Cada vez que pensamos en problemas de seguridad se considera como parte de un plan integral al menos tres grandes esferas: la tecnológica, la de políticas y la humana. El área tecnológica es la que cada vez está más reforzada incluyendo toda clase de productos desde firewall, encriptación, detectores de intrusos, antivirus, y un largo etcétera; el área de políticas también está muy avanzado considerando niveles de seguridad, seguridad física y lógica, modelos de administración de riesgos, esquemas de claves privadas con renovación a corto plazo, mecanismos de autentificación y una larga lista; la tercer esfera es en cambio la menos trabajada y en dónde se concentran los mayores peligros. Hay un viejo refrán que reza: “Una cadena es tan fuerte como el más débil de sus eslabones” y sin lugar a dudas ése es el factor humano y por ello cada vez son más los ataques a la seguridad utilizando la ingeniería social. A través de la tecnología y de las políticas seguramente ya habrá usted, amigo lector, puesto candados, muros, cerraduras y alarmas a lo largo y ancho de toda su infraestructura tecnológica. Por supuesto que también está consciente de que para cada candado hay una llave y por ello se ha esforzado en poner los más complejos, redundantes y hasta inteligentes para que le notifiquen de cualquier intento de violación de su perímetro de seguridad. Después del esfuerzo se siente relativamente tranquilo porque sabe que para que un atacante pueda penetrar sus defensas tendrá que invertir mucho tiempo, ingenio y ser un gran experto en sistemas operativos, programación, protocolos de comunicación y tener un sin número de habilidades adicionales. Finalmente le pone llave a todo y las distribuye entre los usuarios y personal que lo requiere porque, finalmente, la información necesita ser accedida. Si piensa que un atacante se tomará la molestia de enfrentar todas sus barricadas y violar los candados para penetrar su sistema tenga cuidado porque muy probablemente lo que hará será simplemente pedirle al que tiene la llave que le abra la puerta. Y si piensa que el personal no le abrirá pues piénselo dos veces, porque el ataque más exitoso y fácil es abordando directo a la persona que tiene la llave de entrada y según un estudio europeo realizado durante el congreso InfoSecurity Europa en el 2003 el 90% de las personas abrirán la puerta. Los ataques a los sistemas de seguridad a través de la ingeniería social cada vez son más frecuentes y, lamentablemente, más efectivos. La ingeniería social es la técnica especializada o empírica del uso de acciones estudiadas o habilidosas que permiten manipular a las personas para que voluntariamente realicen actos que normalmente no harían. Los ingenieros sociales manipulan y explotan los sentimientos y emociones de las personas tales como el miedo, la curiosidad, el sexo, la avaricia, la compasión y el deseo de agradar y de hacer bien su trabajo. De hecho, la ingeniería social no nació en las computadoras, los timadores, estafadores, defraudadores y otros pillos han tenido éxito durante muchos años y ahora simplemente están encontrando en Internet territorio fértil para sus engaños. Estos ladrones no necesitan apuntarse a los grupos de hackers ni leer ningún manual técnico. Las personas padecen las mismas debilidades dentro y fuera de Internet. Ante este tipo de ataques todos estamos expuestos y la mejor forma de contrarrestarlo es conociendo los métodos de ingeniería que aplicarán en nuestra contra, esto en TI lo llamamos Ingeniería Inversa. La ingeniería inversa es el conjunto de técnicas y procedimientos utilizados para descubrir el diseño de un producto o proceso. En este sentido, descubrir cuáles son las técnicas empleadas por los pillos, difundirlas y prepararnos para enfrentar nuevas técnicas de estafa es el mejor mecanismo de protección. Un plan de ingeniería social inversa incluiría las siguientes acciones: 1. Conozca los procesos de ingeniería social, sus principios, sus técnicas, la manipulación y la explotación de los sentimientos y emociones de las personas. De esta forma podrá anticiparse a los riesgos de los ataques. Kevin Mitnik, actualmente el pillo de ingeniería social más famoso del mundo ha escrito un libro llamado “The Art of Deception” y se presentará en la Ciudad de México el próximo 16 de octubre en el Infosecurity Forum. Resultará interesante ver cómo piensa un delincuente, ahora reformado y dedicado a la asesoría. 2. Informe a las personas sobre estás técnicas y de cómo pueden ser presa de la ingeniería social, muestre ejemplos y haga un esfuerzo en educación. 3. Trabaje en crear la cultura de la cautela, desconfianza y prudencia ante todas las situaciones. Los atacantes que usan la ingeniería social prefieren cambiar de víctima cuando se enfrentan a la resistencia educada. 4. No basta con poner candados, la persona que tiene la llave debe saber cuándo y cómo usarla. 5. Invertir más presupuesto de seguridad en educación. La próxima ocasión que elabore el presupuesto de seguridad no olvide poner recursos en capacitación, difusión y creación de cultura aunque gaste menos en tecnología. Será más redituable la inversión. Aún con este plan, no hay nada seguro, como dice Mitnik “Usted puede tener la mejor tecnología, firewalls, sistemas de detección de ataques, dispositivos biométricos, etc. Lo único que se necesita es un llamado a un empleado desprevenido e ingresan sin más y tendrán todo en sus manos”.