La ingeniería social es una de las técnicas de hacking más antiguas de la informática –casi tanto como ella misma– con la que un hacker puede penetrar hasta en los sistemas más difíciles usando la vulnerabilidad más grave de todas: la humana.
Básicamente, la ingeniería social es el arte o ciencia de conseguir que las personas cumplan los deseos de otra. No es ningún tipo de magia ni nada por el estilo, se basa en lograr que los trabajadores realicen tareas típicas de su trabajo de una manera natural, y aunque pueda parecer algo raro, ésta es una de las técnicas favoritas de los hackers expertos para obtener información sobre un determinado objetivo o penetrar en sistemas informáticos.
Implica más que una simple llamada inocente con la que recabar información usando un tipo de acento vocal determinado. La ingeniería social implica una fase de trabajos a nivel más bajo (groundwork) para obtener la información necesaria, como el conocer los datos internos de la empresa, número de servidores, etc. Esto muchas veces se consigue entablando una conversación ridícula con los empleados que tienen acceso directo a los objetivos del atacante como se analizará a continuación (la mayoría del trabajo se encuentra en la preparación y no en la acción propiamente dicha).
Puede pensar que este artículo es simplemente una falsa excusa para demostrar como estas técnicas pueden ser usadas para realizar hacking, pero, en la realidad, la única forma de defenderse contra este tipo de ataques de seguridad es conociendo qué métodos pueden ser usados. Con estos conocimientos es posible prevenir brechas de seguridad en su empresa antes de que nadie pueda conseguir ningún dato confidencial.
LA PARTE MÁS DELICADA DE LA SEGURIDAD INFORMÁTICA
Sin duda, la parte más delicada de la seguridad informática está representada por el factor humano más que por la aplicación de las medidas de seguridad habituales como aplicación de parches diarios o el uso de firewalls bien configurados. Es más, conviene recordar que el único ordenador seguro es el que no está encendido. De hecho, en este caso, ni siquiera la regla anterior tiene sentido, ya que un hacker puede ser capaz de persuadir a un empleado para que conecte el ordenador y luego poder realizar el tipo de intrusión necesario, todo esto usando sólo la ingeniería social.
Por ello, la parte humana de una cadena de seguridad es la más esencial. No existe ningún sistema informático que no dependa de humanos. Esto significa que esta vulnerbilidad es universal, independientemente de la plataforma, etc.Toda persona con acceso físico a algún sistema crítico es potencialmente un problema de seguridad. Cualquier información dada puede ser usada contra una propia empresa. Sin ir más lejos, las personas que habitualmente no son consideradas parte de una política de seguridad pueden ser usadas para crear una brecha en su sistema.
En realidad este es un problema más grave de lo que se podría imaginar en un primer momento. Los expertos en seguridad normalmente no están preparados para actuar frente a estos casos de hacking, ya que no dependen directamente de las máquinas, si no de los humanos.
