De la Ingeniería Social y el Hacker Ético

Al hablar de los conflictos éticos en el manejo de la Tecnología, no se puede evitar hablar de la Ingeniería Social y del Hacker Ético, ya que ambas disciplinas representan un problema ético muy debatible, y sobre los cuales los expertos no se han puesto de acuerdo al respecto.

Ingeniería Social

 No todos conocen el término de Ingeniería Social, y de hecho, muchos lo pueden asociar a trabajadores sociales que emplean metodologías científicas, pero nada más alejado de la realidad.

La Ingeniería Social es un concepto tan antiguo como la humanidad misma, e implicó el timar o engañar al otro con una finalidad definida.

En la actualidad, la Ingeniería Social se ha potenciado, ayudado en el avance de la Tecnología, y se ha convertido en una amenaza real para los incautos que pululan en la web.

¿Qué es?

Ingeniería Social, de acuerdo a Castellanos (2009): 

... implica el valerse de cualquier medio para obtener información acerca de una o varias personas, con el fin de alcanzar un beneficio o de causar algún daño.

 La Ingeniería Social, para llevarse a cabo, requiere:

• La presencia de un “Ingeniero Social” o de la persona que busca la información
• La presencia de una persona incauta o inocente, que ofrece la información
• Herramientas, instrumentos y técnicas para encontrar la información
• Un objetivo definido que se pretende alcanzar (ya sea obtener lucro o perjudicar y causar daño)

Principios

Kevin Mitnock es considerado uno de los padres de la Ingeniería Social moderna, y fue un hacker, descubierto por el FBI (en los EEUU) y condenado a prisión. Al salir de prisión, se convirtió en Asesor muy cotizado en el área de la Seguridad en Informática.

Kevin Mitnick

Entre los principios se encuentran:

• Todos queremos ayudar
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir No.
• A todos nos gusta que nos alaben.

Aparte de esos principios, se pueden identificar otros factores que ayudan al Ingeniero Social en su “labor”:

• En sistemas de información o en redes, el eslabón más débil de la cadena siempre es el usuario
• El miedo y la codicia
• La inocencia y la credulidad

Un ejemplo de Ingeniería Social en la calle y en la cotidianidad:

¿Quiénes hacen Ingeniería Social?

Ahora bien, ¿quiénes hacen Ingeniería Social?

En teoría cualquier persona, pero se han identificado varios grupos que llevan a cabo la actividad, como lo son:

• Detectives privados
• Miembros de organismos policiales y/o de inteligencia gubernamental o comercial
• Delincuentes organizados
• Hackers y Crackers (delincuentes organizados, pero orientados hacia la Tecnología de Información)
• Personas curiosas que sientan el deseo de obtener información acerca de otras personas

Formas de hacerla

Algunas de las formas conocidas de hacer Ingeniería Social son:

1. Suplantación de identidad o Phishing
2. Spear Phishing
3. Simple embaucamiento
4. Envío de archivos adjuntos en el correo electrónico
5. Recolección de hábitos de las víctimas potenciales
6. Revisión de desperdicios o basura
7. Vishing

¿Es ético hacer Ingeniería Social?

Como todo en esta vida, es muy fácil justificar las razones por las cuales se puede llevar a cabo la Ingeniería Social.

Los detectives privados dirán que es la manera de ganarse la vida, obteniendo la información requerida por sus clientes. Los Miembros de los Organismos Policiales o de Inteligencia Gubernamental dirán que es necesario hacerlo para mantener o preservar la Seguridad de Estado. Los Miembros de la Inteligencia Comercial harán ver que es para la sobrevivencia de su compañía o empresa. Por supuesto que los Delincuentes Organizados hacen del delito su vida, y también es su manera de ganarse la vida. Los Hackers justifican sus acciones con el orgullo de haber obtenido la información que está restringida para la mayoría de los mortales. Y quizás los curiosos vean en la Ingeniería Social una manera “inofensiva” de llevar a cabo un pasatiempo.

Ahora bien, ¿es ético hurgar en Internet la información acerca de las demás personas, y tomar sus imágenes sin estar autorizados para ello? ¿Hasta qué punto nuestra información circula libremente en Internet?

Todo ello dependerá de los valores éticos y morales que cada quien posea.  Es difícil a veces trazar la delimitación entre lo ético y lo que no es ético.

Hacker Ético

¿Qué es?

