Cómo el ingeniería social se aprovecha de tu amabilidad

How social engineering takes advantage of your kindness

La semana pasada, MGM Resorts reveló un grave problema en sus sistemas que, según informes, dejó inoperables las máquinas tragamonedas, las llaves de las habitaciones y otros dispositivos críticos. ¿Qué métodos elaborados se necesitaron para hackear un imperio de casinos y hoteles de casi $34 mil millones? Según los propios hackers (y aparentemente confirmado por una fuente que habló con Bloomberg), todo lo que necesitaron fue una llamada telefónica de diez minutos.

Los supuestos hackers detrás del problema de MGM, aparentemente, obtuvieron acceso a través de uno de los vectores más ubicuos y de baja tecnología: un ataque de ingeniería social. La ingeniería social manipula psicológicamente a un objetivo para que haga lo que el atacante quiere, o para que entregue información que no debería —en este caso, aparentemente, engañando a un desprevenido trabajador de soporte técnico de TI. Las consecuencias van desde derribar corporaciones globales hasta devastar las finanzas personales de desafortunadas víctimas individuales. Pero, ¿qué hace que los ataques de ingeniería social sean tan efectivos y por qué son tan difíciles de prevenir?

Parece contradictorio entregar información confidencial a un completo desconocido, pero los atacantes han desarrollado formas de engañarte para que te sientas cómodo haciéndolo. Esto podría incluir ganar tu confianza con el tiempo, recopilar información sobre ti para parecer que te conocen o usar un sentido de urgencia para que actúes rápidamente sin pensar en lo que estás entregando. Es por eso que los rasgos de personalidad comunes entre las víctimas cibernéticas incluyen ser extrovertidos, complacientes y abiertos a nuevas experiencias, según Erik Huffman, un investigador que estudia la psicología detrás de las tendencias de seguridad cibernética.

“El miedo es un vector de ataque. La ayuda es un vector de ataque”, dijo Huffman. “Cuanto más cómodo te sientas, más vulnerable te vuelves al hackeo”.

Además, los entornos digitales tienen menos señales sociales en comparación con estar cara a cara, por lo que una posible víctima no es tan buena para detectar signos potencialmente sospechosos, dijo Huffman. Leemos los mensajes en nuestra propia voz, proyectando nuestra buena voluntad en ellos, lo cual normalmente no sucede en persona. Hay menos información, como señales sociales o lenguaje corporal, para guiarnos o para hacernos sentir que algo no está bien.

Un ataque de ingeniería social podría ser tan simple como una llamada telefónica falsamente urgente de un estafador para obtener información de tu tarjeta de crédito para un robo de bajo nivel. Pero cada vez más hay “ataques Rube Goldberg” más complicados que combinan múltiples enfoques para engañarte, según Andrew Brandt, investigador principal de Sophos X-Ops. En un ejemplo de dicho ataque, Brandt observó que los estafadores operaban primero por teléfono para que el objetivo hiciera clic en un correo electrónico también enviado por el estafador. Una vez que se hacía clic, el correo electrónico activaría una cadena de ataque que incluía malware y software de acceso remoto.

Más probablemente, te encontrarás con ello en un nivel mucho más simple. Puede que recibas un mensaje de texto de alguien que pretende ser tu jefe y te pide tarjetas de regalo, o que te engañen para que hagas clic en un enlace malicioso que obtiene tus credenciales. Pero de una forma u otra, probablemente te encuentres con ello eventualmente, ya que se estima que el 98 por ciento de los ciberataques dependen en cierta medida de tácticas de ingeniería social, según una investigación de Splunk.

Hay algunas otras señales de advertencia a las que las personas pueden estar atentas. Tener que descargar un archivo inusualmente grande, un archivo zip protegido con contraseña que no se puede escanear en busca de malware o un archivo de acceso directo sospechoso son todos signos de un posible ataque, según Brandt. Pero gran parte de ello es una cuestión de intuición, y tomarse el tiempo para retroceder antes de proceder y considerar qué podría salir mal.

“Es una práctica que requiere repetición y ensayo una y otra vez para desconfiar reflexivamente de lo que te dicen personas que no conoces”, dijo Brandt.

Huffman dijo que las personas pueden intentar evitar ser víctimas reconociendo las limitaciones de un entorno digital y haciendo preguntas como: ¿Tiene sentido que esta persona se comunique conmigo? ¿Esta persona se comporta de manera confiable? ¿Esta persona tiene la autoridad o el poder para dar estas instrucciones? ¿Esta persona realmente comprende el tema que estamos discutiendo?

Los ataques de ingeniería social ocurren constantemente, tanto a grandes corporaciones como a personas comunes. Sabiendo que nuestros rasgos de buena voluntad pueden ser nuestra mayor debilidad cuando nos enfrentamos a esta variedad de actores malintencionados, puede ser tentador dejar de ser amables por completo por seguridad. La clave está en equilibrar nuestros instintos sociales con un escepticismo saludable. “Puedes ser útil”, dijo Huffman, “pero sé cauteloso”.