Es más fácil hackear personas que máquinas

La Nación

El link en la última oración de esta columna tiene un dato que realmente no vas a poder creer.

Dejame adivinar. Saltaste al final y le diste clic, ¿cierto?

Sí, muy probablemente. El hecho es que si no fuera un vínculo legítimo a lanacion.com, ahora tu máquina podría estar infectada con un virus. Y ni siquiera lo sabrías.

Esta clase de trampa se llama ingeniería social. No sé qué culpa tendrán los ingenieros en esto -ninguna, de hecho-, pero el nombre pegó y ya está instalado. La mala noticia: en condiciones normales, la ingeniería social es todopoderosa. Abrirá cualquier puerta, llegará a los datos más privados, desbloqueará, quebrará o forzará las cerraduras más sólidas. Incluso las reales, las de hierro. No hay antivirus ni firewall que la detenga. No existe actualización que corrija la característica que la vuelve tan incisiva.

Esas condiciones normales son las que me propongo alterar en esta columna, la tercera de las cuatro que le dedicaré a mantener nuestra información lo más segura que se pueda en un mundo donde, como quedó claro en la primera entrega, los datos se han vuelto inseguros por naturaleza.

Carta de desamor

¿En qué pensamos cuando nos enteramos de que un sitio, un sistema o una organización fueron "hackeados"? Pensamos en programas exóticos que invaden el hardware. En mecanismos para quebrantar contraseñas. En sujetos que instalan un software espía en los servidores de la compañía atacada. Pero hay algo mucho más fácil de "hackear": las personas, la mente humana. De hecho, uno de los libros fundacionales sobre el tema, obra de Christopher Hadnagy, se titula Ingeniería Social: el Arte de Hackear Humanos.

Recuerdo el virus ILOVEYOU. Empezó a propagarse en mayo de 2000. Era un tosco guión escrito en Visual Basic Scripting, que se basa en uno de los más elementales lenguajes de programación que existen, Visual Basic. Y sin embargo, causó entre 5500 y 9000 millones de dólares en daños. Erradicarlo costó otros 15.000 millones. Fue, en su momento, el más destructivo de los virus informáticos, y sigue figurando en ese maléfico top ten. A falta de buen código, sus autores usaron ingeniería social.

Funcionó. Casi nadie pudo sustraerse a darle doble clic al adjunto que llegaba por mail con el simple, pero infalible título love-letter-for-you.txt. Además, el ícono era el del Bloc de Notas. ¿Qué podía haber de malo en eso?

Las víctimas, cegadas por la promesa de amor, no tomaron en cuenta que las extensiones de archivo que Windows reconoce (por ejemplo, .txt) se ocultan de forma predeterminada. Así que el verdadero nombre del adjunto era love-letter-for-you.txt.vbs. Es decir, un guión ejecutable. La mayoría de los guiones realizan tareas útiles. Este, en cambio, reemplazaba todos los archivos JPG, MP3 y DOC, entre otros, con una copia del virus, además de dejar al sistema incapaz de arrancar. Antes de eso, se enviaba de forma autónoma a todos tus contactos. Un encanto.

Supe de varios administradores de sistemas que cayeron en la trampa. No se los puede inculpar. Como decían los Beatles, todo lo que necesitamos es amor. El ILOVEYOU fue una genialidad de ingeniería social (macabra, pero genialidad al fin). Su lección, sin embargo, sigue sin comprenderse.

¿Cuál sería esa lección? ¿No creer en nada nunca? ¿Nunca abrir ningún adjunto? No. Es más fácil. Los que zafaron del ILOVEYOU se preguntaron dos veces antes de darle doble clic a esa afectuosa esquela. En una segunda lectura, cuando la reacción instintiva le da paso a la razón, la idea de una carta de amor redactada en inglés empieza a resultar sospechosa. En particular porque llega, digamos, de tu esposa. O de la secretaria de tu jefe, que no sólo no habla inglés sino que además te odia. Si sabías algo de computadoras, ahí te caía la ficha: ¿por qué el adjunto muestra la extensión .txt cuando Windows normalmente la oculta? Simple: la verdadera extensión estaba escondida.

Los que descubrieron el engaño descargaron el adjunto, en lugar de abrirlo, pidieron sus Propiedades y, abracadabra, el guión malicioso mostró entonces su verdadera naturaleza. Lo tengo guardado en algún CD todavía.

El cuento del anillo perdido

El enorme poder de la ingeniería social reside en que nuestra mente es mucho más fácil de hackear que las computadoras. ¿Por qué? Porque tenemos, por así decir, muchas más vulnerabilidades de software. Nuestros deseos, el siempre insatisfecho narcisismo, las dificultades que estamos atravesando, nuestros puntos débiles, nuestros miedos, nuestras expectativas. En términos informáticos, son miles de debilidades que el pirata puede explotar.

En la práctica es por completo imposible cubrir todas las bases. Repito: imposible. Y una vez más: imposible.

Si tratamos de vencer a la ingeniería social en su terreno, vamos a fracasar. No hay nada que pueda evitar que un mail, un mensaje de chat, un mensaje directo o un SMS, más tarde o más temprano, nos descoloque, nos tiente, nos ponga al borde de caer en la trampa. Así entraron los piratas en la mayor empresa de seguridad del mundo, RSA, mediante un PDF que prometía oportunidades de progreso laboral en otras compañías. Un PDF que estaba infectado con virus de altísima tecnología. Siempre hay un empleado descontento. Siempre hay algo que soñamos. Siempre hay algo que nos mete pánico.

Por fortuna, la ingeniería social tiene un punto débil. Uno sólo, pero es suficiente. No se trata de evitar la reacción emocional. Eso es inhumano. Ni de dejar de creer en todo. Eso es más o menos lo mismo que estar muerto. No. La solución es más simple, y para demostrar cómo funciona voy a contarles una anécdota.

Estábamos caminando por París. Acabábamos de ir a buscar las entradas para el Louvre -que habíamos comprado un mes antes por Internet- y, en total, se podía ver a 500 metros que éramos turistas. Era un día de semana, cerca del mediodía, y la calle, entre la pirámide y la Place du Carrousel, estaba repleta de gente. Entonces de la nada, con cierto apremio, se nos acercó una persona y nos preguntó, estirando la mano, si ese anillo que había encontrado en el piso era nuestro. La ingeniería social estaba en el gesto. No se limitó a mostrarnos el anillo a una distancia prudencial. Invadió nuestro espacio privado y nos dio el anillo. Casi nos lo puso en las manos. Era muy difícil no tomarlo. Pero los años de frenar goles informáticos me alertaron. Primero, el anillo no era nuestro. No necesitábamos tocarlo para saber eso. Segundo, era demasiado vistoso, aparentemente de oro. Tercero, y más importante, ¿por qué a nosotros? ¿Por qué a nosotros en ese momento y lugar? Simple: porque era un coto de caza, una zona llena de turistas desprevenidos. Donde tocáramos ese anillo iba a desencadenarse una secuencia de eventos que, como mínimo, nos haría perder unos cuantos euros, y, como máximo, nos conduciría a un commissariat de police.

Corté en seco con un no muy hostil y nos alejamos rápidamente de ahí. Hice bien, como se puede ver en este sitio: https://www.corporatetravelsafety.com/safety-tips/category/pickpockets/tip/paris-found-gold-ring-scam-video.

Dame medio segundo

Tendemos a creer que el punto débil de la ingeniería social está en que se basa en algo que no es o no puede ser o que muy difícilmente sea verdad. Nadie te regala viajes. Ni te ganás loterías en las que nunca participaste. Ni te devuelven un anillo de oro enorme (que, además, no es tuyo). Cuando la limosna es grande hasta el santo desconfía, dicen. Pero no es así. El mayor activo de la ingeniería social es, precisamente, diseñar un pretexto (una promesa o una amenaza) que suspenda nuestra razón.

Entonces, ¿cómo reconocer que estamos a punto de caer en la trampa de la ingeniería social y obtener ese medio segundo de duda que nos salva? Hay un síntoma infalible: siempre tenemos que ejecutar alguna acción. La ingeniería social necesita que hagamos algo: un clic, un doble clic. Incluso hubo casos en Facebook donde te hacían copiar y pegar el código malicioso.

Ese mail del banco no sólo te informa que hubo una brecha de seguridad, sino que te ofrece un link para que entres al home banking y verifiques tus datos. Ese clic te lleva a un sitio que parece ser el del banco, pero es falso. Te robarán allí tu nombre de usuario y la contraseña.

Un ejemplo ficcional, basado en estafas reales, sólo para acentuar los trucos a los que recurre la ingeniería social. Te llega un mail del FBI acusándote de tráfico de drogas y además te adjuntan un link con "más información". Quiero decir: es delirante que el FBI te notifique de algo así por mail. Pero los piratas tejen bien su engaño, con logo y otros indicadores visuales, un supuesto número de causa, una dirección en Estados Unidos. ¿Quién no se asustaría? Todos, eso es inevitable, insisto. De hecho, los que más se asustarán son los inocentes. El traficante ya sabe que es traficante.

Entonces te dan algo para hacer. Estás asustado, el pirata lo sabe, y una persona asustada no sólo no piensa, sino que necesita hacer algo, saber qué pasó, qué pasa, qué está pasando. Y ahí está el link salvador.

Pero esperá. Razonemos. Estás frente a tu computadora. En tu casa. Te llega un mail acusándote de traficar drogas. No se oyen sirenas ni nada. Eso ya es raro. Además, vamos, vos no traficás ni geranios. Ya está. Ganaste. Ese medio segundo de duda antes de hacer clic en el link produce una reacción en cadena mental. El puntero del mouse está sobre la dirección maliciosa, pero no hiciste clic y toda la maniobra empieza a aparecer bajo una nueva luz. Que sería más o menos ésta: ¿desde cuándo el FBI les informa por mail a ciudadanos fuera de los Estados Unidos sobre causas abiertas en su contra? Causas por crímenes gravísimos, además. Y encima son tan gentiles que adjuntan un link con "más información". No sé, ¿acaso será la lista de los países donde Estados Unidos no tiene acuerdo de extradición? Digo, porque luego de recibir un mail así un malviviente se metería el pasaporte y dos gruesos fajos de plata en el bolsillo, chequearía que haya munición en su arma preferida, se subiría al auto y huiría de allí.

¿Te estás riendo? Es una de las pocas cosas buenas de la ingeniería social. Cuando la desactivás, resulta cómica. Es una forma de humor (www.lanacion.com.ar/1602671).