Actualidad | Artículos | 28 FEB 2018

La Ingeniería Social a examen... de conciencia

La Ingeniería Social está viviendo su propia transformación, claro indicador de que ha llegado el momento de reconsiderar su papel dentro de la Ciberseguridad.
redes sociales hombre
Cristina L. Tarrida

Parece una obviedad afirmar a día de hoy que vivimos épocas convulsas cargadas de posverdad y noticias falsas, donde jugar al despiste se ha convertido en el deporte de moda. Y es que parece que la manipulación a gran escala ha venido para quedarse. Quien más y quien menos es capaz de imaginar la repercusión que estas armas de desinformación masiva pueden tener en la estabilidad de democracias y estructuras de gobierno. Sin embargo, son menos los que analizan qué mecanismos son los que hacen que la maquinaria de la influencia se ponga en marcha, y resulta que esos engranajes están en nuestro cerebro.

La Ingeniería Social ha dado una vuelta de tuerca en los albores de este siglo, sin duda enriquecida por las nuevas tecnologías y el auge de las redes sociales, que se han convertido en una fuente de datos inagotable y enormemente accesible. Pero no sólo ha mutado en lo que a metodología se refiere, sino también en cuanto a sus pretensiones y fines últimos, apostando por atacar a la línea de flotación del funcionamiento de los estados.

Sin embargo, a pesar de que la Ingeniería Social sigue dando pasos de gigante con un atrevimiento que se antoja atípico, no parece que la percepción que se tiene de la misma y de su potencial haya cambiado un ápice, especialmente en el contexto de la Seguridad Informática y el Ciberespacio. Creo que ha llegado el momento de echar la vista atrás y hacer un profundo examen de conciencia acerca de cómo hemos podido llegar hasta aquí. Quizás, después de todo, asistamos sorprendidos a la entonación de nuestro propio mea culpa.

Si nos basamos en los estudios del sector, todos apuntan a que las mayores fugas de datos de las empresas son ocasionadas por el factor humano, intencionado o no. Yendo aún más lejos, nadie niega ya que en prácticamente todos los ataques informáticos, en algún momento, interviene la Ingeniería Social. ¿Por qué no existe una percepción real sobre esta problemática y su verdadera dimensión? ¿Por qué no estamos consiguiendo una concienciación efectiva?

Personalmente, pienso que somos los propios profesionales del sector los que hemos contribuido y alimentado en cierta forma esta tendencia a subestimar el poder de la Ingeniería Social. Quede constancia de que lo que expongo a continuación no son más que una serie de pensamientos expresados en voz alta, sin más pretensión que la de aportar otra perspectiva. Ojalá estas reflexiones alienten a su vez una cadena de nuevos enfoques y que esto finalmente se traduzca en un renovado estatus de la Ingeniería Social dentro de la Ciberseguridad.

La primera pregunta que me hago es ¿estamos cometiendo un error de comunicación? ¿Estamos transmitiendo el mensaje con claridad suficiente? En más ocasiones de la que me gustaría he encontrado artículos y conferencias donde la Ingeniería Social se presenta con cierto aire jocoso, cayendo en el chiste fácil, presentándola como una suerte de trucos mentales y encantamientos. Esto, desde mi punto de vista, ha producido un efecto tan inesperado como indeseado: que se minusvalore su importancia y se desvirtúe su imagen, haciendo flaco favor a los múltiples intentos de concienciación y formación que se llevan a cabo desde otros foros.

Pienso que los que nos dedicamos a la Seguridad Informática tenemos casi la obligación de revertir esta tendencia. Pero para ello, debemos creérnoslo: la Ingeniería Social no es la asignatura “maría” de la Ciberseguridad; es la asignatura pendiente. Creo que no es necesario que repita cuán inútiles se vuelven determinadas medidas de seguridad si alguien se va de la lengua… Ha llegado el momento de mentalizarnos y concienciar a la sociedad de que estamos ante un paradigma reforzado y fortalecido del hacking psicológico y la tecnología aplicada para piratear al humano. En lugar de decir que el factor humano es el eslabón más débil, hemos de reescribir esta afirmación y decir que es el eslabón fundamental de la cadena.

Es urgente desligar la imagen de la Ingeniería Social de la del caballo de Troya de los griegos, o de la de estafas como el timo de la “estampita”. Con esto no quiero decir que timadores y estafadores no utilicen técnicas empleadas también por ingenieros sociales, pero no podemos mantenernos en esta visión clásica y algo anticuada que nos lleva a desdeñar las capacidades de la Ingeniería Social 2.0., tremendamente fortalecida por el uso de la tecnología. Mantenernos en esa visión conservadora sólo contribuye a que reduzcamos el horizonte de posibles respuestas a la amenaza que nos acecha.

Por otra parte, echo en falta un mensaje de confianza dirigido a los usuarios. Como potenciales víctimas, creo que agradecerían saber que pueden buscar aliados dentro de la Ingeniería Social. Entre todos estamos contribuyendo a demonizar el papel de los ingenieros sociales, olvidando a todos aquellos que trabajan en pro de la Seguridad Informática y no en contra de ella (véase el caso de los auditores, por ejemplo). Antes de que la inercia de los tiempos nos lleve una vez más a confundir a los buenos con los malos, creo que es obligado distinguir dos perfiles dentro de la Ingeniería Social. En un guiño a la, a veces maltratada, comunidad hacker y cambiando el sombrero por la máscara, me permito la licencia de introducir los conceptos de ingeniero social de máscara blanca (white mask) y de máscara negra (black mask). Así, el mensaje, de claro, se tornará meridiano.

Tras estas reflexiones, un último llamamiento: no perdamos el foco; tengamos presente que la Ingeniería Social está fundamentada en la conducta humana, en los principios psicológicos que rigen nuestra mente y nuestras decisiones y en los comportamientos sociológicos que comparten la mayoría de las personas. Sus cimientos son atemporales, existen desde que el hombre es hombre. Si continuamos minusvalorando al enemigo, estaremos abocados a perder la partida. Finalizado el examen, tomemos conciencia…

 

Marlon Molina

Cristina López Tarrida

Ingeniero de software. PMP®. Especialista en Ingeniería Social y Hacking Psicológico. Profesional independiente en Ingeniería-Social.com. Formadora y conferenciante. Security Evangelist. Socia fundadora de la empresa Solar MEMS Technologies S.L. Sevilla, España. España.



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios