Ingeniería social: el arte de "hackear" el sistema operativo humano.

Los delincuentes informáticos siempre buscan formas para acceder a la información de forma no autorizada y obtener beneficios económicos. Muchas de las técnicas que utilizan están relacionadas con el acceso a los sistemas informáticos mediante la explotación de alguna vulnerabilidad no atendida, no obstante, en ocasiones los sistemas están bien asegurados y sin embargo el delincuente logra ingresar en el sistema mediante el uso de credenciales válidas obtenidas de manera fraudulenta de un usuario autorizado, a esto se le conoce como ingeniería social.

La ingeniería social es una técnica utilizada desde hace mucho tiempo para "hackear el sistema operativo humano" es decir hacer que las personas realicen acciones no deseadas que puedan llegar a poner en riesgo la información personal o de la organización.

Los objetivos que persigue la ingeniería social son los mismos que tiene el "hacking": ganar acceso no autorizado a sistemas informáticos, redes, datos digitales o información y esta dirigida generalmente a organizaciones que pueda llegar a tener información de interés para el atacante. 

Existen un gran numero de situaciones en las cuales se puede poner en riesgo información confidencial, estas son solo algunas de ellas: 

Almuerzo de trabajo en sitios públicos: es impresionante la cantidad de información que se puede reunir en un restaurante, muchos de los empleados hablas acerca de nuevos proyectos, futuros negocios, nuevas contrataciones o despidos.  Evite hablar de asuntos confidenciales en sitios públicos incluido el transporte público.

Reutilización de papel impreso: preste atención cuando se reimprime en papel utilizado para ahorrar dinero y ser ecológico, en algunas ocasiones la información que esta en el otro lado de la página puede ser importante, por ello, las destructoras de papel son de gran ayuda y los residuos se pueden reciclar. 

Información confidencial en la basura: mucha de la información confidencial de la organización es impresa, y esta se desecha al tacho de la basura directamente, nuevamente se recomienda una destructora de papel.

Puestos de trabajo con información confidencial expuesta: anteriormente se requería que el atacante robara documentos físicos para extraer información, hoy en día basta con un dispositivo móvil para tomar fotografías de la información confidencial y nadie sospechará del robo. Mantenga una política de escritorios limpios, bloquee la pantalla de su ordenador cada vez que se ausente de su puesto y manténgase alerta de personas desconocidas cerca de las oficinas.

Existen un gran número de situaciones adicionales donde un delincuente puede llegar a intentar obtener datos, estas son algunas de ellas: phishing, tailgating, shulder surfing, dumpster diving entre otros. 

El perpetrador experto en estas técnicas también puede llegar a tener dotes de carisma, persuasión y manipulación para intentar obtener información de empleados y contratistas. 

La mejor manera de proteger a la organización contra los ataques de ingeniería social es mantener el personal capacitado y concientizado, por ello, incluir charlas regulares y campañas recurrentes acerca de este tema, mantendrá a su personal alerta para detectar esta clase de amenazas.

Recuerde que el empleado es el eslabón más débil de la cadena de seguridad, capacitarlo, aumentará la seguridad de su organización. 

hacker, hackear ... como entender estos términos.

“Hackear: investigar cómo hacer que algo funcione de forma diferente a la que fue diseñada.”

Si revisamos los titulares de los periódicos o vemos los noticieros, casi siempre se refieren a los hackers como los delincuentes que se meten a los computadores y roban la información, también son vistos como personajes oscuros que son capaces de obtener contraseñas de acceso a casi cualquier red social, sistema informático o buzón de correo, o también como los chicos malos que pueden dejar fuera de servicio un sistema informático.

Para aclarar un poco el tema vamos a ayudarnos de las definiciones dadas por algunas entidades conocidas como la RAE: 

Hacker: Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora.

Se puede decir que el hacker es una persona con altos conocimientos en tecnología informática, el asunto es cuando esos conocimientos son utilizados para cometer delitos informáticos, en esos momentos es cuando el hacker deja de ser hacker para convertirse en un “delincuente informático”.

Delito informático: es toda aquella acción ilegal que se realiza en el entorno digital, espacio digital o de Internet.

Lamentablemente los delitos informáticos dejan grandes sumas de dinero y ya no es solo un individuo sino organizaciones completas de delincuentes las que se lucran con este negocio. Desde hace algunos años, el secuestro de información (ramsomware) se ha convertido en uno de los negocios que mayores ganancias les está dejando a estas organizaciones, las cuales son difíciles de rastrear o ubicar debido a su anonimato.

En la mayoría de los casos, no es que estos delincuentes sean buenos, también sucede que les facilitamos en trabajo poniendo contraseñas débiles, utilizando software pirata, omitiendo las actualizaciones de los sistemas operativos, evadiendo las revisiones de ciberseguridad  entre otras cosas.

Regresando al lado blanco de la definición, existen a nivel mundial certificaciones en hacking que son tomadas por personas con altos conocimientos en tecnología para demostrar sus habilidades y poder ser contratados por organizaciones que desean probar en ambientes controlados, como esta su seguridad.

Empresas grandes como Microsoft y Google entre otras, pagan grandes sumas de dinero a investigadores en seguridad (hackers)  para que reporten problemas en sus aplicaciones.

Así que, la próxima vez que vea los noticieros y escuche hablar acerca de hackers, recuerde: si está cometiendo un delito entonces es un delincuente informático, ya no es un hacker.


Nota adicional:

Para Colombia, es importante tener en cuenta que existen leyes que tratan los delitos informáticos, como lo es la Ley 1273 de 2009,  la cual agregó el bien jurídico tutelado “De la protección de la información y de los datos”, además, tipifica como delito informático las siguientes conductas:

• Acceso abusivo a un sistema informático.
• Obstaculización ilegítima de sistema informático o red de telecomunicación.
• Interceptación de datos informáticos.
• Daño Informático.
• Uso de software malicioso.
• Violación de datos personales.
• Suplantación de sitios web para capturar datos personales.
• Hurto por medios informáticos y semejantes.
• Transferencia no consentida de activos.


Si desea proponer un tema para el blog o hablar acerca de los temas expuestos en este blog, por favor utilice el formulario de contacto.