Comenzó Ekoparty: qué es la ingeniería social y cómo se usa para hackear

Este miércoles comenzó Ekoparty, el “evento hacker” que se hace en el Konex, en la Ciudad de Buenos Aires donde se reúnen especialistas en ciberseguridad de diferentes partes del mundo. En este punto vale aclarar que se denomina hacker a un experto en informática que conoce e investiga vulnerabilidades en los sistemas.

Cuando se utiliza este conocimiento para generar medidas de prevención o proteger a una industria, organización o sociedad se habla de hackers de sombrero blanco. La palabra “hacker” no necesariamente hace alusión a una persona que vulnera sistemas para hacer algún daño, aunque habitualmente se le da esa connotación. Quienes emplean el conocimiento con ese propósito se suelen llamar hackers de sombrero negro.

El espíritu de este encuentro, que se realiza anualmente desde hace 15 años en la Ciudad, es concientizar sobre los riesgos que hay en el mundo actual y capacitarse para protegerse ante las ciberamenazas que existen y que van creciendo a diario.

En Ekoparty, expertos de ciberseguridad dictan charlas y talleres pensados para gente con formación en el área de sistema o al menos un conocimiento entre intermedio y avanzado en informática.

La ingeniería social fue uno de los temas que protagonizó la primera jornada y que también estará presente durante el resto del encuentro. ¿Por qué? Es una de las principales “puertas de entrada” que usan los ciberatacantes.

Qué es la ingeniería social

Se denomina ingeniería social a las diferentes técnicas de manipulación que se emplean para obtener información confidencial por parte de los usuarios: es el famoso “cuento del tío”, pero con técnicas un poco más sofisticadas y que se aplican dentro del entorno digital.

Esta idea se basa en el concepto de que los usuarios son el eslabón más débil de la cadena. Es decir que para vulnerar un sistema muchas veces lo más sencillo es engañar a las personas y lograr que sean ellas mismas las que, de alguno u otro modo, ofrezcan sus datos privados como credenciales de acceso o contraseñas.

Kevin Mitnick es un conocido informático estadounidense que hoy se dedica a la consultoría desde la óptica de la ingeniería social pero que a mediados de los noventa se hizo conocido tras haber vulnerado la seguridad de varios sistemas y llegó a estar en prisión por eso. Mitnick solía decir que es mucho más fácil engañar a alguien para que facilite la contraseña de acceso a un sistema que esforzarse por intentar entrar a ese sistema.

Dentro de las técnicas de ingeniería social una de las que más creció fue el phishing, tal como se denomina a las acciones que consisten en el envío de mensajes, mails o chats con la solicitud del dato de una tarjeta, usuario o contraseña con el supuesto objetivo de renovar una cuenta, actualizar un password, o lo que sea.

Descripto de este modo parece que es algo demasiado evidente como para que un usuario caiga en la trampa, sin embargo, es uno de los mecanismo de engaño que más crece porque la persona recibe un supuesto mail o mensaje del banco, organismo de gobierno, su empresa o red social donde tiene una cuenta y no sospecha de que se trata de un correo ilegítimo. Ese correo incluye un link que remite a un sitio que es igual al de su banco, red social o lo que fuese y entonces el usuario, creyendo que está en el sitio legítimo ingresa su usuario y contraseña. Así se orquestan estos engaños.

Cómo protegernos de estos engaños

Verificar el nombre del dominio

“Una de las medidas para protegerse es siempre verificar el link a donde el usuario es remitido, porque la mayoría de los sitios de phishing están alojados en una dirección web que no pertenece al proveedor”, explica en diálogo con Infobae, Federico Kirschbaum, especialista en seguridad y uno de los organizadores de Ekoparty.

Para corroborar esto, hay que prestar atención a la URL del sitio al cual el link remite. Si es un sitio malicioso el nombre del dominio no será legítimo. Otra medida de precaución es, desde el buscador Firefox, apoyarse sobre el ícono del protocolo de seguridad (HTTPS), representado por un candado verde, presionar en el nombre, más información y dentro de la solapa Seguridad elegir “Ver certificado” y allí se podrá ver el nombre de la entidad que recibió el certificado.

Lo ideal, de todos modos, es evitar ingresar a cualquier link que llegue por mail aún cuando supuestamente sea algo “urgente” . Lo más seguro es tipear la dirección del sitio web que se quiere visitar directamente en el navegador. Y para verificar si el pedido que se solicita por correo es legítimo, basta con llamar a la entidad en cuestión.

Activar el segundo factor de autenticación

“Otra manera de protegerse es usar segundo factor de autenticación, un servicio que la mayoría de los sitios tienen. Cuando se activa esto, además de la contraseña implica el ingreso de un token que permite que si alguien obtiene tu password no pueda tener acceso a tu cuenta porque también necesitará ese código o token”.

Para activarlo hay que ingresar en el sitio en cuestión: Gmail, redes sociales, o servicios de mensajería, ir hasta el menú de configuración y dentro del apartado Seguridad o Privacidad, donde se cambia contraseña, también se encuentra la posibilidad de habilitar este segundo paso de verificación.

No usar la misma contraseña en todos los sitios

"A veces el usuario tiene una misma clave para todos sus sitios y si uno de ellos, con menos seguridad, es vulnerado y se obtienen las contraseñas del usuario, entonces esas mismas contraseñas pueden ser usadas para acceder a otros sitios”, remarca Kirschbaum.

Existen dos sitios, como Have I been Pawned o Firefox Monitor donde se compilan los casos de filtraciones que viene ocurriendo hace años. Se puede ingresar el mail (sólo el correo, no hay que ingresar clave ni ningún otro dato adicional) para ver si esa dirección está en alguna de las tantas fugas de datos que hubo a lo largo de los años. Google, por su parte, lanzó hace poco Password Checkup, una herramienta que alerta al usuario sobre vulneraciones de este tipo, pero, en este caso, se requiere la instalación de una extensión en el navegador de Chrome.

¿Qué hacer si el sitio alerta que nuestro correo aparece en algún listado de filtraciones de información? Como primera medida cambiar la contraseña y luego activar el segundo factor de autenticación si es que ya no se hizo.

“Hay que entender que la seguridad informática está vista desde el lado tecnológico pero no se puede dejar de hablar desde el lado humano, de las personas que son parte del servicio”, analizó Krischbaum. Con esta lógica fue que en Ekoparty se decidió brindar varias propuestas para concientizar sobre la ingeniería social y los engaños que se dan a nivel de usuario. No hace falta ser un experto informático para protegerse, basta con tomar precauciones simples, como las que se mencionaron para reducir, al menos, la chances de que la privacidad o seguridad sea vulnerada. “Hay que entender que los ataques de ingeniería social están lejos de ser una cuestión meramente técnica y pueden tener un impacto muy fuerte y severo para el usuario”, concluyó el especialista.

MÁS SOBRE ESTE TEMA: