|
|||||||
|
|
|
|||||
|
|
|||||||
Introducción a la Ingeniería Social
Se entiende por este término al método por el cual los datos necesarios para efectuar alguna maniobra son obtenidos directamente de las víctimas o de allegados a ellos. Cuando se hace necesario conocer algo que por otras vías no es posible se recurre a este medio, que en esencia consiste en comunicarse con la víctima, convencerla de entablar un diálogo y "sacarle" la información sin que se de cuenta de lo que realmente sucede. Se emplea tanto para obtener números de tarjetas de crédito como para números electrónicos de celulares. También es común en estafas con hoteles de tiempo compartido o con la compra de teléfonos por suscripción.
Anteriormente la ingeniería social era despreciada como método de hackeo, por no considerarla un método "técnico". Pero con el tiempo fue aceptada dado que grandes maniobras hubiesen sido imposibles de perpetrar sin hacer ingeniería social.
Cabe aclarar que ingeniería social hace pensar en comunicarse, obtener datos, analizarlos y posteriormente utilizarlos para otro fin que el que se le informó a quien originalmente se le solicito la información. Ya sea con fines de bien o de mal la ingeniería social es un delito en varios países por violar la privacidad individual e incluso el Habeas Data, que protege la información privada de las personas. Ya sea para obtener un número de tarjeta de crédito y con él comprar un televisor o para obtener la clave de correo electrónico de otra persona y mandarle un mensaje diciéndole lo precario que es el sistema de seguridad si revela su contraseña la práctica de la ingeniería social en países donde existe el Habeas Data es un delito y es penado como tal.
Es erróneo pensar que ingeniería social se limita a telefonear y obtener información. También debe ser considerado como ingeniería social las publicidades que "invitan" a la gente a escribir una carta y enviarla a determinada dirección con sus datos para un sorteo o tomar los datos acusando una supuesta encuesta en la vía pública. Un caso típico de ingeniería social es cuando los programas de radio y televisión piden al público que se comuniquen telefónicamente, marquen su número de documento y esperen a ser llamados al azar.
Otro aspecto que suele confundir es el fin ilícito de la maniobra. Tanto sea para hacer un acto de buena fe como para llevar a cabo la estafa mas grande de todos los tiempos, el hecho de obtener la información desde la gente misma implica ingeniería social. Llamar a alguien por teléfono, pedirle los números de serie de su teléfono móvil y clonar otro con esos datos es ingeniería social, además de una estafa. Llamar en nombre del banco, pedirle la clave de seguridad de la banca electrónica y enviarle una carta para informarle de la gravedad de sus revelaciones también es ingeniería social, y también puede ser delito de estar en un país con Habeas Data.
El porque de la ingeniería social es muy simple de entender: Siempre es necesario contar con información. sobre todo en movimientos relacionados con la seguridad informática, donde los actos caminan por la cuerda floja que separa lo legal de lo ilegal sin estar debidamente delimitado. Que diferencia hay entre el peor de los rateros que quiere vaciar un domicilio o un experto en computación que quiere hacerse con una importante base de datos de determinada empresa. El primero necesita saber a que hora no hay nadie en casa. El segundo necesita saber a que hora no está el administrador del sistema. En esencia es lo mismo. Claro que estos son sólo someros ejemplos, porque para ambos casos con esa sola información no alcanza, pero siempre la pieza clave es la información. Mientras mas información relativa se tenga mas posibilidades de éxito se tendrán.
Tampoco hay que creer que la ingeniería social es de un solo sentido. No siempre es el estafador o hacker que embauca a su víctima. A veces, sistemas basados en ingeniería social son diseñados para proteger a las víctimas de hechos delictivos como robos o atracos. Podemos citar como ejemplo el código de seguridad alternativo de los cajeros automáticos que hacen que la cuenta de la víctima parezca tener poco dinero. Permite las extracciones, pero de escaso monto. De esta forma la víctima de un asalto que es obligada a ir a un banco electrónico a extraer todo el dinero de las cuentas puede marcar este código especial y extraer dinero sin que nada se preste a sospecha por parte del asaltante, pero en realidad el sistema esta disfrazando el saldo real por otro de mucho menor tamaño y está impidiendo que el malhechor se haga con los ahorros de la víctima en su totalidad.
Por último la ingeniería social no solo está enfocada al engaño de personas, sino que empresas y corporaciones de cualquier envergadura pueden ser víctimas. De hecho es mas fácil embaucar a una ingenua telefonista de una empresa que a una ama de casa.
Como podrá deducir a esta altura la ingeniería social tiene un espectro mucho mas amplio del que mucha gente cree y puede ser tan benéfica como perjudicial según de que lado se esté y que precauciones se tomen.