25 de marzo de 2025
Una mujer entra en el vestíbulo de una oficina corporativa. Es la primera vez que pone un pie en este edificio. Aquí nadie la ha visto antes. No es una empleada. Nadie la ha invitado. No tiene credenciales.
Pero no podría saberlo por la forma en que la gente reacciona ante ella. En realidad, no reaccionan en absoluto. La ignoran cansadamente, como un accesorio de oficina particularmente aburrido. Ni siquiera un futbolín en la sala de descanso, más bien una maceta de plástico atornillada al suelo: siempre ahí y no merece la pena detenerse a admirarla.
Sin obstáculos, se dirige directamente al mostrador de recepción.
"Hola", dice ella, un poco tímida.
La cabeza de la recepcionista se levanta de su monitor, con una impaciencia que sugiere que está feliz por la distracción. (Jerry, de contabilidad, vuelve a responder a correos electrónicos que realmente deberían ser privados).
El alivio rápidamente da paso a la perplejidad cuando observa al extraño en su escritorio. Su rostro se arruga al pensar mientras intenta, y falla, ubicar al visitante.
"Perdone que le moleste", continúa la mujer, "pero estoy haciendo una entrevista en la oficina de al lado y se me ha caído café sobre el currículo. ¿Podría imprimirme una copia nueva? Tengo el archivo aquí mismo".
La mujer saca una unidad flash con un gesto elegante. ¡Tachán! El rostro de la recepcionista se suaviza en una sonrisa. Por supuesto que ayudará a esta pobre y desafortunada alma. Después de algunos de los improperios que soltó esta mañana en el tráfico de hora punta de Los Ángeles, le vendría bien un poco de buen karma.
La recepcionista conecta la memoria USB a su ordenador sin pensárselo dos veces. Los dos conversan trivialmente mientras ella navega hasta el único archivo del disco y hace doble clic, lo que desencadena una compleja cadena de acontecimientos que llevarán, al final del día, a comprometer toda la red.
El currículo no es un currículo, sino un malware hábilmente camuflado que se está instalando secretamente en el ordenador de la recepcionista. Ella no sospecha nada, ¿y quién puede culparla? La mujer parece bastante agradable, y sus padres la criaron para que fuera amable.
Refuerce su inteligencia de seguridad
Manténgase a la vanguardia de las amenazas con noticias e información sobre seguridad, IA y mucho más, semanalmente en el boletín Think.
Lo que acaba de leer está basado en una historia real, una en la que yo era el visitante que embaucaba a una recepcionista bienintencionada para comprometer a su empresa. Ninguna buena acción queda impune, ¿verdad?
Aunque tengo que recalcar que en realidad no infecté el ordenador de nadie con ransomware, y estaba allí con permiso. La empresa me contrató para hacer una evaluación física de las instalaciones. (Es más o menos lo mío). Y como pueden ver encontré algunos puntos débiles.
Pero suelo encontrar puntos débiles cuando hago evaluaciones, físicas o digitales. Especialmente débiles a la ingeniería social.
A pesar de todas las formaciones, los boletines de las fuerzas del orden, las historias de atracos multimillonarios y las advertencias de expertos (como yo), los ataques de ingeniería social siguen cogiéndonos desprevenidos.
Uno pensaría que sería bastante simple: "No coja memorias USB de extraños". Pero la ingeniería social funciona precisamente porque se aprovecha de nuestros instintos más humanos, como el deseo de ser útil.
Y los estafadores también explotan otras emociones.
Los atacantes juegan con la curiosidad de las personas, presentando historias poco probables y prometiendo fabulosas recompensas que incitan a las víctimas a descubrir qué sucede a continuación.
Vemos mucho esta táctica en las estafas de "pig butchering", en las que los atacantes se hacen pasar por ricos inversores con una "oportunidad" segura de hacer millonaria a la víctima. (No lo hará).
Los atacantes evocan el miedo, a menudo haciéndose pasar por un jefe, un policía u otra figura de autoridad y amenazando con la pérdida del empleo o la cárcel si la víctima no hace lo que le dicen. Este disfraz funciona demasiado bien porque se nos enseña a obedecer a las figuras de autoridad básicamente desde el momento en que nacemos.
Los atacantes utilizan la amenaza de la escasez, al igual que los infomerciales de la vieja escuela: "¡Actúe ahora! ¡Hasta agotar existencias!”
Por ejemplo, en la temporada de inscripción abierta, los estafadores suelen hacerse pasar por representantes de Recursos Humanos o de seguros médicos: "La ventana para inscribirse en un plan se está cerrando, ¡así que será mejor que me dé su número de la Seguridad Social pronto!".
Los atacantes obligan a las víctimas con pruebas sociales. La mayoría de nosotros queremos mezclarnos con la multitud. Si recibimos un correo electrónico (ciertamente incompleto) afirmando que somos la última persona de nuestra organización en realizar la encuesta (sorprendentemente invasiva) de los empleados, nos pondremos manos a la obra.
Es como ser presionado por los compañeros en la escuela secundaria: ¡Todo el mundo lo está haciendo! Excepto que en este caso, “lo” significa “entregar su contraseña a un hacker” en lugar de “fumar cigarrillos detrás de la cafetería”.
Para suscitar estas emociones, los estafadores inventan pretextos (historias falsas) y personajes (papeles que desempeñan). Por ejemplo:
"Soy Susan, de TI. Soy nueva, por eso aún no ha oído hablar de mí. Pero ha oído hablar de la migración del correo electrónico, ¿verdad? Necesito configurar su cuenta nueva. Usted es el último de su departamento. Si me pudiera dar su contraseña..."
A veces pienso que crear una compañía de teatro para estas personas reduciría a la mitad el número de ataques de ingeniería social. Ofrézcales una salida saludable para sus fantasías. Ya lo entiendo: me gusta llevar pelucas cuando irrumpo en los edificios de los clientes.
No quiero ser pesimista, pero tenemos que afrontar los hechos. Nunca vamos a vencer por completo a la ingeniería social. Nunca desarrollaremos un filtro de spam que los atacantes no puedan engañar con un disfraz inteligente. Nunca tendremos una prueba infalible para distinguir las falsificaciones maliciosas del artículo auténtico, ya sea un mensaje de texto de su banco o una mujer torpe con un currículum manchado de café.
Mientras la gente tenga emociones, los estafadores se aprovecharán de ellas. (Tal vez nuestros señores de la IA necesiten darse prisa).
Son buenas noticias para mis perspectivas laborales como Chief People Hacker, no tanto para el resto de ustedes.
Por el lado bueno, todos los años de hacerme pasar por estafador (¡meta!) me han enseñado que cuantos más obstáculos pongamos a los posibles atacantes, menos probabilidades hay de que nos pillen desprevenidos.
Con ese fin, estas son algunas de las formas más eficaces en las que su organización puede mantener a raya los ataques de ingeniería social.
La razón por la que los ataques de ingeniería social se basan en emociones fuertes como el miedo y la presión social es para que actúes antes de pensar.
Ay, no, mi jefe dice que vamos a tener graves problemas si no pago inmediatamente esta factura inusualmente elevada. ¡Será mejor que se ponga manos a la obra!
Mi consejo es que no vaya tan rápido y evalúe cualquier texto, correo electrónico, llamada telefónica u otro mensaje. Es más fácil decirlo que hacerlo, pero es la defensa más efectiva contra los ataques de ingeniería social. Si la mayoría de las personas leyeran atentamente sus correos electrónicos e hicieran preguntas antes de reaccionar, comenzarían a ver todas las señales de alerta ante sus ojos.
Espere un momento. Nuestros pagos a proveedores no suelen ser tan grandes. ¿Y por qué mi jefe me envía un correo electrónico al respecto directamente en lugar de enviarlo a través del sistema contable? Será mejor que haga un seguimiento de esto.
Un consejo más: cuando haga un seguimiento de las solicitudes sospechosas, intente utilizar un canal de comunicación diferente. Si su jefe le envió un correo electrónico extraño, llámelo para confirmarlo. Si el mensaje original es un ataque de ingeniería social, responder directamente a él le llevaría directamente a los estafadores.
Parece obvio, pero demasiadas organizaciones confían en formaciones genéricas en ciberseguridad que no hablan de los ataques reales a los que se enfrenta su personal.
No puedo decirle cuántas veces he revisado el entrenamiento de un cliente solo para descubrir que es extremadamente anticuado, centrándose en cosas que los atacantes ya ni siquiera hacen. (Fuera: príncipes nigerianos. Dentro: inversiones en criptomonedas.)
Los cursos de sensibilización deben basarse tanto en las buenas prácticas del sector como en el contexto específico de su organización. ¿Recibe determinados tipos de llamadas? ¿Los estafadores utilizan pretextos y personajes particulares cuando atacan a su gente? Incorpórelo a la formación de conciencia sobre seguridad.
Un tipo de entrenamiento que recibe menos atención de la que merece es el uso de ejercicios de rango cibernético.
Los cyber ranges son entornos físicos o virtuales que simulan redes y ciberataques del mundo real. Los utilizamos para ejecutar simulaciones de cibercrisis, en las que ponemos a ejecutivos y otros miembros del equipo en un ataque simulado, como una infección de ransomware, y vemos cómo responden.
Para que no piense que estoy promocionando el Big Cyber Range, permítame decir esto: Tal vez el mayor beneficio de un simulacro de crisis cibernética es que puede ayudarle a descubrir lo que falta en sus planes de respuesta a crisis.
Muchas organizaciones entran en nuestros cibercampos con un plan en marcha, pero cuando la goma sale a la carretera, rápidamente encuentran enormes lagunas en esos planes: tácticas de ataque que no habían considerado, responsabilidades que nunca asignaron, planes de comunicación que nunca aclararon.
Al ejecutar una simulación de cibercrisis, los equipos pueden determinar quién es responsable de qué y quién trabaja con quién antes de que los hackers llamen a la puerta. Así, nadie se queda sentado tomando café en la sala de descanso mientras la red arde como el perro de "This is fine".
Una de las formas más fáciles de detener a los atacantes es exigir la verificación de cada solicitud importante o inusual: pagar facturas, compartir información confidencial, ayudar a su CEO a comprar tarjetas de regalo de iTunes para el personal de limpieza.
(Vale, eso último es sin duda una estafa).
El problema es que muchas organizaciones utilizan factores de verificación que son fáciles de adivinar, como los cumpleaños o las fechas de inicio. En su lugar, recomiendo factores que son mucho más difíciles de eludir o descubrir.
Por ejemplo, el verano pasado, un ejecutivo de Ferrari frustró un intento de estafa de vishing (phishing de voz) preguntando a los estafadores, que utilizaban herramientas de clonación de voz para hacerse pasar por el CEO, si recordaban qué libro había recomendado recientemente el verdadero CEO. Los estafadores, nerviosos, colgaron inmediatamente.
A menos que gestione una biblioteca, probablemente no pueda basar todas las verificaciones en recomendaciones de libros. Pero puede hacer otras cosas. Uno de mis clientes utilizaba contraseñas rotativas que cambiaban todos los lunes. Desafortunadamente, ese fue el único factor de verificación que utilizaron, por lo que aún pude descifrar su sistema engañando a alguien para que me diera la contraseña.
Lo que me lleva al siguiente punto: las capas. No pida un factor de verificación único. Pida dos o tres. Cuanto mayor sea el riesgo de la solicitud, más factores deberá exigir. Es mucho más difícil para los estafadores engañar a alguien cuando necesitan recopilar múltiples datos.
Puede poner a todos en formación de vanguardia y desarrollar políticas herméticas. Si las personas no tienen las herramientas que necesitan para practicar lo que predicas, todo equivale prácticamente a nada.
Volvamos a la historia que conté arriba. Me tomé algunas libertades creativas. No es cierto que nadie se fijara en mí. Una persona lo hizo: la mujer a la que seguí hasta el edificio.
Verá, para entrar, los empleados necesitaban pasar una tarjeta de identificación. Yo no tenía, así que tuve que recurrir al antiguo arte del tailgating, es decir, seguir muy de cerca a alguien para que le abra la puerta porque cerrársela en las narices sería de mala educación.
Mientras seguía a esta mujer, me di cuenta de que sabía que algo estaba pasando. La mirada que me lanzó lo decía todo. Creyendo que me habían descubierto, me preparé para que algún fornido guardia de seguridad me cogiera en brazos y me echara al estilo de los dibujos animados.
Para mi sorpresa, no sucedió. Pude ir de un lado a otro colocando USB como el hada del malware durante horas antes de escenificar el enfrentamiento culminante en el mostrador de recepción.
Y mientras estaba allí, mirando a la recepcionista imprimir mi currículo, capté parte de una curiosa conversación que tenía lugar justo detrás de mí. Alguien estaba describiendo a alguien que había visto, y seguro que se parecía mucho a mí. Mi atuendo. Mi altura. Mi color de pelo.
Con cuidado, rápidamente, miré por encima de mi hombro. Allí estaba. La mujer de la puerta, me describió a un guardia de seguridad, que estaba escaneando a través de la alimentación de la cámara en su ordenador portátil. Buscándome mientras yo estaba a solo unos metros.
De alguna manera, todavía pude escabullirme sin ser detectada.
Cuando volví a hablar de los resultados de mi evaluación con mi cliente, lo primero que le pregunté fue: "¿Por qué ha tardado tanto?" La mujer me vio cuando entraba en el edificio, pero no me denunció hasta tres o cuatro horas después.
Investigamos un poco y resultó que había querido denunciarme mucho antes. Solo que no sabía cómo hacerlo. Tardó un par de horas en encontrar la dirección de correo electrónico correcta y un par más en que los de seguridad se pusieran en contacto con ella.
Veo mucho este tipo de cosas: una persona me pilla corriendo. Yo digo: "¡Gracias!" con mi voz más alegre. Me miran de arriba abajo. No me reconocen. Pero, ¿qué se supone que deben hacer?
No saben qué decir. No saben cómo impedir que alguien los siga, ni cómo rechazar educadamente la solicitud de un extraño de utilizar una impresora. A las personas no necesariamente se les enseña a cuestionar a los demás cuando es parte de la naturaleza humana querer ayudar, y mucho menos a decir directamente “no”.
Lo que quiero decir es que no basta con dar órdenes del tipo "No deje entrar a extraños en el edificio" o "Informe a seguridad de las personas sospechosas". Explique exactamente a los empleados cómo es ese proceso y ofrézcales oportunidades de practicar como parte de su formación.
Si ve a alguien caminando sin una tarjeta de identificación y no le resulta familiar, deténgalo. Pregunte: "¿Puedo ayudarle? Vamos a registrarle". Si alguien le pide usar una impresora, diga: "Primero necesito ver sus credenciales, ¡es solo una cuestión de formalidad! Vamos a seguridad rápido".
Y no espere que la gente memorice estos pasos. Es fácil ponerse nervioso cuando uno se enfrenta a algo real. Asegúrese de que cada estación de trabajo (cada dispositivo y escritorio) tenga una guía disponible para responder a ataques de ingeniería social físicos y digitales. Incluya números de teléfono, direcciones de correo electrónico e instrucciones de presentación de informes importantes paso a paso.
Si esa mujer hubiera podido actuar en cuanto me vio, nunca habría podido engañar a la recepcionista.
Así que, si lo piensa bien, es culpa suya. No es mía.