Es probable que el sistema informático de su empresa haya sido o sea hackeado alguna vez. Y aunque esté preocupado por la seguridad y se mantenga atento, tal vez sea el culpable.
La inmensa mayoría de los hackeos – incluyendo el enorme ataque a Sony (TYO: 6758) de 2014, las recientes intrusiones en la red del Comité Nacional Demócrata de Estados Unidos y, posiblemente el robo de 81 millones de dólares en un banco de Bangladesh, que señaló los fallos de seguridad en la red de datos de transferencias bancarias SWIFT – tienen una cosa en común: comenzaron con la suplantación de identidad, una vieja técnica de la "ingeniería social". Se envía un enlace por correo electrónico, a una red social o a una aplicación de mensajería, alguien lo abre – y los hackers obtienen acceso a la red, al infectar los ordenadores de los usuarios con malware.
Las empresas también han estado intentando formar a los empleados para minimizar el riesgo. Por ejemplo, en diciembre del año pasado, la policía de Berlín envió un correo electrónico falso pidiéndole a 466 policías que introdujesen sus contraseñas en un "sistema seguro de almacenamiento de contraseñas de la policía de Berlín". Más de 250 de los destinatarios hicieron clic en el enlace y 35 de ellos introdujeron sus contraseñas.
Sin embargo, la conciencia casi universal de la suplantación de identidad no hace que ésta sea menos efectiva. Esto demuestra un experimento llevado a cabo por Zinaida Benenson, de la Universidad de Erlangen-Nuremberg en Alemania, en una conferencia de seguridad cibernética celebrada el mes pasado en Las Vegas. Benenson escribió un mensaje de suplantación de identidad:
Hey , aquí están las fotografías de la última semana: http: // /photocloud/página.php?h= Por favor, no las comparta con las personas que no han estado allí :-) ¡Hasta la próxima!
Benenson envió este mensaje a diferentes estudiantes universitarios: a 240 en forma de mensajes de Facebook y a 158 por correo electrónico; el 56% de los destinatarios del correo electrónico y el 38% de los de Facebook hicieron clic en él, pero cuando Benenson les preguntó al respecto, solo el 17% admitieron haber entrado en el enlace. Después, Benenson diseñó otro estudio para obtener más cuestionarios, en el que no utilizó los nombres de los estudiantes. En el nuevo estudio, envió un mensaje similar a 975 destinatarios de correos electrónicos y 280 usuarios de Facebook. Esta vez, el 20% de los que recibieron el correo electrónico y el 42% de los que recibieron el mensaje de Facebook hicieron clic: Los suplantadores de identidad saben que la personalización funciona.
Una vez más, muchos de los que hicieron clic en el enlace no lo admitirían, pero ahora Benenson tenía suficientes respuestas. Más del 80% de los encuestados dijo que sabía que hacer clic en un enlace aleatorio como ese podría tener consecuencias peligrosas – pero resultó que ese conocimiento no guardaba relación con el comportamiento real. De los que hicieron clic en el enlace, el 40% afirmó que actuaron por curiosidad, a pesar de que no habían asistido a una fiesta la semana anterior: solo querían echar un vistazo a algunas fotos privadas y supuestamente divertidas; y el 20% abrió el mensaje para obtener más información sobre el remitente.
De los que no hicieron clic en el enlace, la mitad no lo hizo porque el nombre del remitente era desconocido. Esa es la reacción correcta, por supuesto – pero no es una garantía, ya que si el nombre le hubiese resultado familiar a más personas, también podrían haber entrado en el enlace. Solo el 5% de los que no hicieron clic explicaron que pensaron que habían recibido un mensaje privado por error y no abrieron el enlace para proteger la privacidad del remitente – o simplemente porque no les interesaba.
En un artículo aún sin publicar, Benenson escribió: "Es decir, estas personas estaban protegidas de la posible amenaza gracias a su honradez o a la falta de curiosidad". Y añadió:
"Por el diseño cuidadoso y la hora del mensaje, es posible que prácticamente cualquier persona haga clic en el enlace, ya que cualquier persona va a sentir curiosidad por algo, va a estar interesada en algún tema o se va a encontrar en una situación de la vida que se ajuste al contenido y al contexto del mensaje. Esperar que los usuarios no se equivoquen al tomar una decisión bajo estas circunstancias parece muy poco realista, incluso si se les proporciona una formación de sensibilización eficaz".
Es fácil llegar a ser pesimista sobre la seguridad cibernética en vista de aquel comportamiento por parte de usuarios de Internet avanzados, que son muy conscientes de esa amenaza. Los usuarios comunes, solo porque sienten curiosidad o se distraen con facilidad, parecen ser el elemento más vulnerable de cualquier sistema informático. Como escribió Benenson, "los rasgos humanos como la curiosidad nos hacen vulnerables a este tipo de ataques y las personas no pueden ser cambiar eso".
No obstante, Benenson no quiere que su trabajo contribuya al sentimiento en contra de la tecnología. Explicó:
"Los ordenadores son para los usuarios. Si no hay usuarios, no necesitamos los ordenadores. Los usuarios deberían protegerse de los ataques a través de sistemas informáticos seguros. No deberían tener que estar permanentemente alerta con respecto a posibles ataques".
La investigadora alemana está segura de que un atacante inteligente casi siempre puede engañar a un experto en seguridad, al igual que a un usuario común, por lo que es importante contar con un sistema de detección de ataques y un plan de recuperación: Casi tiene más sentido pensar en mitigar los efectos de un ataque que concentrarse en prevenirlo.
No estoy totalmente de acuerdo: los usuarios tienen que estar constantemente en alerta. Si el sistema de su casa es hackeado, por lo general no hay ninguna manera de detectar el ataque hasta que es demasiado tarde y su equipo pasa a formar parte de una botnet o de la participación en un rescate o se utiliza para realizar transacciones financieras falsas. Como regla general, no deberíamos hacer clic en los enlaces de mensajes inesperados o cuya fuente no hemos verificado.
No lleva mucho tiempo preguntarle a un amigo o compañero: "¿De verdad quieres que abra este enlace?" Benenson tiene razón, aunque: Sobre todo en una gran empresa, siempre hay alguien que se equivocará – y entonces probablemente se niegue a admitirlo. Así que para los profesionales de la seguridad, detectar los ataques con rapidez, antes de que hagan demasiado daño, es una prioridad.