De acuerdo a Castellanos (2015), un Hacker Ético es:

...un profesional en el área de seguridad de la información, el cual utiliza todas sus habilidades y conocimientos en identificar y administrar eficientemente las brechas de seguridad en una compañía. 

Principios de la Seguridad en Informática

• Confidencialidad: se refiere a mantener la información privada para aquellos que tengan autentificación correcta para poder acceder a ella
• Integridad: se refiere al poder garantizar que la data permanezca íntegra, a menos que sea proveniente de una fuente segura
• Disponibilidad: se refiere a que simplemente el sistema se encuentre la mayor cantidad de tiempo disponible para el ingreso de cualquier usuario autentificado.

Perfil del Hacker

Antiguamente los hackers requerían de un gran conocimiento técnico para poder vulnerar un sistema, aplicando técnicas como ingeniería social, para obtener fechas de nacimiento, cedulas y adivinar contraseñas. Hoy en día existe desde hijacking sessions, automated probes, stealth techiniques y las más avanzada staged attacks. Estas nuevas herramientas permiten a los hackers que poseen menos conocimientos técnicos hacer incluso más daño a los sistemas.

Basándose en los principios de seguridad, lo que busca un hacker ético cuando va a brindar servicio es: identificar los bienes de la empresa, cuál es su capital monetario, capital intelectual, información confidencial, todo lo que pueda resultar atractivo para un individuo con fines maliciosos y que afectaría directamente a la empresa. Seguido de eso identifica posibles amenazas que podrían afectar principalmente a los bienes de la empresa. Y por último identificar las vulnerabilidades, las cuales tienen que ver con la estructura de la organización, los softwares, la infraestructura de hardware, las topologías de red, políticas de seguridad que rigen en la empresa, entre otros.

Retos

En tal sentido, mientras se tienen más avances tecnológicos, más vulnerable están los sistemas, debido a que día a día surgen nuevas herramientas que facilitan a los hackers maliciosos alterar los sistemas de información. Las compañías tienen el reto de reducir estas brechas y brindar mayor seguridad a manera de respaldarse de las amenazas actuales y las futuras. Asimismo, el hacker ético tiene el reto de brindar la confianza a empresas de que todos los riesgos asociados a tecnología de información y/o comunicaciones se identifiquen, se comprendan y se administren de manera oportuna asegurando la productividad.

Hacker de sombrero blanco o negro

Últimamente se habla de los Hackers buenos y Hackers malos. Los primeros son los llamados "white hat" hackers, o hackers de sombrero blanco, y los segundos son los llamados  "black hat" hackers o hackers de sombrero negro. Esa denominación viene de las películas tipo "western" (del viejo oeste), donde los "buenos" usaban sombreros blancos y los "malos" usaban sombreros negros u obscuros.

Los hackers de sombrero blanco son consultores de seguridad y/o trabajan para las empresas en el área de seguridad en informática, previniendo ciberataques. A veces tratan de penetrar la seguridad de las organizaciones, para detectar vulnerabilidades, y poder corregirlas y prevenirlas.

Los hackers de sombrero negro son los que también tratan de penetrar la seguridad de las organizaciones (o de individuos) para obtener algún provecho, ya sea económico, político o estratégico de la información obtenida.

¿Es ético ser un White Hat Hacker?

 Al igual que en el aparte anterior acerca de la Ingeniería Social, no es fácil justificar lo ético de las acciones de un Hacker. ¿Hasta que punto un White Hat Hacker tendrá la integridad moral y ética para no convertirse en un Black Hat Hacker?

¿Se podrá decir que todos los hombres tienen su precio? ¿Y que los White Hat Hackers son así porque nadie ha llegado a su precio?

Stricto sensu,  se podría decir que mientras el Hacker sea del tipo White Hat, lo que hace es ético. Pero ¿hasta qué punto? ¿Tiene permiso para hurgar en la información personal de los empleados de la organización? ¿Tiene permiso para hurgar en la intimidad de los empleados? Y muchas veces sin que los propios empleados tengan conocimiento al respecto.

Muchas veces, nuevamente, dependerá del peso moral y ético de cada persona.

20 mejores películas acerca de Hackers

Referencias

• Castellanos, Luis (2009): Ingeniería Social.  
• Revisado el 30MAY2017. https://ingenieriasocialsigloxxi.wordpress.com
• Castellanos, Luis (2015): Conociendo el hacking ético
• Revisado el 30MAY2017. http://luiscastellanos.org/conociendo-el-hacking-etico/