Autor: Dr. Mario Ramón Duarte
Abogado (UCASAL)
Juez Administrativo de Faltas Sauce (Ctes.) M/C
Especialista Derecho Faltas y Contravencional (UCSF)
Miembro Dossier Geopolítico/Cees (CBA. ARG) (CABA-ARG).
Colaborador CENEGRI (RJ. BRA.)
Esp. Ciberseguridad y Ciberdefensa
En
pleno comienzo de este convulsionado siglo XXI por múltiples
factores que de una u otra forma inducen a pensar, que todo tiene una
razón de ser debido a que el planeta necesitaba urgentemente darse
un tiempo, un respiro ante tanta agresividad; parece una obviedad
afirmar al día de hoy que, en nada sorprende lo que ocurre y
absolutamente todo ello gira sin dudas en torno a la Geopolitica del
Coronavirus en el presente inmediato.
Ahora
bien y entrando a la temática propuesta en esta ocasión, en materia
tecnológica, parece una obviedad también afirmar al día de hoy
que, a raíz de lo precedentemente esbozado, vivimos épocas
convulsas cargadas de posverdad y noticas faltas, donde la
manipulación a gran escala ha venido para quedarse. Quien más y
quien menos es capaz de imaginar la repercusión que estas armas de
desinformación masiva pueden tener en la estabilidad de democracias
y estructuras de gobiernos. Sin embargo, son menos los que analizan
que mecanismos son los que hacen que la maquinaria de influencia se
ponga en marcha, y resulta que esos engranajes están en nuestro
cerebro.
A
raíz de todo lo expuesto podemos afirmar que la Ingeniería Social
ha dado una vuelta de tuercas en los albores de este siglo, sin dudas
a equivocarnos, enriquecida por las nuevas tecnologías y también
por el auge de las redes sociales, que se han convertido en una
fuente de datos inagotables (big data) y enormemente accesible a
todos. Pero no solo ha mutado en lo que a metodología se refiere,
sino también en cuanto a sus pretensiones y fines últimos,
apostando por atacar a la línea de flotación de funcionamiento de
los Estados, es decir a un objetivo mayor.
Amén
de ello, la Ingeniería Social sigue dando pasos gigantescos con un
atrevimiento que antoja atípico, no parece que la percepción que se
tiene de la misma y su potencial haya cambiado un ápice, de manera
especial en el contexto de la Seguridad Informática y el nuevo
quinto elemento de la Geopolítica: el Ciberespacio.
Por
ello y todo expuesto ut-supra podemos afirmar que la Ingeniería
Social, es la práctica de obtener información confidencial a través
de la manipulación de usuarios legítimos, técnica que pueden usar
ciertas personas para la obtención de información, accesos o
permisos en sistemas de información, que les permite realizar algún
acto que perjudique o exponga a una persona o a un organismo
comprometido a riesgos o abusos, y precisamente los eslabones más
débiles de cualquier cadena son siempre los seres humanos, y es allí
donde la Ingeniería Social aprovecha para atacar, tratando explotar
el punto débil, apelando a la vanidad, la avaricia, la curiosidad,
el altruismo, el respeto o temor a la autoridad de las personas, para
conseguir que revele cierta información o que permita el acceso a un
sistema informático.
En
la actualidad existen infinitas técnicas de Ingeniería Social que
utilizan los ciberdelinduentes, desde cebos, es decir ofrecer algo
que desea para conseguir que el usuario descargue un archivo
malicioso; también el phishing es otra muy conocida y principalmente
es la más utilizada en nuestro país, es decir un correo electrónico
fraudulento para que comparta información personal; los pretextos,
hacerse pasar por otra persona con el fin de tener acceso a
información privilegiada; o scareware, que es cuando se engaña a un
sujeto para que crea que su equipo está infectado con malware y
luego ofrecer una solución que infecta el ordenador. Otra técnica
conocida es el vishing, que se realiza a través del teléfono y
consiste en la suplantación de identidad de una persona o una
compañía, para la obtención de información confidencial; otra
frecuente es por las redes sociales, lugar donde los cibercriminales
consiguen a menudo extorsionar a los internautas. El smishing,
técnica utilizada a través de los mensajes de texto también, con
suplantación de identidad, donde también los cibercriminales
intentan principalmente que las victimas pinchen en un enlace, llamen
a un numero de teléfono o respondan al mensaje entre otras.
