Ruth Sala. Abogada Penalista. Delitos Informáticos. www.legalconsultors.es
Dado el gran impacto que producen los ataques mediante Ingeniería Social sobre los activos empresariales, se decidió estudiar de forma más profunda el fenómeno. La Ingeniería Social (IS) consiste en técnicas de manipulación psicológica que se ejercen sobre el sujeto atacado de manera que éste tome decisiones sin cuestionarlo o sin pensar. El hecho de dirigir un ataque generando la confianza suficiente en la víctima, utilizando sus gustos o sus necesidades, va a facilitar la obtención de credenciales de acceso a los Sistemas de Información.
Un ataque mediante técnicas de Ingeniería Social dirigido contra una Organización, va a suponer para el atacante, dedicar un tiempo a realizar las labores de investigación necesarias para conocer con mayor profundidad, no sólo a la Organización, sino también a sus empleados y colaboradores. El estudio de los miembros del personal, independientemente del rango jerárquico que ocupen dentro de la Organización que va a ser atacada, va a descubrir cuál puede ser uno de los eslabones más débiles que pudiera darle acceso a un atacante al Sistema de Información.
Frente a este tipo de ataques es esencial determinar si es posible establecer una serie de mecanismos o procesos que permitan hacer frente a este tipo de ataques. La formación continua impartida en las organizaciones se postula a priori como una herramienta eficaz para evitar o reducir los ataques de esta naturaleza.
Con este objetivo en mente en primer lugar se desarrolló un estudio que permitiera determinar si se puede luchar contra este tipo de técnicas de manipulación psicológica o, por el contrario, deberá considerarse al personal como un punto débil permanente en la Organización.
Para realizar dicho estudio el método empleado consistió en primer lugar en la profundización sobre el concepto de la IS, la taxonomía de técnicas hasta analizar la IS desde la perspectiva jurídica, psicológica, empresarial y de la ciberseguridad. Le siguió un estudio de estadísticas sobre la ciberdelincuencia y los métodos que se emplearon en la mayoría de los ciberdelitos para obtener una visión completa sobre el tratamiento de los incidentes sufridos a través de este medio.
El análisis de estadísticas oficiales de EUROPOL, ENISA, CCN-CERT, INCIBE, Fiscalía General del Estado, Poder Judicial y Ministerio del Interior, confirmaron que, tienen sólo conocimiento de una parte de los incidentes de ciberseguridad sufridos por las Organizaciones, principalmente porque no llegan a denunciarse ni se llega a solicitar ayuda a un CERT, ni se comunica o comparte.
Con el fin de comprobar la percepción que tenían las Organizaciones acerca de los ataques mediante IS, se formularon dos encuestas, fundamentadas en dos hipótesis, cuyos resultados pudiera llevarnos a valorar, la viabilidad de la formación y el entrenamiento en las Organizaciones como medida de prevención.
- Hipótesis 1: «Es más probable que los empleados de más de 45 años sean víctimas de engaño a través de la Ingeniería Social, sobre todo por la falta de hábito en el uso de los medios tecnológicos y por falta de formación en una cultura de ciberseguridad por parte de la Organización para la que trabajan».
- Hipótesis 2: «La formación en ciberseguridad reduce en un 50% los ataques provocados mediante Ingeniería Social».
Una de las encuestas iba dirigida a cualquier empresa que quisiera contestar acerca de su experiencia como víctima de un ataque. La otra encuesta se dirigió a un grupo controlado de empresas que se dedican a dar respuesta ante incidentes de ciberseguridad. El objetivo era el de tratar de encontrar elementos comunes que pudieran ayudar a elaborar programas de prevención de delitos a través de la IS.
De las encuestas confeccionadas, las únicas que pueden considerarse moderadamente «fiables» han sido las dirigidas concretamente a empresas dedicadas al incident response, es decir, a dar respuesta ante incidentes de ciberseguridad. Las encuestas, dirigidas a empresas-víctima, aun habiendo sido difundidas a más de 2000, el número de respuestas no tiene ninguna significación, lo cual confirma esa «cifra negra de víctimas por IS».
Vistos los diferentes puntos de vista que definen la Ingeniería Social, su concepto y sus efectos cuando es utilizada como medio para delinquir, son muchos los autores que se aventuran a plantear diferentes medidas preventivas. 1
Lohrman, D. 2 (2019) plantea como medidas preventivas:
- El entrenamiento constante en la conciencia a los empleados de la ciberseguridad.
- Elaborar instrucciones para los miembros de la Organización, sobre todo para los miembros clave. Son empleados clave aquellos que son garante de información sensible y confidencial de la Compañía.
