jueves, 29 de noviembre de 2007

Después de la Tormenta... llegan Virus y Extorsiones: ¡Cuidado con la "Ingeniería Social"!

El día de hoy, amanecimos mucho más optimistas (bueno, al menos que el día de antier).
Estábamos en un Laboratorio, esperando el empaque de ciertos fármacos, cuando escuchamos del episodio de la "extorsión telefónica" colectiva a los in...cautos diputados del H. Congreso.

La primera reacción (RHN, por supuesto) fue de sarcasmo, sorpresa y (qué pena decirlo) gozo, seguido de comentarios tales como "¡¡¡Vaya, para que sientan lo que nos pasa al común de los mortales, a ver si así hacen algo estos #%*&$!^ parásitos del pueblo!!!

La segunda fue de silbatina y pitorreo hacia el Caballito con Cuerno, cuando mencionó que "bueno, es algo que no se le desea a nadie, sobre todo a esta gente que, de tan consentida, casi les daba un infarto o el patatús (= soponcio, vahído, "mimiqui" o "tramafat"... otra vez, según el Unicornis Veritas Dictionariu... perdonen ustedes), cuando recibieron la noticia.













Pero el siguiente comentario despertó más interés: "Todo esto por no saber contrarrestar la Ingeniería Social...!" Enseguida comenzaron los irónicos comentarios: "Ay, sí tú (= "I see two", en lengua inglesa, según el ya célebre Dictionariu), como eres ingeniero, ya lo estás presumiendo. Y uno, ya acostumbrado al "Efecto Cassandra", suspira una vez más y se dispone a explicar el punto:
La "Ingeniería Social" EXISTE, es un término acuñado en el campo de la seguridad informática, y es una práctica para obtener información confidencial a través de la manipulación de los usuarios. Un "ingeniero social" (por no llamarlo más correctamente para mi gusto "hacker social") usará comúnmente el teléfono o Internet para engañar a la gente y llevarla a revelar información sensible, o bien a violar las políticas de seguridad típicas. Con este método, los "ingenieros sociales" aprovechan la tendencia natural de la gente a confiar en su palabra, antes que aprovechar agujeros de seguridad en los sistemas informáticos. Generalmente se está de acuerdo en que “los usuarios son el eslabón MÁS débil” en seguridad; éste es el principio por el que se rige la ingeniería social.
Por lo tanto, se denomina fundamentalmente "ingeniería social" a todo artilugio, treta y/o técnica con la cual, a través del engaño y manipulación emocional o sensorial de las personas, se obtenga información relevante para los intereses del "ingeniero social", ya sean contraseñas, claves, información personal o empresarial. Esta vertiente o especie de "virus" llega a tener más éxito en la obtención de dicha información que la que obtendría a través de las debilidades propias de un sistema.
Aquí, después de cierto silencio, el mismo colega antipático (al que llamaré mi Némesis), vuelve a la carga: "Ay, y ahora hablando de virus... como dizque eres biomédico...".
La respuesta es que también tienen que ver: por ejemplo, cuando los creadores de virus (informáticos... otro día hablamos del "Ébola") se dieron cuenta que las medidas contra ellos tenían buenos resultados, recurrieron a la "ingeniería social", en el sentido de ofrecer a los usuarios alguna recompensa implícita en los mensajes maliciosos: por ejemplo, cuando ofrecen una forma de obtener gratis tiempo aire para el teléfono móvil ("Haga clic aquí!"), o de descargar algún video gracioso, o ayudar a alguna obra de caridad ("¡Por cada clic, Juanito recibirá un dólar para su tratamiento contra el cáncer!!")... y así LOS MISMOS USUARIOS descargaban y activaban el software malicioso.

También existen variantes como la llamada "pesca" ("pishing"): los usuarios de Internet reciben mensajes solicitando sus contraseñas o cierta información de sus tarjetas de crédito, por ejemplo, con el motivo de "reclamar un premio", "reactivar una configuración", o alguna otra operación que parezca"inofensiva" en principio. No obstante, estos usuarios deberían ser advertidos oportunamente para no divulgar información delicada a personas que "dicen ser" administradores o técnicos de la red. De hecho, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus labores. (Y esto sin contar de "links" o "vínculos" hacia sitios "falsos" que simulan ser bancos o comercios establecidos en la red, y cuyo objetivo es capturar números confidenciales de cuentas y tarjetas de crédito).
"¿Qué hacer entonces contra estos sinvergüenzas?!", exclamó el colega, ya un poco intimidado. Pues según opiniones de expertos "hackers sociales", NO CAER en una RHN (que, para los que apenas están leyendo estos Unicornianos escritos, les aclaro que significa Reacción Humana Normal, o Estándar: RHE), porque, fundamentalmente, la ingeniería social se basa en estas cuatro tendencias del comportamiento social:
1.- A todos nos gusta sentir que ayudamos.
2.- La primera impresión siempre es de confianza hacia el otro.
3.- No nos gusta decir NO, en principio.
4.- A todos nos agrada que nos halaguen.



