Al Robot: La Pesca

Por Edgar Tercero

La Pesca

La información se esta convirtiendo en uno de los activos más relevantes en el siglo XXI. No cabe duda de que la adopción de tecnologías digitales como Big Data, Inteligencia Artificial e Internet de las cosas han llegado a revolucionar como vemos y vivimos el mundo, nos ha permitido obtener un beneficio extraordinario en la forma de como podemos explotar los datos, sin embargo, también ha venido acompañado de obstáculos, así como de personas que desean obtener un beneficio explotando las vulnerabilidades potenciales que ofrecen estos sistemas.

Aunque la mayoría de las empresas gastan millones en herramientas para proteger sus sistemas, existe un factor que sigue siendo un factor determinante al momento de recibir un ataque. Se pueden proteger los sistemas, inclusive con inteligencia artificial se puede enseñar a que aprendan, pero que pasa con los seres humanos, quienes, llevados por sus emociones y poca detección a las mentiras, abren puertas para que los sistemas sean tomados.

Basta con observar el fenómeno famoso de las fake news o noticias falsas, las cuales en ocasiones son anunciadas por personas de altos rangos o respeto, incluyendo a los presidentes de un país, que han compartido una mentira en televisión abierta, la dicen al mundo como si fuera una realidad, hasta que alguien más llega a desmentirlos, pero a veces es demasiado tarde porque la noticia ya llego a un grupo de personas que pueden tomar acciones basados en este tipo de información.

Con esto queda claro que nadie queda a salvo de caer en una mentira. A veces pensamos que los cibercriminales se encuentran armados con herramientas tecnológicas de última generación, que se pasan la vida descifrando complejos algoritmos computacionales, capaces da causar el colapso mundial o inclusive traer el apocalipsis con máquinas pensantes y autónomas. Pero esto a veces escapa de la realidad, cuando su método más efectivo consta del envío de un mensaje.

Así es, lanzan un mensaje por correo, celular, redes sociales donde hacen creer a las personas que se tratan de entidades legítimas, pueden utilizar inclusive la imagen de la empresa donde trabajan, ofreciendo un aumento de sueldo, rifa o una junta urgente de última hora. Sin pensarlo dos veces y con esa obsesión que tenemos por apretar cosas, abrimos una puerta para que los atacantes hagan lo que quieran con la información que pueden obtener, inclusive escalar de nivel hasta llegar a datos realmente sensibles.

Se requiere de paciencia, constancia, algo de tiempo, así como una campaña masiva de envío de estos mensajes hasta que alguien muerda el anzuelo. Así es, no significa que el ataque sea dirigido a una sola persona o institución, se mandan masivamente, basta con que exista un solo clic para que se abra una oportunidad. Una es suficiente para empezar, el atacante no utilizo un software especial para traerse la contraseña o identidades de la persona, sino que la persona misma le entrego las llaves del reino.

Esta técnica se ha utilizado por años, en diferentes tipos de esquemas, inclusive antes de que existieran las computadoras. Es un fenómeno a nivel mundial, se ha utilizado para estafar de forma masiva tanto a personas como empresas. De allí podemos ver ejemplos como los esquemas ponzis y pirámides. O recientemente con las hipotecas suprime en 2008, donde hicieron creer al mundo que el negocio más rentable era el de los inmuebles, porque supuestamente las personas nunca dejarían de pagar su casa, pero ofrecieron préstamos a personas sin verificar su perfil crediticio llevando a una de las crisis mundiales de los últimos tiempos.

Este es un fenómeno social, que han sabido aprovechar embaucadores de todos los tamaños, que ahora se aplica en el mundo cibernético, aprovechando la ola de mentiras que circulan por internet, apegándose a los sentimientos de las personas, utilizándolos como armas futuristas para lograr sus objetivos.

Al ser social y aplicado por estudiosos de los sistemas digitales o que involucran computados es que se le ha llamado ingeniería social. Donde el ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o correos electrónicos falsos que solicitan respuestas e incluso las famosas cadenas, llevando así a revelar sus credenciales de acceso o información sensible, confidencial o crítica.

Según uno de los ingenieros sociales más famosos Kevin Mitnick, la ingeniería social se basa en estos cuatro principios:

* Todos queremos ayudar.

* El primer movimiento es siempre de confianza hacia el otro.

* No nos gusta decir No.

* A todos nos gusta que nos alaben.

En el fondo pretendemos ser buenas personas con la intención de ayudar, es lo que dicta la sociedad, por respeto y convivencia no deseamos comprometer a la otra persona. Puede ser que un compañero de trabajo comparta que ya no desea trabajar en la empresa, por lo que esta decidiendo formar su propia firma, invitándote para formar parte, cuando en realidad lo que quiere es conocer que tanto tienes puesta la camiseta para saber si eres un empleado de confianza o no.

Suena paranoico, sin embargo, es un ejemplo interesante, porque esto forma parte de una estrategia empresarial en una época post covid para conocer que parte de los empleados de una empresa esta realmente comprometida a continuar con ellos. También resulta un buen ejemplo para conocer como el atacante busca ganarse la confianza de la persona con palabras sutiles pero poderosas.

Uno de los ejemplos más comunes de este tipo de ataque es el llamado phishing, cuya explicación de Wikipedia dice: el ataque más simple pero muy efectivo es engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que fishing, pesca).

Este tipo de ataques parecieran imparables, sin embargo, basta con dar un poco de información al personal, llevar a la práctica ataques del estilo, y brindarle apoyo al trabajador cuando se encuentre con información que le resulte sospechosa. Debe formar parte de la formación constante del empleado para que aprenda a diferenciar los pequeños detalles que delatan a los mensajes falsos.

Vivimos tan acelerados que en ocasiones actuamos sin pensar, pero dar una leída consciente nos permitirá detectar cuando algo no sea normal. Empecemos por limpiar los correos que recibimos, utilizar el correo corporativo para eso, para el trabajo y no darse de alta en todos los lugares que veamos, este correo no es personal, por lo tanto, su uso debe restringirse a lo que dicta la empresa. Empezando por no mezclar las cosas nos dará una mejor visión cuando se trate de un correo falso de uno verdadero.

También es necesario dejar de creer todo lo que circula en redes sociales, siempre es bueno ver una segunda opinión o darnos a la tarea de indagar más sobre algún tema, a manera de crearse un criterio propio, sin volvernos tendenciosos o polarizarnos viendo solo puntos máximos y no llegar a la media.

La pesca no se limita a una sola forma de ataque, pero protejámonos protegiendo a los demás. La información nos da poder, compartamos para un futuro tecnológico placentero.

“Los piratas informáticos tienen más éxito en organizaciones en las que los empleados no son apreciados, trabajan demasiado y no se les paga. ¿Por qué a alguien en una organización como esa le importaría lo suficiente como para pensarlo dos veces antes de hacer clic en un correo electrónico de phishing?” James Scott Sr. Fellow, Institute for Critical Infrastructure Technology