Seguritecnia 476

66 SEGURITECNIA Junio 2020 Opinión nuestro director financiero es porque es así. Y si el sistema dice “contraseña incorrecta”, es lógicamente porque la hemos escrito mal... A poca gente se le ocurre primero pensar que el co- rreo pueda ser falso o que en reali- dad le han facilitado su contraseña a un troyano. Principio de la utilidad de la acción: un punto importante en todo acto humano es la motivación. El princi- pio anterior, según el cual a todo el mundo le gusta ayudar a los demás, está bien. Pero es mejor si este im- pulso natural se refuerza de alguna manera. En definitiva, se trata de ha- cer creer a la víctima que hace algo útil para ella misma. Una manera sencilla de lograr esto es exponerle sutilmente qué ocurriría si no hace la acción que le pedimos. Por ejemplo: “soy el administrador del sistema de correo: hemos tenido un fallo en los discos y para recuperar to- dos los buzones y dejarlo todo como antes necesito las contraseñas de to- dos. Puedes decírmelas, o si prefieres, pasarte por el departamento de IT y rellenar el formulario de cambio de password correspondiente”. El men- saje está claro: a mí me da lo mismo, eres tú el interesado en decirme la contraseña si quieres leer tus correos Es más, si a una persona ‘A’ le de- cimos “hola, soy Pepe”, esta normal- mente nos presentará a una segunda persona ‘B’ como “hola, mira, este es Pepe” y nunca “hola, mira, este dice que es Pepe”. Es por ello por lo que es mu- cho más sencillo picar en un phis- hing cuando el mensaje viene de un amigo o compañero de trabajo. Im- plícitamente estamos bajando nues- tras defensas porque confiamos en él. Por este motivo mucho malware se dedica a mandar mensajes a nuestros contactos. Principio del “ordenador infalible”: para mucha gente, usuarios finales de las aplicaciones informáticas, los or- denadores son un auténtico misterio. Son cajas aparentemente inteligen- tes capaces de hacer maravillas con la información (aunque fallen y se cuel- guen de vez en cuando, claro). De he- cho, cuando tienen algún problema y acuden a un experto, invariable- mente este les suele responder “pero si es facilísimo; te lo dice aquí muy clarito, le hubieras dado a OK”, o al- guna frase de similares características. Así que, ¿quién es él para poner en duda lo que dice la ‘todopode- rosa’ pantalla? Si el correo que acaba- mos de leer dice que lo ha mandado sona desconocida que nos los pre- gunta por teléfono para hacer una encuesta porque “el pobrecillo está trabajando”. Principio de aceptación de la auto- ridad : en la sociedad actual en la que vivimos, estamos acostumbrados a aceptar que individuos desconoci- dos tengan autoridad sobre nosotros. Por ejemplo, una azafata nos indica ir por un determinado pasillo de un ae- ropuerto y la obedecemos sin rechis- tar; y qué decir de un policía de trá- fico que nos pida la documentación. Tiene que ocurrir algo muy grave o extraño como para que pongamos en duda esta autoridad. En virtud de este principio, cual- quier ingeniero social que se precie intentará ponerse, por tanto, en posi- ción de dominio: no es lo mismo de- cir “oye, soy un compañero de ad- ministración, ¿podrías hacerme el favor de cambiar la contraseña de mi cuenta?”, que “soy el director ge- neral y hace casi una hora que pedí que cambiarais la contraseña de mi cuenta. ¿Lo habéis hecho ya?”. El fa- moso fraude del CEO (un mensaje aparentemente del gran jefe pi- diendo hacer un pago urgente a una cuenta justo cuando está de viaje o no accesible en persona) se aprove- cha claramente de ello. Piense en las escenas de cámara oculta que haya visto: los mayores bro- mazos involucran a un gancho disfra- zado de policía que obliga al sufrido objetivo a hacer las cosas más vario- pintas. Y es que hay que estar muy se- guro, muy seguro, antes de decirle a un policía “anda ya, payaso, que ya sé que es una broma... ¡vete a paseo!”. Principio de la confianza transitiva: los seres humanos somos sociales por naturaleza. Así las cosas, alguien a quien no nos han presentado es un perfecto extraño al que ni saludamos; si a esa misma persona nos la pre- senta un amigo íntimo, la empeza- mos a tratar inmediatamente como si también fuera nuestro amigo... ¿Por qué? Porque sería hacerle un feo al amigo que nos lo presentó.