COMPRENDAMOS

Introducción: Redes Sociales, Seguridad Informática, Ingeniería Social

Internet es la red de millones de computadoras en todo el mundo; desde el punto de vista sociológico, es un fenómeno económico, social y cultural, que tiene repercusiones sobre las personas y las sociedades y sobre la forma en que éstas se comunican, interrelacionan, producen, comercian, trabajan, se divierten y se organizan. Se puede afirmar, incluso, que repercute sobre la propia identidad de las personas y de las estructuras sociales; en esta misma idea, las redes sociales son parte de un fenómeno que se da como parte de la creación de estructuras sociales, las cuales establecen vínculos entre sus individuos, tal como pueden ser la amistad, intereses comunes e inclusive el parentesco. Hoy en día la evolución tecnológica ha permitido que gran parte de los seres humanos tengan acceso a dispositivos con acceso a internet, permitiéndoles comunicarse con prácticamente cualquier persona alrededor del mundo, y generando que personas con intereses comunes de cualquier parte del mundo se conviertan en usuarios de redes sociales web como Facebook, Twitter, entre otras.

Formalmente, según (Fernández (2009)), las redes sociales en Internet son sistemas globales de relaciones entre individuos, que replican y maximizan las estructuras sociales existentes en la vida real; todas estas redes ofrecen plataformas excepcionales, tanto genéricas como especializadas en función de la temática, los gustos, profesiones o edad de los usuarios, en las que crear y mantener comunidades abiertas, públicas, privadas o incluso secretas. Una de las principales amenazas que existen en su uso, es el acceso no restringido para el público en general, desconociendo físicamente a la persona con quien se interactúa, debido a que el perfil usado para ingresar a la red social en muchas ocasiones no describe a quien dice ser. Por otra parte, en algunos casos, el pertenecer a una red social implica la exposición de cierto nivel de información personal para poder acceder a todos los servicios que ésta ofrece. Entonces, debido a la naturaleza de las redes sociales, su entorno se han prestado para cometer diferentes actos ilícitos como el robo de identidad, en donde una persona se hace pasas por otra que realmente no es para robar información privada o para dañar la integridad física o moral de un usuario o su núcleo social. Todo esto sirvió de motivación para la elaboración de este trabajo, donde se presenta un breve estudio de lo que se denomina como manipulación de usuarios de redes sociales, en donde otro usuario que posee ciertos conocimientos tecnológicos y de ingeniería social es capaz de manipular a su interlocutor y obtener información privada para fines maliciosos.

Antecedentes

D. M. Boyd adn N. B. Ellison (2007) definen una red social como una serie de servicios basados en la web, los cuales permiten a los individuos la creación de un perfil, ya sea público o semi-público dentro de un entorno delimitado a una serie de usuarios con los que comparten uno, o varios enlaces, dependiendo de los individuos que se agreguen a esta lista de enlaces. Por otra parte Wellman B (1988), dice que una red social, es utilizada de forma figurativa, para poder expresar algún tipo de relación, ya sea amistosa, o una relación la cual te hace parte en sí de una comunidad. Actualmente, las redes sociales son un servicio que tienen gran demanda en Internet, y son un fenómeno que se debe gracias al poder de comunicación que el Internet facilita; Silvia Benítez (2011) menciona que los sitios web más conocidos para redes sociales son: Google+, Badoo, MySpace, Hi5, Yahoo 360, Twitter, Facebook, Youtube, LinkedIn, Orkut, Friendster, Xanga y Metroflog, entre muchas otras.

En las redes sociales, las computadoras están expuestas a ataques de código malicioso (virus, gusanos, troyanos, etc), mientras que los usuarios se exponen a ataques hacia su integridad física y moral; su enemigo es cualquier usuario que utiliza la ingeniería social para obtener información privada para obtener algún beneficio propio o simplemente para hacer daño. La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos, quienes usan, por ejemplo, su fecha de nacimiento, el nombre de su mascota o su actividad favorita como “password” para acceso a cuentas bancarias o correo electrónico; la ingeniería social también es empleada para conocer lugares de compra, lugares de entretenimiento o lugares en donde se elige comer frecuentemente, y así conocer parte de la rutina diaria del usuario vulnerable. Algo similar se comenta en (Long, Johnny (2008)) donde se menciona la importancia de leer las cosas simples del mundo y que dan información acerca de sus habitantes. “En una comunidad pequeña siempre hay pedazos de información que se pueden leer en su comportamiento, en sus hábitos e incluso en los documentos que tiran”. Algunas de las formas de ingeniería social son: “Tailgating” que significa seguir a una persona autorizada a un edificio, “Shoulder Surfing” que consiste en observar las claves y códigos de acceso a computadoras mientras se teclea. Otra forma de ingeniería social se presenta es cuando se recibe una llamada de una persona aparentemente de la misma empresa que nos solicita cierta información, por ejemplo: Un supuesto administrador del sistema llama a un empleado para arreglar su cuenta en el sistema y por tanto necesita nuestro password, Skoudis (E., Liston, T. (2006)). En este contexto se manipula al usuario; entendiéndose que la manipulación es una forma de ejercer de manera premeditada un abuso de poder en cualquier tipo de relación, ya sea humana o social. Norbert Abuchon (1997) menciona que para persuadir a alguien, la dominación juega un rol muy importante ya que ésta es la que permite conseguir que otro individuo realice o no una acción.

