Carreras profesionales
es
es
Psicóloga Sophie Jellema
Personas nos preguntan a menudo: ¿qué es exactamente la ingeniería social y hay algo que pueda hacer al respecto? Un pirata informático necesita información para penetrar en una red o un sistema. Las contraseñas, por ejemplo.
Para obtenerlas, los delincuentes recurren a la ingeniería social. Pero, ¿cómo funciona? La psicóloga Sophie Jellema responde a 6 preguntas sobre la ingeniería social.
La ingeniería social es piratear a las Personas, dice Sophie Jellema. Es psicóloga en Bureau Veritas Cybersecurity y ayuda a las empresas como ingeniera social ética. Un ingeniero social entiende cómo funciona la gente y cómo se puede obtener información de una persona. Cuando pensamos en piratear, pensamos en descifrar códigos. Pero también se puede piratear a las personas. Vemos que esto ocurre con más frecuencia, porque las empresas están mejorando en la protección técnica de su información. Los delincuentes eligen la forma más fácil de entrar, y ésa es: los humanos".
No hace falta ser psicólogo para extraer información de las personas, dice Jellema. 'Se trata de entender cómo funciona la gente. Digamos que quiero averiguar su contraseña. Podría preguntárselo directamente, pero probablemente diría que no. Así que uso un rodeo. Le digo: '¿No es molesto teclear 14 caracteres cada vez?'. Usted podría responder: 'No, sólo son 8'. Ahora sé algo sobre los requisitos de contraseña de su empresa. Como a las Personas les gusta contar su historia, se puede recuperar mucha información'. Los ingenieros sociales suelen vender esta información a través de redes delictivas.
Sophie Jellema haciendo una llamada vishing
'Utilizo sobre todo el teléfono cuando voy a la caza de contraseñas', dice Jellema. 'Sólo lo hago con el permiso de una empresa. Cuando llamo por teléfono a un empleado de la empresa, suelo hacerme pasar por alguien del departamento de informática. Digo: 'Estamos viendo una actividad extraña en su cuenta, ¿me ayuda a comprobarlo?' Finjo que puedo ver su cuenta. Puede que pregunte: '¿Va lento su ordenador?'. Los ordenadores siempre van lentos, así que ahí es donde obtengo mi primer 'sí'. Les tranquilizo, hablamos'.
'Entonces digo: 'Todo parece estar bien aquí. Usted se conectó a las 8:30 de la mañana, ¿es correcto?' La mayoría de las Personas se conectan alrededor de las 9:00 am, así que eso suele ser correcto. Entonces digo: 'También estoy viendo un restablecimiento de contraseña aquí. ¿Ha sido usted? Hm, su contraseña es ahora 'welcome01'. Eso no puede estar bien, ¿no? Me temo que necesito la contraseña correcta, ¿podría deletreármela?'. Por término medio, el 60% de las personas con las que hablo por teléfono me dan su contraseña. En unos dos minutos".
Por teléfono, Jellema utiliza los 7 principios de la persuasión elaborados por el psicólogo estadounidense Robert Cialdini en 1984. Por ejemplo: reciprocidad y simpatía. Estos principios proceden del marketing y funcionan muy bien para sacar información a la gente. Podría decir: 'Parece que algo se está canalizando fuera de su cuenta en este momento. Quiero arreglárselo, pero necesito su ayuda'. Aquí se aplican las reglas de la simpatía y la reciprocidad. Creo un poco de pánico con cierta presión de tiempo y al mismo tiempo soy muy simpático y comprensivo; si le ayudo, usted también me ayudará'.
Jellema utiliza los mismos trucos que los verdaderos estafadores. 'Si éste no fuera mi trabajo, me sentiría increíblemente culpable. Por eso siempre tengo una entrevista de seguimiento enseguida con las Personas a las que he 'estafado'. Les cuento lo que hice, por qué pudieron caer en la trampa. Puede que estén conmocionados, así que les tranquilizo. También les doy siempre después mi verdadero nombre y les dejo muy claro que lo hice en nombre de su empleador'.
La ingeniería social tiene muchas formas
Existen muchas formas de ingeniería social. La más conocida es el phishing. Se puede pescar información de todo tipo de formas, explica Jellema: 'Lo que yo hago por teléfono se llama phishing de voz, o vishing. Y, por supuesto, todo el mundo conoce el phishing por correo electrónico. También vemos el smishing: phishing a través de SMS. Por ejemplo, en los Países Bajos circulan mensajes de texto falsos de las autoridades fiscales: 'Por favor, páguenos 17,95 euros'.
