Si en lugar de envolver el mundo de la ciberseguridad en un misticismo abstracto (que la mayoría siente inalcanzable), nos preocupásemos por entenderlo en un plano más práctico, comprenderíamos que realmente hay soluciones sencillas para protegerse. Si en vez de mitificar la disciplina nos dedicásemos a estudiar la materia desde un plano algo más técnico, comprenderíamos que la ciberseguridad ―como el universo― respeta la segunda ley de la termodinámica (relacionada con el ahorro de energía). E incluso el principio de la navaja de Ockham (la explicación que involucre menos complejidad es la más probable).
Esto quiere decir que si se puede atacar un sistema de la manera más sencilla posible, se hará así. Por tanto, buena parte de los ataques más comunes no se consuman gracias a increíbles proezas técnicas. Se utiliza la mayor parte de las veces la ingeniería social, algo más cercano al humano que a la máquina, tan efectivo como analizado históricamente.
Somos más predecibles de lo que pensamos y nuestras debilidades y comportamientos están muy estudiados. Tanto, que se conoce bien cómo atacarnos con alta probabilidad de éxito. Pongamos tres ejemplos claros a los que llamamos “hackeo” cuando en realidad son “engaños”.
Los “hackeos” al WhatsApp o Instagram están de moda. Es más sencillo de lo que parece. Un atacante simula desde la web un traspaso del WhatsApp del número de la víctima al del atacante. Esto lo puede hacer cualquiera simplemente conociendo el número de su potencial víctima, porque es un servicio útil y legítimo cuando cambias de número y quieres asociarle el chat.
Para que WhatsApp pueda comprobar que el solicitante es dueño de ese segundo número, envía a ese teléfono un SMS de confirmación con una contraseña temporal y que, claro, le llegará a la víctima potencial. El atacante envía inmediatamente otro SMS a la víctima solicitando el contenido de ese primer SMS.
La víctima, sin saber qué significa esa contraseña temporal, se lo reenvía al atacante pensando que es otro SMS de confirmación sin mayor importancia. Ya está. El atacante tiene todos los elementos para robar la cuenta (que en realidad es un cambio de número), porque fundamentalmente la víctima se lo ha entregado de buena gana.
WhatsApp cree que el atacante es el legítimo dueño de los dos números porque ha demostrado conocer qué contraseña le llegó en ese SMS al número de la víctima. En el caso de Instagram, más de lo mismo. Piden un cambio de contraseña a la cuenta que quieren robar. A la cuenta víctima le llega un enlace. El atacante le pide ese enlace a la víctima por algún motivo (es una encuesta, es algo que le ha llegado por error… cualquier excusa). La víctima se lo da y ya tiene todo lo necesario (esa token o enlace que permite cambiar la contraseña) para robarle la cuenta.
La ingeniería social se basa en presentar la información a la víctima de forma que dinamite su sentido común. La ciberseguridad ha avanzado desde el punto de vista técnico más rápido que nosotros como usuarios. Y el sentido común es el muro contra el que los atacantes lanzan toda su artillería. Si se tiene, mejor que sea de lo más sólido porque cualquiera puede caer. Debemos ser conscientes de que confiamos en uno de los métodos de protección más débiles como estrategia básica y, sin conocimientos, se convierte en nuestra única (e ineficaz) defensa.
Otro ejemplo: en 2022 ciertos atacantes entraron en grandísimas compañías cuyos administradores (que suplantaron) disponían además de segundo factor de autenticación para proteger sus cuentas. ¿Cómo lo consiguieron? ¿Programaron sistemas ultra sofisticados para eludir la protección? No. Robaron la contraseña por ingeniería social.
Una vez con ella, para eludir el segundo factor, usaron más ingeniería social. Hicieron que le saltara al móvil del administrador muchas alertas cada pocos segundos: debía aprobar un login. Le llamaron alegando que eran de mantenimiento informático de la empresa, que sufrían un fallo y que para detener el bombardeo debía aprobar el pase. Tantos mensajes, tanto rato y de madrugada… que el administrador se hartó y aceptó el mensaje de confirmación solo para que se detuviera, aprobado sin querer el login al atacante que se acababa de saltar el segundo factor.
Tercer ejemplo: A finales de 2020 vulneraron una de las compañías de ciberseguridad más importantes del mundo. ¿Cómo? A través de una puerta trasera en uno de los programas de un tercero que usaban para gestionar su red. ¿Y cómo metieron una puerta trasera en ese programa? La contraseña a sus repositorios donde almacenaban el código fuente era sencilla y trivial. A partir de ahí, todo rodado…
Un ejemplo extra que muchos conocen es que los grandes problemas de ransomware actuales vienen porque alguien de una organización abre un documento Word o Excel adjunto no solicitado y este contiene una macro. Así de sencillo… fallos técnicos conocidos hace más de 20 años y debilidades humanas conocidas desde hace más de cien.
Por supuesto, los atacantes disponen además de enormes conocimientos técnicos. Cuentan con herramientas muy probadas que son eficaces y técnicamente brillantes… pero estas van más contra las máquinas, contra las defensas automatizadas una vez han conseguido instaurarse en la red de la víctima y quieren pasar desapercibidos.
Es una artillería que, desde el punto de vista del atacante, no conviene usar si no hay un buen motivo. Así que la primera barrera contra el humano… se la saltan analizando las debilidades de los humanos. Y esto siempre se ha conocido como engaño. Por supuesto, las víctimas prefieren decir que han sido hackeados antes que engañados. Y no hay que culparles por ello, pero sí al menos formarles convenientemente para la próxima.