¿Es usted el eslabón débil?

Las empresas se preocupan más por la seguridad que nunca y prestan atención a las tecnologías sofisticadas y a las defensas físicas para proteger su capital intelectual. Pero han descuidado el eslabón más débil: sus empleados. Son estos trabajadores de primera línea y de nivel medio a los que los intrusos atacan cada vez más y quienes, sin darse cuenta, regalan las llaves del reino.

Lo sé, porque antes era hacker. Descubrí lo fácil que era engañar a los empleados para que me dieran la información más confidencial de sus empresas (nombres de usuario, contraseñas, números de cuenta y acceso telefónico) y utilizarla para hackear el corazón de sus redes. Mi inteligencia me llevó a una prisión federal durante cinco años. Pero desde mi liberación en el año 2000, he trabajado para ayudar a las empresas y al gobierno a reforzar sus defensas. Esto es lo que les digo.

El siniestro arte de la persuasión

La mayor idea errónea sobre la seguridad es que un ordenador es la herramienta más peligrosa del hacker. No es así. Es el teléfono. A medida que las tecnologías de seguridad mejoran, los atacantes recurren a juegos de estafa anticuados para conseguir lo que quieren. ¿Por qué atacar el tan defendido firewall corporativo cuando es más fácil engañar al asistente que contesta el teléfono para que revele la contraseña de su jefe?

Los atacantes que se abren paso en los sistemas «seguros» de una empresa son expertos en explotar la naturaleza humana básica para manipular sus incautos objetivos. Por eso los llamo ingenieros sociales. (El término lo utilizaron por primera vez los primeros piratas informáticos de teléfonos para describir cómo engañar a los empleados de las compañías telefónicas para que revelaran información confidencial).

Basándose en 50 años de investigación en ciencias del comportamiento, el profesor de psicología de la Universidad Estatal de Arizona, Robert Cialdini, sostiene que la persuasión funciona apelando a algunas facetas fundamentales de la naturaleza humana: el deseo de gustar, de corresponder, de seguir el ejemplo de los demás, de cumplir con los compromisos públicos, de adquirir cosas que escasean y de ceder ante la autoridad. Yo añadiría a esta lista que la mayoría de las personas confían por reflejo y dan a los demás el beneficio de la duda, rasgos que facilitan aún más el trabajo del ingeniero social.

Saber cómo funciona la persuasión es la base para crear defensas contra estos atacantes, como mostraré. Pero primero, considere este relato ficticio —compuesto de casos reales— de un ingeniero social que instala un registrador de pulsaciones de teclas (un tipo de escucha telefónica de ordenador) en el ordenador de un alto ejecutivo.

Suena el teléfono en Recursos Humanos en una gran editorial de Nueva York.

«Recursos humanos. Esta es Sarah».

«Hola, Sarah. Soy George en el aparcamiento. Hemos tenido un problema con las tarjetas de acceso al aparcamiento; algunos empleados nuevos se quejan de que no están trabajando. Así que tenemos que reprogramar las tarjetas para las nuevas contrataciones que han empezado en los últimos 30 días. ¿Cómo puedo localizar a los novatos?»

«Puedo consultar nuestra lista de nuevos empleados y volver a llamarlo. ¿Cuál es su número de teléfono?»

«Bueno, me voy de vacaciones. ¿Puedo volver a llamarlo en media hora o algo así?»

«Claro».

Cuando «George» vuelve a llamar a Sarah, le da los nombres y números de dos empleados recientes y se ofrece como voluntaria: uno es el nuevo vicepresidente y el otro es Clark Miller, un asistente administrativo de finanzas. Bingo. La siguiente llamada de George, alrededor de las seis de la tarde, es para Clark.

«Finanzas. Habla Clark».

«Me alegro de haber encontrado a alguien trabajando hasta tarde. Escuche, soy Ron Vitarro. Soy el vicepresidente de la división de libros. No creo que nos hayan presentado. Bienvenido a la empresa».

«Oh. Gracias».

«Clark, estoy en una conferencia en Los Ángeles y tengo una crisis. Sé que está ocupado, pero ayúdeme y le enseñaré personalmente la división».

«Por supuesto. ¿Qué puedo hacer?»

«Vaya a mi oficina. Necesito un manuscrito. ¿Sabe dónde está mi oficina?»

«No».

«Es la oficina de la esquina del piso 15, habitación 1502. Lo llamaré allí en unos minutos. Cuando llegue a la oficina, tendrá que pulsar el botón de desvío de llamadas del teléfono para que mi llamada no vaya directamente a mi correo de voz».

«Está bien. Estoy de camino ahora».

Diez minutos después, Clark está en la oficina de Ron Vitarro, ha cancelado la transferencia de llamadas de Ron y espera cuando suena el teléfono. Nuestro ingeniero social, que se hace pasar por Ron, le dice que inicie Internet Explorer en el ordenador de Ron, escriba www.geocities.com/ron_vitarro/manuscript.exe y pulse Return.

Aparece un cuadro de diálogo y el impostor le dice a Clark que haga clic en Abrir en lugar de en Guardar. Parece que el ordenador empieza a descargar un manuscrito, pero luego la pantalla se queda en blanco. Cuando Clark informa de que algo parece ir mal, la persona que llama sigue el juego.

