\n<\/p>\n
La semana pasada, MGM Resorts revel\u00f3 un problema masivo en los sistemas que supuestamente dej\u00f3 inoperables las m\u00e1quinas tragamonedas, las llaves de las habitaciones y otros dispositivos cr\u00edticos. \u00bfQu\u00e9 m\u00e9todos elaborados se requirieron para romper un imperio de casinos y hoteles de casi 34 mil millones de d\u00f3lares? Seg\u00fan los propios hackers (y aparentemente confirmado por una fuente que habl\u00f3 con Bloomberg), todo lo que hizo falta fue una llamada telef\u00f3nica de diez minutos.<\/p>\n
Los presuntos piratas inform\u00e1ticos detr\u00e1s del problema de MGM, seg\u00fan todas las apariencias, obtuvieron acceso a trav\u00e9s de uno de los vectores m\u00e1s ubicuos y de baja tecnolog\u00eda: un ataque de ingenier\u00eda social. La ingenier\u00eda social manipula psicol\u00f3gicamente a un objetivo para que haga lo que el atacante quiere, o entregue informaci\u00f3n que no deber\u00eda, en este caso, aparentemente, atac\u00e1ndole a un desprevenido trabajador de la mesa de ayuda de TI. Las consecuencias van desde derribar corporaciones globales hasta devastar las finanzas personales de desafortunadas v\u00edctimas individuales. Pero, \u00bfqu\u00e9 hace que los ataques de ingenier\u00eda social sean tan efectivos y por qu\u00e9 son tan dif\u00edciles de prevenir?<\/p>\n
Parece contradictorio entregar informaci\u00f3n confidencial a un completo extra\u00f1o, pero los atacantes han desarrollado formas de enga\u00f1arlo para que se sienta c\u00f3modo haciendo precisamente eso. Estas podr\u00edan incluir generar confianza con el tiempo, recopilar informaci\u00f3n sobre usted para que parezca que lo conocen o usar un sentido de urgencia para que act\u00fae r\u00e1pidamente sin pensar en lo que est\u00e1 renunciando. Es por eso que los rasgos de personalidad comunes entre las v\u00edctimas cibern\u00e9ticas incluyen ser extrovertido, agradable y abierto a nuevas experiencias, seg\u00fan Erik Huffman, un investigador que estudia la psicolog\u00eda detr\u00e1s de las tendencias de ciberseguridad.<\/p>\n
\u201cEl miedo es un vector de ataque. La utilidad es un vector de ataque\u201d, dijo Huffman. \u00abCuanto m\u00e1s c\u00f3modo te sientas, m\u00e1s pirateable te volver\u00e1s\u00bb.<\/p>\n
Adem\u00e1s, los entornos digitales tienen menos se\u00f1ales sociales que estar cara a cara, por lo que una v\u00edctima potencial no es tan buena para detectar se\u00f1ales potencialmente sospechosas, dijo Huffman. Leemos los mensajes con nuestra propia voz, proyectando en ellos nuestra buena voluntad, lo que normalmente no sucede en persona. Hay menos informaci\u00f3n, como se\u00f1ales sociales o lenguaje corporal, para guiarnos o darnos la sensaci\u00f3n de que algo anda mal.<\/p>\n
Un ataque de ingenier\u00eda social podr\u00eda ser tan simple como una llamada telef\u00f3nica falsamente urgente de un estafador para obtener la informaci\u00f3n de su tarjeta de cr\u00e9dito para un robo de bajo nivel. Pero hay \u201cataques de Rube Goldberg\u201d cada vez m\u00e1s complicados que combinan m\u00faltiples enfoques para enga\u00f1arlo, seg\u00fan el investigador principal de Sophos X-Ops, Andrew Brandt. En un ejemplo de un ataque de este tipo, Brandt observ\u00f3 que los estafadores primero operaban por tel\u00e9fono para lograr que un objetivo hiciera clic en un correo electr\u00f3nico tambi\u00e9n enviado por el estafador. Una vez que se hac\u00eda clic en \u00e9l, el correo electr\u00f3nico activaba una cadena de ataque que inclu\u00eda malware y software de acceso remoto.<\/p>\n
Lo m\u00e1s probable es que lo encuentres en un nivel mucho m\u00e1s simple. Es posible que reciba un mensaje de texto de alguien que se hace pasar por su jefe pidi\u00e9ndole tarjetas de regalo o que lo enga\u00f1en para que haga clic en un enlace malicioso que suplanta sus credenciales. Pero de una forma u otra probablemente te topar\u00e1s con esto eventualmente, ya que se estima que el 98 por ciento de los ciberataques dependen hasta cierto punto de t\u00e1cticas de ingenier\u00eda social, seg\u00fan una investigaci\u00f3n de Splunk.<\/p>\n
Hay otras se\u00f1ales de advertencia a las que la gente puede prestar atenci\u00f3n. Tener que descargar un archivo inusualmente grande, un archivo zip protegido con contrase\u00f1a que no se puede escanear en busca de malware o un archivo de acceso directo sospechoso son signos de un ataque potencial, seg\u00fan Brandt. Pero en gran parte se trata de una corazonada y de tomarse el tiempo para dar un paso atr\u00e1s antes de proceder a considerar qu\u00e9 podr\u00eda salir mal.<\/p>\n
\u00abEs una pr\u00e1ctica que requiere repetici\u00f3n y ensayo una y otra vez para desconfiar reflexivamente de lo que te dicen las personas que no conoces\u00bb, dijo Brandt.<\/p>\n
Huffman dijo que las personas pueden intentar evitar ser v\u00edctimas reconociendo las limitaciones de un entorno digital y haciendo preguntas como: \u00bfTiene sentido que esta persona se comunique conmigo? \u00bfEsta persona se comporta de manera confiable? \u00bfTiene esta persona la autoridad o posici\u00f3n de poder para dar estas instrucciones? \u00bfEsta persona realmente entiende el tema que estamos discutiendo?<\/p>\n
Los ataques de ingenier\u00eda social ocurren constantemente, tanto a grandes corporaciones como a la gente com\u00fan. Sabiendo que nuestros rasgos de buen car\u00e1cter pueden ser nuestra mayor debilidad cuando nos enfrentamos a esta variedad de malos actores, puede resultar tentador dejar de ser amable por completo por razones de seguridad. La clave es equilibrar nuestros instintos sociales con un escepticismo saludable. \u00abPuedes ser \u00fatil\u00bb, dijo Huffman, \u00abpero ten cuidado\u00bb.<\/p>\n<\/div>\n