Seguir a @difusionlibre

DPA: Hackers y la ingeniería social, un ataque a la debilidad humana

De Moda En Venezuela en Fotos
Foto: Julian Stratenschulte/DPA

Cortesía y solidaridad son sin duda buenas cualidades en cualquier persona. Pero en Internet pueden convertirse en un problema, pues los delincuentes suelen aprovecharse de la bondad y los miedos de los demás.

La imagen más extendida de los hackers es la de alguien sentado ante su PC que evita todo contacto social. Pero la realidad es muy diferente: Lo que un ciberdelincuente suele hacer es ponerse en el lugar del usuario. Es lo que los expertos llaman ingeniería social.

“Un hacker normal trata de aprovecharse de debilidades técnicas”, dice la profesora Melanie Volkamer, del Centro de Investigación Avanzada de Seguridad (Cased), en Darmstadt. “En el caso de la ingeniería social, más bien se aprovecha de las debilidades humanas”.

Entre estas se encuentran, por ejemplo, la curiosidad o la codicia. Pero hoy en día ya casi nadie cae en los famosos correos con los cuales hombres de negocio nigerianos prometían ganancias millonarias.

El peligro está ahora en asuntos más terrenales: por ejemplo, premios de vales de compra, tiendas online o supuestas fotos o vídeos de acontecimientos actuales. Al pinchar un enlace hacia esas dudosas ofertas, el usuario importa en su PC peligrosos virus y troyanos.

Pero no todos los trucos de la ingeniería social están dirigidos a las debilidades humanas: muchos estafadores apelan a propiedades positivas como la cortesía, la generosidad o el respeto a la autoridad. Esta última se aprovecha en correos o páginas web de “phishing”, la variante más conocida de la ingeniería social.

“La víctima tiene ante sí un correo que parece proceder de su banco y piensa que todo es correcto”

“La víctima tiene ante sí un correo que parece proceder de su banco y piensa que todo es correcto”, señala Volkamer. Grave error, pues el código que se pide al cliente aterriza en manos de estafadores.

En el Cased, expertos de un grupo de trabajo de protección de la identidad en Internet han reunido algunos consejos para protegerse del phishing. Lo primero es examinar el certificado de seguridad en el enlace de la página, que aparece tras hacer clic sobre la barra de direcciones del navegador. Pero mucho más seguro es navegar desconectando el lenguaje Java en el navegador, aunque algunas páginas ya no funcionan correctamente.

Quien sospeche de un email o de una página web debe hacer en Internet una breve exploración del “asunto” u otro concepto clave del mensaje. En la Web suele haber advertencias al respecto. No obstante, nuevos métodos desarrollados en el campo de la ingeniería social hacen difícil, incluso para usuarios experimentados, reconocer malas intenciones.

“Muchos mensajes de phishing van ahora personalizados”, dice Volkamer. Para ello, los estafadores se aprovechan de informaciones personales disponibles en Internet. Estos datos hacen más creíble la toma de contacto, porque la página web o el correo, por ejemplo, contienen ya el nombre correcto de la víctima. Datos tales como el nombre de los padres o el de la mascota pueden servir al atacante también para adivinar contraseñas o responder correctamente a preguntas de seguridad.

Datos tales como el nombre de los padres o el de la mascota pueden servir al atacante

Existen incluso programas que analizan subastas de eBay, señala el Tobias Scheffer, del instituto de informática de la universidad alemana de Potsdam. La víctima “recibe spam con su nombre verdadero sobre una nueva puja en una subasta que se encuentra activa en ese momento”. Y esto es también un clásico caso de phishing: se invita al usuario a hacer clic sobre un enlace para descargar software malicioso o entregar datos personales.

Otro truco consiste en abrir cuentas falsas en redes sociales. El hacker comprueba la lista de amigos de la víctima en una red social. Luego comprueba si estos amigos aparecen también en otras redes. En caso de no ser así, se hace pasar por uno de los amigos y trata de sonsacar a su víctima informaciones personales. Cualquiera puede ser objeto de un ataque semejante, advierte Melanie Volkamer. “La gente suele hacerse ideas falsas sobre quien puede ser atacado y quien no”.

Los ataques de ingeniería social suelen preferir como objetivos a empresas y sus colaboradores, sobre todo en cuanto a espionaje industrial. Se da el caso de un nuevo empleado que recibe una llamada de un supuesto colega, diciéndole que se encuentra de vacaciones y no puede abrir su correo – “¿podrías darme la contraseña, por favor?”, advierte Melanie Volkamer.

Otra debilidad humana explotada por la ingeniería social es la impaciencia. “Sobre todo en Internet queremos que las cosas sigan adelante, y rápido”, dice Volkamer. Por ello, se ignoran las advertencias, se abandona abruptamente el correo y se hace clic sobre enlaces sin mirarlos. Los hackers crean estrés en sus víctimas y simulan tener prisa. “No permita que nadie lo ponga bajo presión”, dice la especialista. “Nada se pierde en los dos segundos que se necesita para pensar”.

Fuente: Noticias24


¡Otra final para La Roja!
Springpad permite organizar todos los Me Gusta y Check-in de Facebook en un timeline