- Revisar frecuentemente los procedimientos y procesos internos y aislar, manteniéndolos independientes, los flujos de trabajo sobre activos financieros y sobre otros procesos especialmente críticos.
- y respuesta ante incidentes de seguridad.
Macías, A (2016) 3 también concluye en su trabajo, publicado en el Blog Follow The White Rabbit, que lo más importante para la prevención es la formación. La formación impartida dentro de la Organización debe dirigirse a lograr detectar posibles atacantes internos (insiders) o externos y las posibles técnicas psicológicas que pueden usar contra los empleados. Los principales objetivos delictivos van a estar orientados a lograr adquirir información confidencial, que a su vez pueda facilitarles el acceso a esferas críticas vinculadas, sobre todo, con la esfera de los Sistemas de Información de la Organización.
Kovacs, N (2015) propone como mejor defensa para protegerse de los ataques de IS la formación. Sugiere la posibilidad de implantar políticas de seguridad en el uso de internet con la finalidad de ayudar a los empleados en la protección no sólo de los datos de las Organizaciones, sino también como autoprotección individual 4
Mitnick, K. (2002) 5, si bien dedica su obra a enseñar como engañar por medio de la IS en The art of deception, también es cierto que propone unas soluciones para implantar para evitar ser víctimas de ataques por IS. Ha identificado que, todas las Organizaciones que han sido atacadas por medio de IS en un 100% los atacantes han tenido éxito y propone la formación al empleado de una forma específica.
Hadnagy, C (2018) 6 concluye que se necesitan personas que estén del lado de «los buenos» para ayudar a defender, proteger, educar y empoderar a otros a conocer las técnicas de la IS y protegerse a sí mismos de este tipo de ataques.
En cuanto al objeto de estudio, que es la Ingeniería Social, si bien las empresas afectadas, que han impartido formación continua entre sus empleados, han visto reducidos los impactos por ataques de Ingeniería Social en un máximo de un 20%, lo cierto es que, la evolución del machine learning y el deep learning parece que va a dificultar enormemente la prevención de ataques por Ingeniería Social.
A día de la fecha se encuentra en un momento muy incipiente, la progresión y la evolución que está sufriendo, pronostica una rápida autonomía y crecimiento en el autoaprendizaje de las máquinas y por tanto una sofisticación de los métodos de ataque. La cuestión es, ¿se pueden desarrollar contramedidas a la evolución del machine learning y el deep learning para mantener a los usuarios a salvo?.
Con este trabajo se ha descubierto que, la realidad de las empresas que son víctimas de ciberataques mediante ingeniería social no puede ser dimensionada de forma real dada la poca habitualidad con la que las organizaciones publican sus incidentes.
Además, se ha podido comprobar que los daños producidos en las organizaciones sí que pueden ser valorables como de gran impacto, tanto por las estadísticas e informes estudiados, como por las estadísticas de intervención por parte de los operadores jurídicos.
Como se ha visto, la edad del empleado es un factor importante como vector de ataque aunque, la formación confirma que puede favorecer la reducción de los ataques por ingeniería social. Las próximas vías de investigación deberían profundizar en la elaboración de programas formativos que promuevan el entrenamiento y las técnicas necesarias para enfrentar la manipulación psicológica, o eludirla con la finalidad de lograr porcentajes más bajos en el número de incidentes sufridos por medio de la ingeniería social.
Dado que este trabajo deja al descubierto, de cara a los órganos de decisión de las corporaciones, la necesidad de dar importancia y prioridad a la formación preventiva, práctica y continua a los empleados, se recomienda la implicación de todos los departamentos de las compañías en la elaboración guías, entrenamientos y simulacros con ingeniería social, de manera efectiva y continuada.
Este trabajo de análisis no es más que un punto de partida a todo lo que está por venir en un futuro próximo y si tenemos en consideración la evolución que puedan hacer las máquinas respecto al autoconocimiento de la conducta humana. Se podría decir que, en la actualidad, los trabajos en las organizaciones, dirigidos a los entrenamientos del personal, podrán favorecer y ampliar, sin ninguna duda, la protección sobre los activos.
Referencias
1.- Vid. Supra. 18. Fruhlinger, J. 2019.
2.- Lohrman, D. 5 tips for defending against social engineering. 2019
3.- Macías. Alvaro. Naivenom. Ingeniería Social II – Introducción. 2016.
4.- Kovac, N. “The best defense against social engineering is education. It’s a good idea to have some form of internet security compliance training within an organization in order to help your employees not only help safeguard the company’s data, but their own as well.” What is Social Engineering. 2015. Symantec.
5.- Mitnick, K. The Art of Deception. 2002. Pp. 245 y ss.