«Oh, no. No otra vez. He tenido un problema al descargar desde ese sitio web, pero pensaba que lo habían solucionado. Bueno, está bien. No se preocupe. Buscaré otra forma de conseguir el archivo más adelante».

Luego le pide a Clark que reinicie el ordenador para que Ron se asegure de que funciona correctamente. Le explica a Clark los pasos para reiniciar. Cuando el ordenador vuelve a funcionar, da las gracias calurosamente a Clark y cuelga. Clark vuelve a su escritorio, encantado de haber tenido tan buen contacto con un vicepresidente.

Por supuesto, Clark no sabe que lo ha engañado un ingenioso ingeniero social y acaba de ayudar a un hacker a instalar un programa espía en el ordenador del vicepresidente. El nuevo software registraría todas las pulsaciones de teclas de Vitarro (correo electrónico, contraseñas, sitios web visitados) junto con capturas de pantalla, y las enviaría por correo electrónico al buzón anónimo y gratuito del hacker en Ucrania.

Como la mayoría de estas estafas, esta requería una experiencia técnica limitada (disfrazar el software de espionaje de un manuscrito) y un poco de planificación. El hacker tenía que recopilar cierta información con antelación: la ubicación de la oficina de Vitarro, las horas que saldría, etc. Pero este tipo de detalles se descubren fácilmente con tácticas no más complicadas que conseguir la lista de nuevos empleados.

Con técnicas como estas, los ingenieros sociales pueden hacerse con el control de los sistemas informáticos y telefónicos de una empresa, convencer a los guardias de seguridad y a otros trabajadores de que son empleados, secuestrar el correo de voz de los teléfonos móviles y residenciales de los altos ejecutivos y acceder a la lista completa de clientes, las finanzas y los planes de desarrollo de productos de la empresa. Y eso es solo el principio.

La mayoría de las empresas prácticamente no tienen defensas contra los ingenieros sociales. Sin embargo, todas las empresas deberían tomar unas cuantas medidas sencillas para mitigar esta evidente debilidad.

Qué puede hacer

El mensaje debe venir desde arriba de que todos los empleados son vulnerables a la amenaza de la ingeniería social y que todos los empleados forman parte del equipo de seguridad. Este no es un trabajo que los «chicos de seguridad» de las instalaciones y de TI puedan hacer solos.

El mensaje debe venir desde arriba de que todos los empleados son vulnerables a la amenaza de la ingeniería social y que todos los empleados forman parte del equipo de seguridad.

Es crucial que alerte a la gente de todos los niveles sobre la naturaleza de la amenaza, las consecuencias de los allanamientos por ingeniería social y las políticas de seguridad vigentes. Si no tiene una política que aborde específicamente las tácticas de ingeniería social, desarrolle una. Debería incluir las normas que rigen las contraseñas de los ordenadores y los correos de voz, cómo gestionar las llamadas sospechosas, la necesidad de cuestionar a los visitantes no identificados, etc.

Sea cual sea la forma que adopte, su programa educativo debe crear (y mantener) la conciencia y motivar a los trabajadores para que se preocupen por la seguridad de la información. Debería reforzar la política escrita de la empresa describiendo cómo reconocer y frustrar un ataque de ingeniería social. Y, dado que la gente ignora rápidamente los mensajes antiguos y demasiado familiares, debe ofrecer recordatorios novedosos y continuos.

Los enfoques pueden incluir ejercicios de juego de roles, recordatorios por correo electrónico y correo de voz y columnas de seguridad en el boletín de la empresa y en la intranet. También podría clasificar la concienciación sobre la seguridad en los informes de desempeño de los empleados y en las reseñas anuales. E incluso podría probar trucos como galletas de la suerte en la cafetería que contienen mensajes de seguridad. (Una fortuna podría aconsejar: «¡Nunca utilice la fecha de nacimiento de su hijo como contraseña!»)

Por último, como todos los directivos saben, ninguna cantidad de formación y formulación de políticas funcionará si los empleados no asumen la responsabilidad del problema. La clave para que la gente acepte cualquier esfuerzo es apelar a sus intereses propios. Las recompensas por un buen comportamiento de seguridad (y las sanciones por no cumplir la política) son importantes. Sin embargo, sobre todo, los empleados deben darse cuenta de que los ataques de ingeniería social pueden amenazarlos de forma individual y dañar a la organización. Las empresas, por ejemplo, guardan información privada sobre cada empleado, desde números de seguridad social hasta números de cuentas de depósitos directos, que los ingenieros sociales están ansiosos por tener en sus manos.

Muchos enfoques de seguridad ante las amenazas de la ingeniería social son de sentido común, pero no todas las vulnerabilidades son obvias. Una empresa de seguridad que se especialice en detectar puntos débiles y reforzar las defensas puede ayudar. Los consultores de seguridad pueden realizar pruebas de penetración con las mismas técnicas que los enemigos utilizan para robar o destruir su valiosa información. La experiencia de ser investigado de esta manera puede resultar alarmante, y esa es precisamente la cuestión.