¿Entonces
una vez que conozcamos todos estos indicios, como reconocemos la
Ingeniería Social? Para ello es preciso tener siempre en cuenta que
cualquier consejo o ayuda que no hayamos solicitado, se debe tratar
con suma precaución, en espacial cuando se realiza un clic en un
determinado enlace, puesto que ello es una probabilidad de que se
trate de un fraude de Ingeniería Social, de esta manera también
cuando nos solicitan una contraseña o información financiera. Si
bien es dable entender ciertamente que la Ingeniería Social al ser
una técnica en contraposición de algo físico, eso hace que se haga
imposible eliminarla de nuestro ordenador, y aunque parezca irrisorio
o inentendible, la única forma de prevención es tomar todos los
recaudos esbozados precedentemente y no dejarse engañar, por
supuesto sin dejar de mencionar que se debe contar siempre con un
buen antivirus, además del sentido común y precaución como ya
expresamos.
Una
vez descripto en forma individual el riesgo que corremos, también
hay que decir que, a otro nivel mucho más elevado, los
estados-nación están participando activamente en campañas de
Ingeniería Social, o al menos la usan como parte de ataques muchos
más sofisticados, que son las amenazas persistentes avanzadas (APT).
Este tipo de ciberespionaje on line cumple un rol importante en los
esfuerzos cibernéticos de países que son potencias tecnológicas
como EEUU, China, Rusia, etc. Por eso, mientras que el termino APT
sugiere el uso de tecnología maliciosa sofisticada, los ataques APT
a menudo se basan en la antigua táctica de Ingeniería Social con el
fin de lograr la introducción inicial en un sistema, es decir cuando
el objetivo del intruso es el ciberfraude o ciberespionaje,
preferentemente ataca el sistema de personas con un puesto alto
dentro de la organización, de modo de tener acceso a datos
confidenciales.
Repetimos
la percepción de inseguridad de la red, afecta nuestro óptimo
aprovechamiento de los enormes beneficios que nos acerca. Un poco de
atención y cuidado, y un permanente estado de alerta ante los
riesgos, evitará que la gran mayoría de los intentos de estafa
logren suceder.
Si
las técnicas de ingeniería social se pueden usar para obtener
información privada o imponer un punto de vista o una nueva ley
antes contraria al sentir popular ¿por qué no podría usarse para
lo contrario? En ese sentido, el filósofo Karl Popper, opinaba que
de hecho esa era la manera correcta de usarla. Para él, lo propio de
la ingeniería social era el resolver los problemas sociales en forma
análoga a como un ingeniero hace para que exista mayor producción.
En
conclusión, tanto la comunicación política y de gobierno como
otras disciplinas involucradas de lleno en la cuestión tecnológica
como la ciberseguridad, tienen mucho que ofrecer para el mejoramiento
de nuestras sociedades y si bien es cierto que la ingeniería social
suele tenérsele en un concepto negativo, también es cierto que es
necesaria para resolver muchas problemáticas de comunicación y de
conducta tanto a nivel individual como a nivel social por lo
que me parece importante la formación en este aspecto.
Por
último y de acuerdo a todo lo expuesto en el presente artículo, es
necesario replantarse realmente si la Ingeniería Social, entendida
como tal es “la materia pendiente” dentro de la ciberseguridad, y
para ello es menester revertir muchos conceptos entre ellos, entender
que el ser humano no es el eslabón más débil, sino el más
fundamental, puesto que la Ingeniería Social está fundamentada en
la conducta humana, en los principios psicológicos que rigen nuestra
mente y nuestras decisiones en los comportamientos sociológicos que
comparten la mayoría de las personas. Sus
cimientos son atemporales, existen desde que el hombre es hombre. Si
continuamos minusvalorando al enemigo, estaremos abocados a perder la
partida.
FUENTES
CONSULTADAS