento para empresas. En 2015 sufrió un ataque que le hizo perder 39.1 millones de dólares. Para ello, los cibercriminales escribieron algunos correos haciéndose pasar por miembros ejecutivos de la empresa, y pidieron a algunos empleados del área financiera que realizaran transferencias de grandes cantidades de dinero a una cuenta bancaria en particular. Como era de esperar, esta era propiedad de los cibercriminales.

Esta técnica de ingeniería social se aprovecha de ciertas debilidades del ser humano, como es el hecho de ser servicial, ya que eso podría incidir en el reconocimiento por parte de los superiores. También se beneficia en que hay muchas personas que son incapaces de negarse a hacer algo que, pensado fríamente, podría resultar perjudicial.

Nadie se metió dentro de los sistemas informáticos de Ubiquiti Networks, tampoco robaron los datos de la compañía. En este caso, la brecha de seguridad estaba en los propios empleados, que carecían de la formación, y desconocían los procedimientos necesarios para protegerse ante este tipo de estafas.

La influencia de un falso tweet en la economía mundial

Hay quien lo habrá desterrado de su memoria, pero en abril 2013 la cuenta de Twitter de Associated Press publicó un tweet que durante unos minutos hizo tambalear la economía mundial:

Ingeniería social tweet

 

Entonces, la red social no ofrecía a sus clientes el doble factor de autenticación para loguearse. Con lo cual, Syrian Electronic Army, el grupo que reivindicó la autoría del ataque, se hizo con la cuenta de Twitter a través del envío de un correo phishing a miembros del equipo de Associated Press. Alguno picó el anzuelo y facilitó las credenciales de acceso a los hackers. En la siguiente imagen se puede ver el correo phishing que fue enviado a Associated Press:

Ingeniería social phishing email

 

Hoy el desenlace es bien conocido: la Casa Blanca salió desmintiendo el tweet, y la cuenta de Associated Press fue temporalmente suspendida hasta que se recuperó su control. Los mercados también reestablecieron su orden.

Ingeniería social tweet Casa Blanca

Esta situación puso en evidencia lo frágiles que somos ante ciberataques de este tipo y, como consecuencia, lo vulnerables que son las compañías y organismos de cualquier nivel. Entonces fue Asocciated Press, pero mañana puede ser cualquier otra empresa o institución la que podría estar lanzando mensajes por sus redes sociales que perjudiquen su imagen, y por tanto, la confianza que tiene con sus clientes e inversores.

La importancia de tomar medidas e informar

En una charla TED, el Vicepresidente de Seguridad de IBM, Caleb Barlow, insta a las empresas de todo el mundo a combatir el cibercrimen de la misma manera que se llevan a cabo protocolos de actuación ante una crisis de salud mundial. Como hemos visto con los casos de la Gripe A o el virus del Zika, gobiernos y organismos de todo el mundo comparten información al momento sobre la cantidad de personas afectadas y de cómo se está propagando el virus.

Este procedimiento es precisamente opuesto al que se lleva a cabo hoy en día en lo que respecta a los ataques informáticos. En comparación al número de ciberataques que se estima que se producen a diario, a penas se conocen datos de las compañías cuyos sistemas han sido vulnerados por miedo a que esto repercuta en su reputación, o incluso en sus resultados económicos. “Si no compartimos [información], entonces somos parte del problema” afirma Barlow.

[:]