Eso es. Habéis leído bien. Sin tecnología. Nada. Cero.
Imagino que ahora estáis pensando que bromeo, que lo último y lo más elite es hacer uso de un Log4j para obtener un RCE y tomar el control de la máquina, o mejor aún, aprovechar un zero day, desarrollar nuestro propio exploit y seguir hasta que los desarrolladores nos pillen.
Pero no.
Las vulnerabilidades en el software se parchean, pero las del ser humano…ay amigos, esas permanecen inalterables por los siglos de los siglos.
En efecto, hoy hablaremos de ingeniería social.
Como dijo Tony Dientes de Bala en Snatch “nunca subestimes lo predecible que puede ser la estupidez”, y tenía mucha razón pese a que posteriormente en el metraje el no tuviera en cuenta su propio axioma y las cosas acabaran terriblemente mal para su sesera.
En realidad, lo triste, es que no hace falta ser estúpido para caer en las trampas de ingeniería social.
Jugando con el miedo
El primer grupo de ataques suelen basarse en el miedo de las personas. La gente somos miedosos por naturaleza, y ante una situación de urgencia presentada por un personaje investido de cierta autoridad (jefes, policía…) tendemos a ser mansos cuan corderitos y nos comportamos tal y como suponemos que esa persona va a reaccionar mejor.
Uno de los ejemplos más maravillosos de este grupo es la estafa del CEO:
Un ciberdelincuente llama a uno de los empleados del departamento financiero de la empresa, preferiblemente ese que ves en Linkedin jovencito y con cara asustada de recién llegado al océano del mundo laboral.
Con un tono imperativo y agresivo, insta al empleado a hacerle una transferencia URGENTE a cierta cuenta debido a ciertos problemas surgidos en uno de sus viajes de índole ejecutiva para negociar la compra de un edificio, compañía, nave espacial…Cosas importantes, ya saben.
No conviene calentar al CEO– piensa nuestro pececito recién llegado- Además, suena muy seguro de sí mismo.
Si nuestro pezqueñin osa poner algún tipo de pega, como querer confirmar la transferencia con el director financiero, o cualquier otra, despertará de inmediato la ira de nuestro estafador. Parece que se esta rifando un despido y nuestro amigo empieza a comprar papeletas. Si empezaba a plantearse alguna objeción, rápidamente se disipa. – A sus órdenes, oh, mi señor.
Nuestro pececito acaba de descubrir que en el océano hay tiburones…pero aún no lo sabe, claro, lo averiguará cuando su jefe le pregunte donde han ido a parar esos 150.000 euros que acaba de transferir.
Otro excelente ejemplo de este tipo de ataques es lo que a mi me gusta llamar las ONGs de soporte técnico:
¿De qué va esto? Pues es fácil. El ciberdelincuente llama a un usuario vulgaris, aquel que usa el ordenador para trabajar de vez en cuando pero su experiencia no es especialmente amplia. Alguien al que le da miedo romper las cosas. Vuestro tío Juan, o mi padre, por ejemplo.
Rápidamente le informa de que es el servicio técnico de Microsoft, y que ha detectado que su ip está haciendo cosas malas y remalas, que seguramente tenga uno de esos virus informáticos que causan estragos y que hay que detenerlo o el mundo arderá en llamas…o lo que es peor, van a llover las denuncias.
Mi padre es un tipo cabal, pero esas cosas de los ordenadores como que no, que los carga el diablo, que ya lo vió en “La rebelión de las maquinas” y no quiere que esto se convierta en una masacre, así que se presta a colaborar con el señor Soporte de Microsoft para arreglar el entuerto.
-Esto es muy fácil, señor-dice el estafador– solo necesita instalar este pequeño programita para poder darle soporte remoto y yo me encargo de fumigar su equipo con un puñado grande de antivirus para que no se le infecte la impresora.
Después de una descarga, unos clicks aquí y allá, el equipo y las cuentas de mi padre ya están en manos del ciberdelincuente.
Adiós a mi herencia.
Avaricia
Muchas veces no es el miedo lo que nos hace movernos, si no la avaricia. Todos somos muy buenos, pero cuando alguien nos pone dinero fácil ante nuestras narices tendemos a querer cogerlo…materialista que es uno.
En este tipo de cosas se basan los mails típicos de estafa a la nigeriana, que no siempre vienen de Nigeria, pero son como la tortilla francesa, que ellos llaman simplemente “tortilla”.
Estos mails esconden un largo discurso explicando la grata noticia de que el señor Mongonga Mhamba acaba de fallecer dejando la cantidad de 635342 millones de dólares en el banco y oh fatalidad, no hay nadie para reclamarlos, de forma que el fondo monetario internacional ha decidido bloquear los fondos a perpetuidad por no poder darles a nadie. Si es que estas cosas pasan, y el mundo esta lleno de millones bloqueados que nadie puede gastarse.
Afortunadamente te han encontrado a ti, querido lector, que debido a tus apellidos tan comunes puedes actuar como pantalla ante el fondo monetario internacional y recibir esos millones para poder desbloquearlos. Una vez hecho esto, saldrán de tu cuenta, pero te dejarán una jugosa comisión de unos cuantos milloncejos como propinilla. No está mal por responder un mail.
Ay, pero funesto destino, en mitad de esa transacción algo se tuerce y es necesario pagar unas comisiones por la transferencia. Nada muy alto. 1000 o 2000 euros. Rápidamente te contactan para que puedas solucionar esta fruslería.
Una vez hecho, el dinero alcanza el destino que siempre tendría que haber tenido: los bolsillos del estafador.
Baja tecnología
Finalmente mencionaremos esas soluciones que yo denomino baja tecnología, porque, aunque se hacen mediante esta, forman más parte de la ingeniería social que de lo que tiene luces y botones.
Estas se basan en el despiste y en el arte del trilero. Consiste en enviar masivamente mails con todo tipo de engaños, desde el clásico “Hotmail va a cerrar, haz click aquí para activar tu cuenta” al más moderno “Su cuenta de Netflix ha tenido un problema con el pago, haga click acá para solucionarlo”.
Todas nos llevan a lo mismo y no, no es a un impresionante exploit de día cero multiplataforma que es capaz de tomar el control de nuestra máquina, móvil o telesketch con un simple click…si no a una página habitualmente cutremente clonada con un formulario mugriento que nos invita a poner nuestro usuario y contraseña para loguearnos en el servicio y solucionar el problema mencionado. Luego estas credenciales le llegan al estafador de turno y aquí paz y después gloria.
¿Decepcionante? Pues sí.
Los hackers antes molaban desencadenando guerras termonucleares globales y ahora te timan como el tipo ese de la esquina que vende relojes marca Lolex.
Después de todos estos alardes de ingeniería social imagino que os sentiréis más capaces de identificar y evitar los embustes de estos pérfidos ciberdelincuentes. Si aun con todo no os sentís más aptos para semejante tarea, avisadme, tengo un amigo que es un príncipe Nigeriano que os puede ayudar económicamente a recuperaros de esta mala racha…
Consultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology