Psico-Hacking: vulnerabilidades humanas


Hace pocas semanas, un joven de 17 años fue detenido por la policía por estar detrás del hackeo de más de 130 cuentas de twitter, entre ellas la de personas famosas como Bill Gates, Jeff Bezos o Elon Musk. Este hackeo sin precedentes generó un gran revuelo en la opinión pública y puso de relieve, una vez más, el peligro al que nos enfrentamos, el cyberfraude.

En este caso, los hackers tuiteaban desde las cuentas pirateadas con mensajes en los que se ofrecían 2.000 dólares por cada 1.000 que fuesen enviados a una dirección anónima de bitcoin.

Dichos mensajes, provenían de personajes muy conocidos y con gran solvencia económica, lo que hacía el engaño más creíble. Solo lo haré durante 30 minutos, indicaban algunos mensajes.

psico-hacking-human-vulnerabilities-06

psico-hacking-human-vulnerabilities-04
Aunque los mensajes fueron rápidamente eliminados, en pocas horas se llegaron a estafar más de 100.000 dólares. Así de fácil, rápido y lucrativo se muestra el cyberfraude.

psico-hacking-human-vulnerabilities-05

El análisis de los mensajes nos permite perfilar que los hackers son conocedores de las técnicas de “ingeniería social”.

En estos mensajes se hace alusión a varios principios de persuasión:

  • Autoridad: En este caso, estamos más predispuesto a dejarnos influir por una persona de reconocido prestigio, éxito o autoridad. Obama, Gate o Bezzos son personajes que generan esa sensación de autoridad que “empuja” a los usuarios a creer en lo que le están diciendo.
  • Simpatía: En algunos casos, estos personajes suman a su autoridad el efecto de simpatía, por el cual sentimos atracción, gusto o identificación, lo que nos lleva a dejarnos guiar por sus peticiones.
  • Escasez: Siempre estamos dispuestos a conseguir o acercarnos a algo que es escaso o de difícil acceso. Le otorgamos un gran valor a lo que consideramos que es único o exclusivo, algo que los piratas consiguieron con el mensaje “solo lo haré durante 30 minutos”.

La investigación ha permitido descubrir que el ataque se ha producido mediante el uso coordinado de estrategias de ingeniería social sobre varios empleados de twitter con acceso a sistemas y herramientas internas.

Tras engañar a varias cadenas de empleados con técnicas de persuasión, las contraseñas de las cuentas de los usuarios se reseteaban y pasaban a manos de los piratas.

Estamos de nuevo ante un caso de cyberestafa en la que la ingeniería social se convierte en la herramienta estrella.


Cuando se decide atacar un sistema, los hackers se encuentran con dos tipos de elementos a vencer, la máquina y el ser humano, el sistema técnico y el sistema cognitivo.



Como ya hemos contado en otro post el ser humano es el eslabón más frágil de la cadena de la ciberseguridad.

Es más fácil y rápido hackear el cerebro de una persona que hackear un sistema informático, por lo que desplegar una serie de estrategias de engaño y persuasión es más efectivo que tratar de vencer mecanismos de programación informática.

Podemos definir la ingeniería social como cualquier estrategia que hace que una persona realice una acción o conducta que por sí misma no haría. Esta es precisamente la definición del término “persuasión”, cuyas técnicas son usadas de una u otra manera en este tipo de ataques.

La ingeniería social tiene una serie de características:

  • Se basa en el engaño, es necesario mentir a la víctima para conseguir el objetivo.
  • La víctima hace algo que, en principio no haría, por lo tanto, es necesario ese efecto de persuasión.
  • La acción de la víctima puede estar en contra de sus propios intereses.

psico-hacking-human-vulnerabilities-02

Un ataque basado en ingeniería social sigue una serie de fases:

Recopilación de información

Es necesario recoger toda la información posible sobre la víctima y su contexto de cara a poder preparar de forma creíble y eficaz el resto del ataque.

Esta fase es muy importante y puede durar semanas o meses, ya que es necesario conocer en profundidad los datos que permitan diseñar un anzuelo efectivo.

Por ejemplo, en el caso del ataque a un empleado de twitter necesitaremos conocer datos personales, sus privilegios en el sistema, las tareas que suele realizar, sus sistemas de comunicación y las características de sus interacciones.

A esto hay que sumar información sobre los procesos técnicos y de seguridad necesarios para llevar a cabo el ataque que queremos efectuar. En este caso, por ejemplo, conocer cómo es posible resetear cuentas de usuarios.

psico-hacking-human-vulnerabilities-07

Establecer vínculo con la víctima

Una vez que tenemos toda la información, construimos un anzuelo por el cual nos ganamos la confianza de la víctima. Esta fase nos permite hacer el primer contacto con la víctima y seguir recopilando información, esta vez más profunda y relacionada con el objetivo de nuestro ataque.

Podemos, por ejemplo, contactar con esa víctima a través de redes sociales o servicios de mensajería de manera que llegamos a convertirnos en alguien de su entorno, de su tribu haciendo alusión a un término que usaremos más adelante.

En esta fase se pone en marcha las estrategias de persuasión que hemos comentado anteriormente y finaliza cuando la víctima está dispuesta a generar la acción que necesitamos de ella.

