Si, uno se pregunta, ¿ya tengo resuelta mi seguridad para la base de datos?, si el riesgo lo hemos reducido y siempre tengo actualizado todos mis programas de protección. ¿Por dónde tengo la fuga de información?.
Si eres un empresario debemos la siguiente frase en mente “una cadena se rompe siempre por el eslabón más débil”. El Factor humano. Esto es, de nada te servirá que tu red sea la más segura de la zona, si tus empleados no están bien educados. Si no tienes un protocolo de actuación bien definido, un atacante en ingeniería social podría sacar información suficiente de tu empresa, sin ser descubierto en tan solo unas horas.
¿Y cómo puede ser esto?
El realizar un trabajo de ingeniería social, implica un acercamiento para generar confianza de la víctima. Esto lo podemos lograr por diferentes medios: personal, a través de correos, por medio de redes sociales, etc.
Haciéndose pasar por representantes técnicos de algún servicio o incluso a través de una plática informal, mostrándose empático y sacándonos de una eventual situación de alerta ante el extraño (aunque bien podría ser un compañero de trabajo, un amigo de un conocido)
La atención que ponen en esta etapa es fundamental para captar cualquier información que digamos y tomarla como valorable.
Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés o necesidad en la otra persona.
En base a su curiosidad o deseo, ésta estará predispuesta consciente e inconscientemente a brindar información. La idea del experto será observar nuestra reacción y actuar en consecuencia con alguna técnica un poco más agresiva si el dato a conseguir tiene un nivel alto de interés.
Por ejemplo, si el atacante sólo quiere encontrar una forma de acceder al correo electrónico, podría bastarle con saber que tienes un blog en el que escribes cosas personales, sacar nombres de parientes, instituciones y hechos importantes de tu vida e ir “corriendo” a tu inicio de sesión de correo electrónico y pedir que se le recuerde el password porque lo ha olvidado.
Aquí reside parte de la efectividad de la ingeniería social, pues lo que dices frente a cualquier persona con la que te encuentres podría no tener relevancia alguna, pero ante un cracker que utiliza este método, el nombre de tu prima o a qué secundaria asististe puede convertirse en la clave de acceso a tu correo, y de ahí al resto de tus servicios financieros, por citar un ejemplo.
La ingeniería social es de las técnicas más complejas de evitar y es indetectable o cuestionable, dado que maneja aspectos de psicología que no podrían ser puestos en evidencia fácilmente. Cómo defendernos, es justamente leer sobre cómo funciona y estar atento a diferentes intenciones sin volverte paranoico ni nada similar, simplemente tener como constante la comunicación entre el personal para evitar ésta conducta, crear hábitos, no ser curiosos, evitar pláticas en lugares públicos que pongan en riesgo la información, con esto reduce el riego de fuga de información.