Hablando de TI

Todos hablan de la ingeniería social y en estos días alguien me preguntaba acerca del significado del término. Cuando empecé a contestarle me di cuenta de que es muy común pero no tiene un concepto claro para la mayoría.

Ingeniería social es aprovecharse de los miedos, curiosidades y atracciones más fuertes de los individuos para forzarlos a hacer algo que no hubieran hecho de otro modo, como abrir un archivo adjunto o visitar un sitio Web.

Pero esto es algo que siempre se ha hecho –no se limita sólo a las técnicas de los hackers. Un aviso de CocaCola con una foto de una botella tan fría que logra condesar la humedad del aire alrededor, es ingeniería social. La oferta del “famoso” Maddof se basaba en sentimientos de avaricia de muchos. Apple nos vende excelentes productos por más del doble de lo que valen, aplicando esa ingeniería.

Pero volviendo a los virus y los hackers, la ingeniería social aquí arrancó de manera muy sencilla, colocando títulos sugerentes a los correos con enlaces maliciosos o archivos peligrosos. ¿Quiere ver las fotos al desnudo de su estrella de Hollywood preferida? ¿O mejor ayudar a un pobre Nigeriano a recuperar los 20 millones de dólares que le tienen retenidos los hombres malos? ¿Por qué no ayudar a Bill Gates a gastar su fortuna, mientras Nokia y SonyEriccsson descubren que regalando teléfonos a cada dueño de una dirección de correo electrónico que tenga más de 20 amigos, se harán millonarios?

En fin, está en todos lados. Su uso puede ser legal o ilegal, pero ocurre todos los días. Recién esta semana lanzó CocaCola su flamante bebida gaseosa llamada ZERO. A los pocos días recibí una carta de una amiga que decía que era preferible –y estaba científicamente demostrado—tomar CocaCola light en lugar de CocaCola Zero, ya que esta última usa un endulzante prohibido por la FDA. La cantidad de enlaces y referencias a estudios, lo hacían parecer un mail serio, de esos que debes enviarles a tus amigos de inmediato para demostrarles que te preocupas por ellos. Lástima que no sea verdad, y que la CocaCola Zero es ampliamente vendida en EUA, el lugar donde prohíben sus ingredientes, según el mail.

*Para ganarse el millón de dólares sólo debe hacer lo siguiente:

1. Ayude a un Nigeriano en problemas dándole sus datos bancarios para que el pueda hacer el depósito y asegúrese de que al devolverle el dinero usted se queda con un millón
2. A la primera gripe o resfrío fuete hable con AOL y Microsoft, ellos suelen dar a los enfermos desde unos pocos centavos hasta unos pocos dólares por cada correo enviado a sus amigos y que estos remitan a otros amigos
3. Gradúese de Ingeniero Social y vaya a trabajar para los chicos malos. (¡Eso sí, exija su pago en efectivo y por adelantado!)
4. Coloque un banner en hablandodeti.com y espere a que mis lectores lo visiten a diario.

Hoy como a las 4:00pm, hora de Venezuela, sentimos un temblor que duro muy poco, pero, al menos en mi casa, se sintió de manera muy fuerte. Tras la reacción lógica –salir de casa y colocarse lejos de una estructura que pueda colapsar—reingresamos a la casa y encendimos la TV para esperar noticias. La locutora de un popular canal de noticias sólo sabía leer los mensajes que recibía en su blackberry, reportando el temblor desde diferentes urbanizaciones de Caracas y otras ciudades del país. Nadie sabía la intensidad, la localización, ni ningún otro dato. Ante la pregunta de mi esposa de cómo se calculaba la intensidad, le respondí que aunque poco se al respecto, lo más probable es que se haga una triangulación entre diferentes sismógrafos. Basto dirigirme a Internet, y realizar una sencilla búsqueda en Google para encontrar una página que brindaba toda la información necesaria: la del USGS (http://earthquake.usgs.gov/eqcenter/recenteqsww/Maps/region/S_America.php) el vínculo que aquí les dejo, esta referido a Sur América y es tan efectivo que a las 11:30 PM, al volver a consultarlo, para chequear que escribía bien el vínculo en mi post me enteré de que hubo otro temblor, ligeramente más fuerte, en el occidente del país, entre los estados Lara y Falcón.

Definitivamente la Web es un invento magnífico, y sólo hace falta que nosotros lo usemos bien. Y es que hasta al hablar de un temblor de tierra, estamos hablandodeti.

Hoy mientras escuchaba a alguien hablando del virus del Cornflakes(¡!), con dificultad contenía la risa pensado en todo lo que se había construido acerca de la temible epidemia del Conflicker. Como pocas veces se levantó una expectativa de una crisis de fin de mundo (la última que recuerdo fue la del famoso año 2000 o Y2K). Pero realmente con un poco de sentido común se hubiera podido vaticinar que no debería pasar gran cosa con este ataque. Y es que la época de las grandes epidemias de virus parece haber quedado en el pasado –y sólo revivirá en caso de un ataque terrorista o algo similar.

Los fabricantes de virus tienen en sus manos una industria con más fondos para el ataque, que los que cuenta su contraparte de seguridad para contrarrestarlos. Los ataques han cambiado y ya no ocurren sólo por el “orgullo” de poder ejecutarlos. Cada PC infectada –y que permanezca así—es una fuente de ingresos para el hacker, que más tarde la usará para robar datos secretos o para enrolarla en un ejercito virtual que ataque algún sitio Web o busque infectar otras PCs.

Desde que se hizo publico el posible ataque de Conflicker en el 1ro de Abril, la contrainteligencia ganó la guerra. El creador de Conflicker habrá hecho lo posible por cambiar la fecha del ataque y la forma, ya que al atacar el día que todos están esperando, lo único que haría es dejar expuesto su ejército. Es más, gracias a la publicidad recibida por el virus, miles de máquinas habrán sido dadas de baja del ejercito maligno, gracias a los dueños que preocupados por el holocausto del 1ro de Abril habrán revisado sus PCs y al encontrarlos infectados se habrán apurado a desinfectarlos.

Pero un día estoy seguro que habrá una excepción a la regla. Ese día lo marcará el primer ataque terrorista a la Internet (léase bien, “a la Internet”, no “desde la Internet.”) Las razones podrán ser muchas, pero todas se resumirán en demostrar que la Web no es el lugar seguro que muchos creen. Ese día está hasta en las pesadillas de algunos de los genios de la seguridad, como pude comprobar al hablar con Eugene Kaspersky, allá en sus oficinas durante el año pasado (ver http://www.hablandodeti.com/blog/2008/06/backup-2008-i-hablando-de-ti-en-rusia-seguridad/).

Ese día, todo el mundo estará hablandodeti.