Existe un método de ataque a la seguridad de las empresas que puede evadir los sistemas de detección de intrusos, no deja rastros electrónicos, es de bajo costo o incluso sin costo alguno, funciona en todas las plataformas y sistemas operativos, tiene un riesgo marginal para el atacante, es efectivo casi al 100% y es el mejor método de “hacking” que hay. Se llama Ingeniería Social y se concentra en el punto más débil de la cadena de seguridad: las personas. La ingeniería social es una forma elegante para definir las técnicas de engaño, manipulación y explotación utilizadas por los estafadores. Estos se aprovechan de los sentimientos de las personas para que hagan cosas que favorezcan al atacante, a veces incluso sin darse cuenta de que están cayendo en un engaño. Uno de los expertos más reconocidos en el tema es un ex-estafador reconvertido llamado Kevin Mitnick quien estuvo en nuestro país impartiendo una conferencia magistral en el pasado Infosecurity Forum. Mitnick abordó el tema de la seguridad insistiendo en que es mucho más fácil y más efectivo involucrar a las personas en una estafa sin que se den cuenta, que tratar de romper las barricadas tecnológicas que se han alzado para proteger la información. Desde esta perspectiva, fueron presentados los puntos débiles que un atacante fácilmente puede explotar de las personas. Esto lo llamó “agujeros en los firewalls humanos” y son los siguientes: · La ilusión de la invulnerabilidad.- Tanto se le ha hecho saber a las personas sobre la tecnología que resguarda la información que se crea una falsa ilusión de seguridad. Las personas que se sienten más confiadas son las más vulnerables al ataque ya que esta confianza les hace pensar que “a mi no me va ha suceder”. · La tendencia a confiar en los demás.- Muchas personas tienden a creer lo que se les dice y no confirman la información que están recibiendo. Esto fácilmente es explotado por los atacantes para engañarlas. · El sentimiento de que los protocolos de seguridad solo complican la operación y son una pérdida de tiempo.- Si usted es de los que piensan que se exagera con los procedimientos de seguridad y que no vale la pena complicarse demasiado en perfiles, análisis de riesgos, planes de continuidad de negocio, etc. está caminando al filo de la navaja. · Subestimar el valor de la información.- Existe cierta tendencia a no darle valor a la información. ¿Cuánto vale el directorio de su empresa? ¿los currículos de sus trabajadores? ¿la contraseña de correo electrónico? ¿se los daría a cualquiera? · Tendencia natural a ayudar a los demás.- Las personas quieren ser agradables y ayudar a los demás. Los estafadores explotan este sentimiento para crear un escenario en el cual fingen necesitar ayuda y ciertamente la consiguen. · No medir las consecuencias de sus actos.- Hay muchas actividades que ponen en riesgo a su empresa por no considerarse peligrosas. Por ejemplo, tirar a la basura información que pueda ser utilizada por un atacante; utilizar computadoras públicas (cafés Internet) para hacer transacciones bancarias; publicar en la Web el organigrama completo de su empresa; etc. La seguridad no es solo asunto de tecnología, también se suman los procedimientos y las personas. Crear una cultura de la seguridad y someter a su personal a entrenamiento sobre estos ataques es parte de la estrategia para cubrir los agujeros en los firewalls humanos.