Recientemente, Jellema y sus colegas han observado más casos de "phishing a medida": phishing automatizado a gran escala, que utiliza correos electrónicos o mensajes de texto hechos a medida. Los delincuentes extraen información de las redes sociales con este fin. El mensaje parece totalmente pensado para usted. No es sólo: 'Hola, Nombre, Apellido', sino también: 'Llevas 4 años trabajando para esta empresa'. Romy Schellekens, miembro de nuestro equipo, investiga actualmente sobre el phishing a medida, junto con la facultad de Matemáticas e Informática de la TU Eindhoven. Nuestra hipótesis es que mucha más gente hace clic en los enlaces de este tipo de correos electrónicos'.
Sea cual sea la forma de ingeniería social, según Jellema siempre se trata de ganarse su confianza o de despertar su interés. Con el baiting, el ingeniero social utiliza un 'cebo', como su nombre indica: 'Por ejemplo, podría adjuntar un archivo interesante a un correo electrónico y enviarlo 'accidentalmente' a toda la empresa. Quizá el nombre del archivo sea 'Gestión de primas el año Siguiente'. Mi malware se oculta en ese archivo'.
Pretextar significa hacerse pasar por otra persona para ganarse su confianza. Esto suele implicar varios pasos. Un ingeniero social podría hacerse pasar por su hija. Le envía mensajes de texto desde un número diferente porque le han robado el teléfono. Una vez que usted crea ese pretexto, el ingeniero social le preguntará si podría transferir dinero a la cuenta de "un amigo". Porque no sólo le han robado el teléfono, sino también la cartera.
Un ingeniero social suele utilizar la tecnología para piratear a la gente. Pero también puede hacer el trabajo sin utilizar un ordenador o un teléfono, dice Jellema: 'A veces trabajo como huésped misterioso. Literalmente, me pagan por entrar. Por ejemplo, hace poco hice un trabajo en un museo. El encargo era: ¿hasta dónde puede penetrar en el edificio? Cuando alguien abría una puerta con su pase de acceso, yo metía el pie. Así fue como entré en el pasillo que llevaba al estudio de restauración".
Un encargo como éste puede ser bastante angustioso, dice Jellema: "Este pasillo estaba herméticamente cerrado. Vi una cámara. Un poco más adelante estaba la caseta del guarda. No había dónde esconderse, salvo un cuarto de baño. Así que Me escondí en la cabina de un baño durante 10 minutos. Al final, los guardias jefe me interceptaron y no me soltaron. Eso es lo que quieren: no perderme de vista. Pueden dejarme en recepción, pero si me dejan solo, no me quedaré quieto: como un auténtico ingeniero social".
Está en la oficina y ve a alguien que no debe estar allí. ¿Qué debe hacer? Jellema aconseja: 'No deje que las Personas sin pase entren en el edificio con usted. Puede parecer un poco grosero, pero yo siempre les digo a los extraños que intentan seguirme dentro: 'Lo siento, pero acordamos mantener la seguridad de este edificio juntos. Así que no puedo dejarle entrar si no sé qué está haciendo aquí'.
Si un desconocido ya está dentro del edificio y la situación le parece segura: hable con él. Diga: 'Disculpe, no le conozco. ¿Qué está haciendo aquí?' Si alguien parece no estar autorizado, acompáñelo a la recepción o a una persona de contacto, si menciona alguna. No es necesario esposar a nadie. Manténgase amistoso'.
Puede que esté hablando por teléfono con alguien y no se fíe. En ese caso, Jellema aconseja: 'No comparta información. Si ya lo ha hecho: termine la conversación y denúncielo lo antes posible a alguien que pueda investigar.
En los Países Bajos tenemos el eslogan: 'Pare, cuelgue, llame a su banco'. Por favor, ¡hágalo! ¿Ha hecho clic en un enlace extraño en su portátil del trabajo? Llame al departamento de informática. Cualquiera puede distraerse un viernes por la tarde. A mí también me pasa: Caigo en correos electrónicos de phishing. Pero denúncielo".
¿Quiere formar a los empleados de su empresa contra la ingeniería social? Entonces el Programa de Concienciación y Comportamiento de Seguridad (SAFE ) de Bureau Veritas Cybersecurity es para usted. No dude en Contáctenos para más información.
Mail of bel ons voor een vrijblijvend adviesgesprek over het trainen van de medewerkers van uw bedrijf tegen social engineering. We reageren binnen één werkdag.
