La semana pasada, MGM Resorts informó un problema importante en el sistema que supuestamente provocó el mal funcionamiento de las máquinas tragamonedas, las llaves de las habitaciones y otros dispositivos críticos. ¿Qué técnicas sofisticadas se requirieron para piratear un imperio de casinos y hoteles de casi 34 mil millones de dólares? Según los propios hackers (y aparentemente confirmado por una fuente que habló con Bloomberg), todo lo que hizo falta fue una llamada telefónica de diez minutos.
Los presuntos piratas informáticos detrás del problema de MGM parecen haber obtenido acceso a través de uno de los vectores más comunes y de baja tecnología: un ataque de ingeniería social. La ingeniería social manipula psicológicamente a un objetivo para que haga lo que el atacante quiere o revele información que no debería; en este caso, aparentemente ataca rápidamente a un empleado desprevenido del servicio de asistencia técnica de TI. Las consecuencias van desde la destrucción de corporaciones globales hasta la devastación de las finanzas personales de las desventuradas víctimas individuales. Pero, ¿qué hace que los ataques de ingeniería social sean tan efectivos y por qué son tan difíciles de prevenir?
Parece contradictorio dar información confidencial a un completo desconocido, pero los delincuentes han desarrollado formas de engañarte para que te sientas cómodo haciendo precisamente eso. Esto puede implicar generar confianza gradualmente, recopilar información sobre usted para que parezca que lo conocen o usar un sentido de urgencia para que actúe rápidamente sin pensar en lo que está renunciando. Es por eso que rasgos de personalidad como la extroversión, la amabilidad y la apertura a nuevas experiencias son comunes entre las víctimas de la ciberseguridad, según Eric Huffman, un investigador que estudia la psicología detrás de las tendencias de la ciberseguridad.
“El miedo es un vector de ataque. La utilidad es el vector de ataque”, dijo Huffman. «Cuanto más cómodo te sientes, más vulnerable te vuelves a la piratería».
Además, hay menos señales sociales en un entorno digital en comparación con las interacciones cara a cara, por lo que una víctima potencial puede no estar tan alerta a señales potencialmente sospechosas, dijo Huffman. Leemos los mensajes con nuestra propia voz, proyectando nuestra buena voluntad en ellos de una manera que normalmente no ocurre en persona. Hay menos información, como señales sociales o lenguaje corporal, para guiarnos o darnos una sensación de que algo anda mal.
Un ataque de ingeniería social puede ser tan simple como una llamada telefónica falsamente urgente de un estafador para obtener la información de su tarjeta de crédito para realizar un hurto menor. Pero según el investigador principal de Sophos X-Ops, Andrew Brandt, existen «ataques de Rube Goldberg» cada vez más complejos que implican múltiples enfoques para engañarte. Como ejemplo de un ataque de este tipo, Brandt observó que los estafadores primero actuaban por teléfono para engañar al objetivo para que hiciera clic en un correo electrónico también enviado por el estafador. Al hacer clic en el correo electrónico se desencadenó una cadena de ataques que incluían malware y software de acceso remoto.
Probablemente encontrarás esto en un nivel mucho más simple. Es posible que reciba un mensaje de alguien que se hace pasar por su jefe pidiéndole tarjetas de regalo, o que lo engañen para que haga clic en un enlace malicioso que falsifica sus credenciales. Pero de una forma u otra, probablemente lo encontrará tarde o temprano, ya que aproximadamente el 98 por ciento de los ataques cibernéticos se basan en algún grado de tácticas de ingeniería social, según la investigación de Splunk.
Hay otras señales de advertencia a las que la gente puede prestar atención. Tener que descargar un archivo inusualmente grande, un archivo zip protegido con contraseña que no se puede escanear en busca de malware o un archivo de acceso directo sospechoso son signos de un ataque potencial, dijo Brandt. Pero en gran parte son intuiciones, y se necesita tiempo para dar un paso atrás antes de considerar qué podría salir mal.
«Es una práctica que requiere repetición y ensayo una y otra vez para desconfiar reflexivamente de lo que te dicen personas que no conoces», dijo Brandt.
Huffman dijo que las personas pueden intentar evitar convertirse en víctimas reconociendo las limitaciones del entorno digital y haciendo preguntas como: ¿Tiene sentido que esta persona se acerque a mí? ¿Esta persona actúa de manera confiable? ¿Tiene esta persona la autoridad o posición para dar tales instrucciones? ¿Esta persona realmente entiende el tema que estamos discutiendo?
Los ataques de ingeniería social ocurren todo el tiempo, tanto a grandes corporaciones como a personas comunes y corrientes. Sabiendo que nuestros rasgos bondadosos pueden ser nuestra mayor debilidad, cuando nos enfrentamos a esta variedad de malos actores, puede resultar tentador dejar de ser buenos por completo en aras de la seguridad. La clave es equilibrar nuestros instintos sociales con un escepticismo saludable. «Puedes ser útil», dijo Huffman, «pero ten cuidado».