Y yo agregaría una 5a. quinta 5a.: No caer en el pánico súbito... aunque sé que es algo de lo más difícil que hay, sobre todo cuando no estamos ya acostumbrados en esta sociedad urbana a enfrentar crisis inmediatas.


Como ejemplo práctico, quiero compartirles un caso recurrente en esta temporada y una experiencia familiar cercana:


(1): Hay gente que se comunica a las casas particulares fingiendo enojo o angustia, argumentando que en su celular tienen registradas llamadas del número residencial de dichas casas con amenazas de muerte o extorsión.
Insisten que es nuestro número de teléfono el que aparece en su identificador de llamadas... pero esto es un truco para obtener información privada de la persona que contesta la llamada.



"¿Cómo es esto?", se preguntarán. Pues... por medio de afirmaciones "gancho", que permiten, debido a la RHN, que la gente "buena" HABLE DE MAS (¡¡recuerden las 5 tendencias 5 antes mencionadas!!):


"¡Acabamos de recibir una llamada de amenaza de muerte (o secuestro exprés, o extorsión) desde ese número y fue un hombre quien nos llamó!", es lo que escuchamos al teléfono.


¿Qué respondería alguna persona consciente y comprometida?

Al percibir la ira o angustia de la otra persona, la que contesta se siente presionada y obligada a aclarar la cuestión, PERO TAMBIEN TRATARA DE ENFATIZAR SU INOCENCIA, O DE CONFORTAR A LA OTRA, con frases como éstas:

- "¿Cómo, si aquí no vive NINGÚN HOMBRE?"
- "¡Ay, Dios mío, cómo cree, si aquí vivo SOLA CON MI BEBE!"
- "¡Es imposible, mis hijos y esposo NO LLEGAN sino hasta la noche!"
- "Se equivoca, amigo, no HAY NADIE EN ESTA CASA LOS FINES DE SEMANA, pero espero que se resuelva su problema..."


¿Se dan cuenta de lo que hacemos por "solidaridad"? Posteriormente, esa persona QUE NO CONOCEMOS, quizás se disculpe, tal vez solloze y pida más datos de ustedes, "para estar seguro"... y entonces seguiremos diciendo cosas e información como:


- "Ay, cómo lo siento. ¡Yo tengo DOS HIJOS PEQUEÑOS, EN PRIMARIA, imagínese! Y mi esposo TRABAJA DE VELADOR, así que comprendo su angustia, pero no se preocupe, primero Dios todo se arreglará!" (¡Qué ternura la de la buena gente de mi pueblo, caray!) Y entonces cuelga, satisfecha de haber "confortado" a la angustiada persona que le llamó.


A los pocos días, llaman nuevamente para decir (y lo peor, con lenguaje altisonante): "Los tenemos bien controlados, sabemos muy bien a qué hora entran y salen, quién está EN LA CASA, cuántos HIJOS PEQUEÑOS tiene, donde estudian la PRIMARIA y si no quieren que les pase algo a sus HIJOS o a su ESPOSO, (o a sus papás, hermanos, etc.) tiene que darnos $$$$$$ cantidad".


¿Qué hacer? No permitir que nos controlen. Escuchar pero responder con firmeza, negando lo de la llamada y sugiriendo que se llame a las autoridades, de las dos partes. Si acaso, decir que lamenta el hecho Y COLGAR EL TELEFONO. TRATAR DE NO PROPORCIONAR información alguna, por mucho que sea nuestro primer impulso. Este es el objetivo de estos tipos o "hackers" (¡más bien, delincuentes, qué va!) sociales.


(2): Hace tiempo, un miembro de la familia llamó desesperado al ignorado Cuaco con Cuerno, para buscar consejo URGENTE. Les acababan de llamar para decirles que un pariente cercano que trabajaba en los Estados Unidos (sí, adivinaron: era indocumentado) había ocasionado un accidente, herido o matado a una persona y que estaba detenido en la terminal aérea de la Muy Noble y Muy Leal. Y para no "regresarlo" (con el agravante de que lo juzgarían allá por el accidente) tenían que depositar una cantidad para "echarle la mano" (¡estos eufemismos del mexicano!) y que el "Comandante" se "hiciera de la vista gorda" y que se "saliera" el susodicho parientico.