El uso de la ingeniería social para manipular a los usuarios y sistemas informáticos

La ingeniería social es la práctica de obtención de información confidencial a través de la manipulación de usuarios legítimos. En los sistemas informáticos, la ingeniería social considera que los usuarios son el punto débil de la seguridad; en general, los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc.

El hecho de explotar la ingeniería social para alterar los sistemas informáticos es similar a tener todo un sistema de seguridad para una casa olvidando por completo que la casa tiene un segundo piso, dejando así una gran vulnerabilidad en espera de ser usada por alguien. En (Mitnick, K. D., Simon, W. L. (2002)), se comenta que la mejor forma de conseguir contraseñas y brechas de seguridad era, sencillamente, pedirlas o preguntar por ellas. Si es que se pretende estar seguros ante un ataque o intrusión de este tipo, se requiere estar pendiente de las técnicas usadas para extraer la información y preparar a las personas para que se den cuenta de más cosas que las que normalmente son percibidas. Por ejemplo, cuando alguien entra a clase como profesor o como alumno puede percatarse de muchas cosas de sus compañeros con simplemente observar su ropa, su lenguaje corporal, su vocabulario, etc. Si cada individuo pusiera más atención a esos elementos se podría saber más de las personas con que se trata y se podría saber si es que algún intruso llega al centro de trabajo o de estudio con un fin de obtener algún tipo de información.

En (Guevara (2012)) se explica que si se analiza el elemento de la comunicación utilizado por (Vygotsky, Lev (2001), (Vygotsky, L. S. (2000)), se podría ver que se utiliza una relación Sujeto-Objeto en la que el lenguaje es un mediatizador. Dicho lenguaje es usado para poder significar al mundo y redefinirlo, por lo que si se da información se convierte en un signo que el manipulador pueda leer o interpretar, él está redefiniendo el signo, que ahora es la persona abordada, y da la información necesaria para que un “no autorizado” la use. En (Pierce, C.S. (1967)) se habla una relación tríadica, y sus elementos son: signo, objeto e intérprete y en la relación de un ingeniero social con un objetivo, sería interesante describir dicha relación.

Generalmente y de acuerdo a (Fernández (2009)), el sector más vulnerable y propenso a desnudar su intimidad en las redes sociales es el de los menores de edad, en la franja de 14 a 17 años. No por falta de conocimientos técnicos ni de preparación, que por formar parte de la generación “nativa digital”, sino por la ausencia de sensibilidad alguna por la preservación de un mínimo espacio privado o íntimo y de juicio ante los riesgos derivados del uso desmedido de estos nuevos canales de comunicación.

Debido a que resulta complicado tener la certeza de estar conversando a través de una red social con una persona cuyo perfil se corresponda fielmente a la realidad, un manipulador en una red social lo que hace es explotar al máximo la relación tríadica para redefinir al mundo en términos de información necesaria para entrar a algún lado. Por lo que si cada uno investiga precisamente la relación mediatizada entre el sujeto y el objeto (o el objetivo), podría leer con mayor claridad las intenciones de quien intenta manipular.

Un ejemplo de manipulación de un usuario de redes sociales

Para este ejemplo se presenta un usuario de redes sociales como Facebook, Twitter, Google+ o incluso Microsoft Messenger; el usuario es la victima, mientras que el atacante es su interlocutor: un ingeniero social que desea obtener información privada, por principio de cuentas la victima puede estar en una de dos situaciones:

La víctima suele ser una persona que tiene deseos de ser útil y de colaborar, lo que la hace vulnerable ya que estará dispuesta a cambiar un servicio por la satisfacción de recibir comentarios que provoque satisfacción.
La víctima tiene una necesidad, por lo cual esta ávida de ser atendida; lo que en ese momento la hace vulnerable y por lo tanto será más factible su cooperación si es que ve la posible solución a su problema.

Otro ejemplo se presenta cuando un usuario tiene cierto conocimiento a cerca de lo vulnerable que pueden llegar a ser las redes sociales, y por esto, teme que su identidad pueda llegar a ser robada a través de su cuenta de correo electrónico. En busca de una solución a su problema, el usuario se topa con un ingeniero social, quien, al ser capaz de detectar a sus víctimas, ofrece su ayuda aprovechándose de la situación y, debido a que la víctima se siente en un entorno de confianza propiciado por el ingeniero social, se establece una conversación en la que, sin percatarse, inicia a compartir información personal. Después de un intercambio de información y preguntas distractoras, el ingeniero social manipula a la víctima para obtener su contraseña de correo electrónico, aparentando haber dado solución al problema de la víctima.

Conclusión

Hoy en día, las redes sociales han llegado a formar parte de la vida cotidiana de la mayoría de los usuarios de Internet, empleándose como una herramienta de trabajo o como mero entretenimiento, sin embargo, debido al intercambio de información que se llega a dar dentro de estas comunidades virtuales, los usuarios están expuestos a ser víctimas de ingenieros sociales. Aunado a esto, existen diversos factores anímicos en los que los usuarios pueden estar inmersos, ya sea soledad, depresión, o por el simple hecho de querer conocer a nuevas personas, lo que los convierte en un objetivo vulnerable y manipulable.

Es por lo anterior que se deben dar a conocer las diferentes amenazas presentes en las redes sociales, sus características y métodos de operación, para así minimizar el impacto en la cantidad de usuarios, que son víctimas de estas prácticas ilícitas. Además de ser recomendable que los usuarios, al ingresar a una comunidad virtual, conozcan la información que se comparte y los riesgos que se corre cuando se brinda dicha información.