En el mundo Hacker siempre ha existido un dicho: «no importa las herramientas que tengas, ni importa lo mucho que sepas de tecnología. Si quieres robar la contraseña de alguien, la mejor forma es preguntársela.»
Mucha gente piensa que los mejores hackers son gente antisocial que conoce las más profundas interioridades de los ordenadores y las redes. Y que los delincuentes informáticos, o crackers, más peligrosos, hacen magia tecleando a toda velocidad como se nos muestra en las películas.
En base a esa premisa, y a nuestra natural necesidad de buscar soluciones fáciles a problemas difíciles, creemos que la mejor manera de protegernos es también mediante soluciones tecnológicas. Y si además tenemos los recursos económicos suficientes para comprarnos las soluciones de moda, nos quedamos tranquilos pensando que ya está todo hecho, que ya estamos seguros.
Sin embargo, si hay algo que cualquier hacker (bueno o malo) sabe, es que el eslabón más débil siempre son las personas. Y los mejores son especialistas en «hackear a las personas». Como dice Christopher Hadnagy en su estupendo libro «The Art of Human Hacking»: «No importa lo seguro que sea un sistema, siempre hay una manera de romperlo, y a menudo los elementos humanos son los más fáciles de manipular y engañar».
Dicho de otra forma, la seguridad no es un problema tecnológico, sino un problema de personas y sus relaciones.
Uno de los hackers informáticos más famosos de la historia es Kevin Mitnick, uno de cuyos libros me he permitido homenajear en el título de este artículo. Mitnick tenía, y tiene, conocimientos técnicos. Pero su mayor ventaja siempre fue su habilidad en Ingeniería Social.
Ingeniería Social. Ese es el nombre que se le ha venido dando al conjunto de técnicas dirigidas a hackear a las personas.
¿Cómo y por qué funciona la Ingeniería Social? Pues de forma muy resumida, funciona por tres razones fundamentales:
Primero, porque en el primer mundo no estamos entrenados para desconfiar del prójimo.
Segundo, porque la mayor parte de las personas piensan que son más listos que los demás, y que no son susceptibles de ser engañados.
Tercero, porque todos tenemos nuestra malicia, y nos cuesta resistir ciertas tentaciones, sobre todo si son inesperadas y la ventana de oportunidad es pequeña.
Como dijo Napoleón, la guerra es un 90% información. Igualmente, en hacking el primer paso siempre es recopilar toda la información posible sobre el objetivo.
Existen ataques masivos o al azar, en el que no hay una víctima objetivo concreta. Aún así, incluso en estos ataques se utiliza alguna de las «historias del momento». Puede ser una historia triste de niños con cáncer (o la enfermedad de moda), una promesa de fotos jugosas del actor o actriz de moda, una copia pirata de la próxima película de Star Wars… lo que está claro es que se buscan temas que sean un buen cebo en ese momento.
Pero donde el engaño se convierte en arte, y en un arma muy efectiva, es en los ataques dirigidos. Si yo se que mi objetivo tiene un hijo enfermo que va a cumplir años en los próximos días, puedo inventarme fácilmente una historia que le atraiga hasta donde yo quiera llevarle. Un engaño elaborado basado en la información adecuada, es muy fácil que tenga éxito.
Pongamos por caso el típico email de phishing, en el que lo que se busca es robar mis claves bancarias. Un email que parece venir del Banco Marciano, en el que me dicen que he ganado una suscripción de TV para ver todos los partidos de fútbol que quiera durante cinco años, y en el que me facilitan un enlace para entrar en la web del Banco y reclamar el premio. Es más, si no pulso en el enlace y pongo la dirección del Banco Marciano directamente en el navegador, no importa, porque se las han arreglado para que termine igualmente en la web falsa.
Montar todo esto, y que parezca real, requiere conocimientos técnicos y recursos. No es necesario ser un crack, aunque hacerlo bien lleva tiempo y esfuerzo.
Ahora resulta que yo no tengo cuenta en el Banco Marciano. Y además, resulta que no me gusta el fútbol. Todos los esfuerzos del malo han sido para nada. Si se hubieran molestado en averiguar cosas sobre mi, quizás podrían haberme mandado el mail suplantando a un banco en el que realmente tenga cuenta. Y desde luego, podrían haber puesto como cebo algo por lo que realmente sienta debilidad.
Está claro que no se puede engañar a todo el mundo de la misma manera. Pero también está claro que todo el mundo es susceptible de ser engañado. Es cuestión de dar con la tecla adecuada.
No tengo sitio aquí para explicar las muchas técnicas de Ingeniería Social que usan los hackers, «sea cual sea el color de su sombrero». De momento, si os encontráis un lápiz USB perdido en algún sitio, os aconsejo tener mucho cuidado dónde lo conectáis… porque seguro que os lo quedáis y lo conectáis en algún sitio tarde o temprano ¿no? 😉