("¿Y yo por qué?", me pregunté al estilo Fox). Le dí ánimos y le confesé mi falta de capacidad para aconsejar en un asunto tan delicado, de modo que consultara con algún profesional. Me contestó que no, que confiaba más en mí, y el pretexto para consultarme es que había estado en Inteligencia y si tendría contactos para resolver el asunto (!!) Pues... no. Pero estaba tan desesperado que le planteé un plan de acción.

Plan A: ¿Ya trataron de contactarlo con o a través de su familia? "Pero... ¡¿cómo *$%#!!&+# vamos a contactarlo, si está detenido en el Aeropuerto?!" Y perdonándole las palabras altisonantes, comprensibles en todo lo que cabe, dada la situación, le contesté: ¿Y quién te asegura que REALMENTE esté en México? En 1er. lugar, si es indocumentado, ¿cómo va a tomar un avión, a escasos minutos del supuesto accidente? ¿Y ya viste la hora? Según esto, tomó el Concorde, o un caza supersónico para estar ya en la capital? Su respuesta: NO, NO SE NOS HABIA OCURRIDO.

Le dije: entonces, háganlo y si no, pasamos al Plan B. Aquí, mis colegas que escuchaban (nooo, si chismosos los hombres, no son), me preguntaron: "Y... ¿tienes ya un Plan B?" N'ombre, el orgullo que sintió el Caballito con cuerno al decirles: "¡¡Pues, claro que no!! Es para tranquilizarlo".


El final fue feliz. Después de hora y media de angustia (y de "dialogar con el *"%$$#!!&?%+* "Comandante" por teléfono), confirmaron que el pariente sí estaba... pero en su trabajo, en la Unión Americana. O sea, puro y vil chantaje embustero. Pero con esto quiero ilustrar la 5a. tendencia: caer en pánico. No obstante, los entiendo: ¿cómo no creerles si saben (o "parecen saber") datos que uno cree solamente conoce la familia más cercana. Los exhorté a investigar entre amigos del susodicho, incluso allá, en Estados Unidos (sobre todo, de la familia de su "esposa"), pero, quizás comprensiblemente, ya no quisieron tocar el asunto más.

Por lo tanto, la moraleja de esta plática fue: no comenten nada a favor de los diputados, porque los colegas (sobre todo mi "Némesis") empiezan a silbarle y a ridiculizar al caballito con cuerno.

(Ya veré mañana qué les cuento, para que no me anden echando montón estos cuates, jejeje).

Un saludo afectuoso (y más aún si llegaron hasta el final de este rollo "delincuencial"), asegurando que procuraré conversar de algo más ameno la siguiente vez, de parte del

"¿Inteligente?" (juar, juar, sí, cómo no) Cuaco Cornúpeta.

5 comentarios:

CRISTINA dijo...

Muy instructivo todo lo que escribes.
En realidad se trataría de que todos tuviésemos un poquito de sentido común y pensásemos dos minutos antes de actuar, hablar, contar...lanzarnos ante cualquiera.
Pero ese "poquito" sentido común es tan difícil de tenerlo, a veces, algunos...

Y ahora, la pregunta, pero ¡¡¡¿qué les pasó a los políticos mexicanos?????

Saludos

Unicornio dijo...

Hola, Cristina!
Uppsss!!! Perdón. Olvidé culminar la historia de los diputados. Resulta que, como en la mayoría de los casos, era extorsión ficticia. Es decir, no tenía a ningún familiar de los diputados secuestrado o bajo amenaza directa. Lo novedoso del asunto fue que coincidieran EL MISMO DIA y casi a la misma hora en extorsionar a varios diputados, y de distintos partidos, además.

Por lo menos esta historia tiene una ventaja: parece que "ahora sí" se van a poner a trabajar y sacaron de los empolvados archivos una iniciativa de ley para atacar este tipo de delitos "virtuales"... claro, ya que les tocó a ellos, ahora sí van a tomar cartas en el asunto, no?

En fin, supongo que es algo común entre los que dicen legislar "por el bien común".

Un saludo afectuoso de parte del

Inconcluso Unicornio.

CRISTINA dijo...

Gracias, ya sé la historia completa.
Qué pena que personas se supone preparadas y que deben hacer gala del sentido común que comentábamos, "caigan" en este tipo de cuestiones.
¡Qué pena y qué risa y qué ridículo!

Saludos

Fr@nbar dijo...

Saludos Unicornio aqui pasando de visita
informacion complementaria y reveladora gracias

Sibyla dijo...

Parece ser que en cualquier momento podemos ser víctimas de extorsión y engaño.
Muchas gracias por tus consejos, para no caer en trampas futuras e imprevistas.
Un saludo Preyecto Unicornio.