La seguridad tecnológica es un mundo amplio y complejo. A medida que se encuentran maneras de detectar y detener las amenazas existentes, van surgiendo nuevas y mejores formas de ataques, las cuales no dejan de sorprender a todo el mundo por el ingenio empleado en la misma.
En ese grupo se encuentra la ingeniería social, la cual no es mas que, la forma en que un hacker utiliza todos los medios disponibles, para sacar información privilegiada de una persona que labora en la entidad a la que tiene por objetivo.
Este método apuesta en gran manera, a la ingenuidad o inocencia de las personas, los cuales se esperan que ofrezcan datos de valor o que contribuyan al ataque como tal, luego de haber sido burlados psicológicamente.
Si lo piensa detenidamente esta táctica tiene todo el sentido del mundo. Imagine una empresa cualquiera que haya invertido una suma considerable en tecnología de seguridad. En vez de pasar meses tratando de romper todas esas barreras, ¿no es mejor “atacar” al que opera esos sistemas?¿no es mas fácil intentar el acceso desde afuera, con un poco de ayuda desde adentro?
La ingeniería social se concentra fundamentalmente en las personas, en ver como pueden aportar a la causa del ataque haciéndolos sentir que cooperan con algo muy lejos de la realidad. Esto puede ser desde verbalmente pasar información confidencial, facilitar información en algún medio físico hasta colocar algún dispositivo previamente programado por el hacker dentro de las facilidades del cliente.
Ahora bien, ¿realmente pasan estas cosas?. En una respuesta corta sí. Entre los casos mas sonados del 2012 esta el de West Fargo, en el cual el atacante se las ingenió para hacer que ese banco ejecutara una transferencia de 2.1 millones de dólares a una empresa sobre la cual ya tenía control.
Así mismo, un caso importante fue publicado en el digital eweek la semana pasada, en la cual una planta de generación de electricidad de los Estados Unidos fue apagada debido a un código malicioso implantado en una memoria USB. Ese dispositivo fue colocado en una computadora la cual controla el generador, como parte de una rutina establecida, lo que luego degeneró en todo el problema.
Que se puede hacer.
Si se fija bien, la ingeniería social es un medio con muchas alternativas u opciones. Simplemente el hecho de involucrar al factor humano, abre un abanico de opciones inmenso, ya que las personas pueden ser influenciadas de diversas maneras y bajo diferentes condiciones.
Aparte de una que otra inversión en tecnología, mi mejor respuesta a este mal es la concientización. Un empleado que entienda las consecuencias que puede traer para su institución una falta en la seguridad, es un arma poderosa.
Hacer que sus colaboradores entiendan el porque de las reglas de seguridad, dándoles participación a las diferentes áreas al momento de su formulación, haciéndolos sentir jugadores importantes en todo el proceso, puede menguar de manera significativa la perdida de la información.