Por ejemplo, podemos contactar con un empleado twitter fingiendo que somos un compañero suyo, estableciendo una relación virtual de amistad para después, por medio de distintas técnicas de persuasión como la reciprocidad o la autoridad, hacer que nos proporcione información o nos otorgue privilegios para realizar un proceso en el sistema.

psico-hacking-human-vulnerabilities-08

Explotar el vínculo

Como hemos visto, una vez conseguida la confianza de la víctima o generado el efecto de persuasión, debemos hacer que la persona actúe y lleve a cabo la acción que requerimos de ella.

Por ejemplo, esta víctima nos va a ayudar a resetear unas contraseñas saltándose algunos pasos de seguridad para hacerlo de forma rápida y así evitar un problema a su supuesto “compañero-amigo”. El gran “arte” de esta fase y de todo el ataque está en saber cómo y cuándo llevar a cabo esto sin generar sospechas en la víctima.

Después de conseguido el objetivo del ataque, hay que diseñar una estrategia de salida para evitar dejar rastros y ocultar la identidad del estafador. En la mayoría de los casos, hay que tratar que la víctima tarde en darse cuenta de lo sucedido, esto da tiempo a la huida y a borrar los rastros.

En algunos casos, es posible incluso mantener el vínculo con la víctima para propiciar un segundo o sucesivos ataques. Solo cuando la víctima sabe que ha sido engañada, el estafador desaparecerá como el humo de forma sigilosa y silenciosa.

La ingeniería social está basada en el conocimiento del funcionamiento del cerebro humano, usa lo que sabemos respecto a la memoria humana, a la forma en la que procesamos información o tomamos decisiones.

No son elementos muy complejos, de hecho, se basan precisamente en nuestro funcionamiento básico, aquel que nos ha mantenido vivos como especie a lo largo de nuestra evolución.

A nivel simple podemos destacar varios de estos elementos:

Nos cuesta decir “NO”.

Somos animales sociales que necesitamos de los demás y a su vez nos sentimos bien ayudando a los demás. Esto hace que nos sea difícil no atender una petición.

Cuando alguien nos pide algo, nos solicita ayuda o requiere que hagamos algo nos sentimos mejor cediendo a ello que teniendo que decir “NO”.

Esta petición tiene que ser muy problemática para nosotros para que prefiramos generar una excusa y rehuir esta ayuda.

Somos confiados

Ser animales sociables nos obliga a ver a los demás como amigos, como compañeros y miembros de nuestro equipo. Esto hace que solamos confiar en lo que dicen y hacen otras personas.

Difundimos noticias o mensajes por Facebook o Whatsapp porque pensamos que lo que nos dicen es cierto, no cuestionamos o revisamos lo que nos dicen otros porque pensamos que nadie nos quiere engañar, pensamos que todos somos buenos, que quieren lo mejor para nosotros y que son nuestros amigos.

Nos gusta que nos tengan en consideración

Lo mismo que nos gustan los demás, también nos sentimos felices cuando gustamos a los demás. Nos encanta que nos adulen, que nos reconozcan o piropeen. Cuando alguien nos adula aumenta nuestro ego, sube nuestro nivel de autoestima y baja nuestro nivel de alerta.

Cuando estamos ante alguien que nos recompensa, nos sentimos bien y seguros con esa persona, lo que hace que no estemos atentos a los detalles y pasemos por alto alertas que ante otro tipo de personas nos generarían desconfianza.

 

Somos empáticos

Para ser sociable necesitamos ser empáticos, necesitamos ser capaces de ponernos en la piel del otro, sentir y pensar como él. Esa capacidad nos permite el altruismo con el que nos sentimos bien, supeditar el bien común al beneficio personal. Esto se relaciona con todos los elementos anteriores y es lo que hace que podamos sentir el miedo, el dolor o la preocupación de otra persona como si fuera la nuestra.

En definitiva, nos sentimos parte de un grupo, de nuestra tribu, con la que avanzamos y podemos sobrevivir. Familia, amistades, compañeros de trabajo, hinchas de un equipo de futbol…vamos creando tribus a nuestro entorno y en diferentes contextos.

Cuando estamos ante un miembro de nuestra tribu es más fácil que atendamos a sus necesidades, que confiemos en él, que nos guste más y seamos más empáticos. Por tanto, si recibimos un mail de algún compañero de trabajo o si un amigo nos invita a descargar un juego, esto nos pondrá en “modo tribu” y será más fácil que accedamos a sus peticiones.

No podemos dejar de ser como somos y no podemos dejar de funcionar como lo hacemos. Parece que somos más complejos ahora que hace miles de años, pero igual que nos la jugaban en la selva para quitarnos la presa, ahora nos engañan con un mensaje de twitter para quitarnos el dinero.

 

 

Publicado por Luisa Esguerra

Luisa Engerra joins the buguroo's office in Bogotá after a successful sales management career in companies such as Oracle and Symantec. She will target the LATAM market in order to generate new net business for buguroo solutions.


¿Te ha gustado? Comparte en tus comunidades sociales

 
Te recomendamos que leas...

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo