¡Una amenaza sutil que debe contrarrestarse con "atención"!

(Para Orazio Danilo Ruso)
31/01/22

Estuve leyendo hace un tiempo sobre el aumento de casos de "vishing": el robo de credenciales realizado a través de una llamada telefónica pretexto en la que un impostor (o un contestador automático especialmente habilitado para el propósito ilegal) se hace pasar por el administrador de un sistema de información, como un banco en línea.

La noticia en sí causa sensación porque las víctimas, muchas veces jubiladas y de escasos recursos, se han encontrado con la cuenta corriente vaciada por tramposos en posesión de claves de usuario y contraseñas robadas durante llamadas telefónicas; pero salta más a los ojos porque el mismo artículo destacó que el Abf - elÁrbitro Bancario Financiero a la que se puede acudir para la resolución de litigios entre clientes y prestamistas- habría coincidido con los bancos, que acusarían a los clientes de ser demasiado crédulos.

Sin duda los ataques de ingeniería social - definido por el experto estadounidense Christopher Hadnagy como “cualquier acto que tiende a influenciar a una persona, a empujarla a tomar una acción que no es necesariamente en su mejor interés” - Son una amenaza actual y peligrosa. Se ve favorecida en particular por tres aspectos: la difusión de las tecnologías de la información y los servicios en línea; el estado de analfabetismo tecnológico general y la ligereza en el intercambio de datos personales en línea; y finalmente por la falta general de inclusión de las interfaces de usuario del software que plantea serias barreras tecnológicas para los ancianos, los niños y los discapacitados.

Pero por otro lado hay que decir que no se trata de nuevas amenazas: las estafas en los hogares de ancianos por parte de autodenominados funcionarios de ENEL, por ejemplo, son el resultado de las mismas técnicas manipulativas. Y el mismo Hadnagy, en su libro “Social Engineering: the science of human hacking”, señala que son técnicas tan antiguas como el mundo, citando como primera fuente histórica de ataque de ingeniería social el pasaje de Génesis 27, en el que Jacob, disfrazándose y haciéndose pasar por su hermano Esaú, engaña a su padre ciego y anciano, Isaac, robándole su bendición.

Pero exploremos dos aspectos de particular interés: qué hay de nuevo y qué hay de viejo en los ataques de ingeniería social de hoy.

Los aspectos novedosos son fruto del estado del arte: las computadoras, los teléfonos inteligentes y las tabletas han creado un universo paralelo y las actividades sociales se han trasladado al mundo virtual. Surgieron nuevos vectores de ataque y evolucionaron los procedimientos ofensivos. He aquí entonces que, además de lo ya mencionado vishing, nació el "phishing" -es decir, el ataque realizado con un correo electrónico fraudulento, cuyo objetivo es la suplantación de identidad de la víctima o la infección de su cliente con virus informáticos- y el "smishing", el equivalente al primero, implementado sin embargo a través de un mensaje de texto en el teléfono móvil de la víctima.

La vulnerabilidad explotada es antigua.: el proceso natural de relajación, de menos presencia de uno mismo, que caracteriza la mayor parte de las horas de vigilia de nuestro cerebro y que se implementa fisiológicamente por razones de economía de los procesos cognitivos. Cuando estamos en una situación normal, que no consideramos peligrosa, la mente entra en "modo eco", automáticamente, y reacciona a los estímulos según una respuesta preempaquetada, resultado de la experiencia realizada en casos similares: en En esencia, se guarda energía mental para cuando, por el contrario, te encuentres en una situación inusual, percibida como un peligro, y en la que se necesitará la máxima atención y energía -"modo adaptativo"- para responder a la amenaza. de acuerdo con un comportamiento que no está preempaquetado esta vez, sino que se adapta al contexto específico.

Este es el arte del estafador, del ingeniero social: la capacidad de presentar a la víctima un contexto de información que no se percibe como inusual, peligroso, anormal; por el contrario, los recuerdos son similitudes con experiencias ampliamente vividas o con nociones adquiridas en el pasado; y sobre el cual la respuesta conductual puede ser "automática", inconsciente.

Sobre este aspecto, los psicólogos sociales han escrito páginas de consideraciones y producido miles de investigaciones. La psicóloga estadounidense Ellen Langer, en particular, presentó los resultados de un famoso laboratorio -conocido en la bibliografía como el experimento de la fotocopiadora (Langer 1978)- en el que hablaba de las "tonterías de las acciones reflexivas". Y demostró que, en las interacciones sociales, tanto verbales como escritas, la mente humana suele actuar con una acción reflexiva completamente desconectada del significado sustancial del pedido; y ligada únicamente a la correspondencia formal, estructural del paradigma comunicativo.

Más precisamente, el científico ha demostrado que, cuando estamos tranquilos y absortos en nuestros pensamientos, respondemos a una solicitud que se hace simplemente analizando la estructura formal y estilística de la oración: si esto nos parece "convencional" y no alarmarnos, entramos en un estado de aquiescencia, abriendo efectivamente las puertas a la persuasión y, por desgracia, también a la manipulación.

Ahora bien, sería demasiado simple y obvio exclamar simplemente: "tienes que prestar atención" o "no debes ser crédulo". Aquellos que dicen eso no están tomando en cuenta los mecanismos mentales mencionados anteriormente. Lo que hay que hacer, en cambio, es poner en marcha una política social y de seguridad articulada que se mueva sobre al menos tres pilares fundamentales.

En primer lugar, para acelerar la eliminación de la "brecha digital" que caracteriza a grandes sectores de la población y, en particular, a través de campañas de información dirigidas y repetidas que induzcan la seguridad automática del comportamiento, sobre todo la educación en la privacidad en línea.

Además, invertir en tecnologías y aplicaciones de software que llamen la atención del usuario ante elementos de desconfianza del interlocutor o compromiso de los dispositivos.

Finalmente, alentar a la industria y al mercado de servicios de TI a desarrollar interfaces de usuario más inclusivas que permitan un acceso seguro a la tecnología incluso para los usuarios más frágiles en las relaciones sociales.

Para obtener más información:

https://www.repubblica.it/economia/2021/07/26/news/sembra_la_banca_ma_e_un_truffatore_occhio_al_vishing_c_e_chi_ha_perso_migliaia_di_euro-311160470/

https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/

https://www.researchgate.net/publication/232505985_The_mindlessness_of_ostensibly_thoughtful_action_The_role_of_placebic_information_in_interpersonal_interaction

https://www.difesaonline.it/evidenza/cyber/diversity-inclusion-la-cyber-tutela-delle-fasce-deboli 

Pensamientos lentos y rápidos - Daniel Kahneman | Óscar Mondadori

De archivo: Web

Eventos

Haga clic en los días resaltados en rojo y descubra qué hay en evidencia.
Historias de vida militar
Envíenos su historia
Homenaje (debido) al 80º de infantería "Roma" que se despide con honores

Bueno, sí, ya estamos acostumbrados a asistir al cierre de los cuarteles y quizás incluso un poco a enterrar la larga historia de los departamentos, un fenómeno que sin embargo no borra los recuerdos. También tocó...

Lea la historia
"Il Signor Parolini" (novena parte)

El pollo al horno, como era de esperar, había estado a la altura de su reputación, consolidando, donde era necesario, la maestría culinaria indiscutible de Gastone, jefe ...

Lea la historia