jueves, 26 de abril de 2012

¿Qué es la ingeniería social?

Saber romper medidas de seguridad no hace que seas hacker, al igual que saber puentear un coche no hace que seas ingeniero de automoción.
Eric Raymond

Hola a todos. Hace tiempo hablé ya de la importancia de usar contraseñas adecuadas en nuestros sistemas, cuando les conté como proteger la información importante. También conté, en otro momento, la importancia de cuidar nuestra identidad digital. Para entrar en materia, léanlos o reléanlos si quieren, que yo les espero aquí. ¿Ya?. Pues bien, hoy quiero ir un paso más allá con ambos conceptos, y hablarles de ingeniería social. No, no se trata de que nos dediquemos a la eugenesia, a aplicar el modelo de sociedad de Platón ni a montar una tecnocracia extrema.

La ingeniería social es el conjunto de técnicas destinadas a sonsacar información importante del eslabón más débil de la cadena de seguridad: el usuario. Es decir, averiguar sus contraseñas, o alguna otra información útil, mediante espionaje y/o un enfoque psicológico. Nadie está exento de caer en la trampa en alguna ocasión, pero sabiendo en qué consiste será mucho más complicado que nos engañen.

Para empezar, tengamos en cuenta que es imprescindible usar contraseñas con la fortaleza suficiente, sea en la cuenta de correo, en una página web o para proteger el ordenador o un fichero. Este artículo a mí al menos me pone los pelos de punta… la contraseña más común es “123456”, y en la lista son demasiado comunes también “password”, “qwerty” y trivialidades de ese estilo. Tan fácil acceder a esos datos que asusta. La cuestión es que, usando como contraseña algo como “23041983”, no hay que pensar mucho para darse cuenta de que es una fecha, probablemente de nacimiento. Si usamos “NeilDiamond”, alguien que sepa que somos fans del cantante americano podría deducir que es probable que esa sea nuestra contraseña. Si lo proclamamos públicamente en nuestro perfil de la red social correspondiente ya estamos dando pistas a alguien con mala intención.

Como ya les conté aquí, las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños. La posibilidad “recordar contraseña” NO es una opción. El uso de reglas mnemotécnicas debe ser razonablemente complejo. Por ejemplo, de la expresión “¡Nadie va a lograr entrar en mi cuenta!” podemos sacar la contraseña “Nv4l33mC!9” (iniciales, en mayúsculas los sustantivos, sustituyendo algunas letras por números, el signo de exclamación y al final recuento del número de caracteres).

Tengamos también en cuenta que hoy día es habitual la llamada pregunta de seguridad, para los casos en los que se ha olvidado la contraseña. Esas preguntas también deben estar bien pensadas (de hecho, las preguntas prediseñadas por muchas páginas son de juzgado de guardia). Si usamos “Profesión del padre”, “Nombre de mi novia” o “Lugar de nacimiento” cualquiera que nos conozca un poco puede averiguarlas. Mejor ser más creativos y usar cosas como, al menos, “Aniversario de boda de mis padres”, “Segundo nombre de mi abuela” o “Dónde gané el campeonato de escondite”; con esto ya lo estamos poniendo más complicado… a no ser que seamos tan zotes de poner estos datos en nuestro perfil de Facebook o similar, claro. Además, si usamos de nuevo técnicas como la de más arriba, mejor.

Bien, supongamos que nuestra contraseña no se averigua así como así (si es así, bien hecho, pero no se confíen). Aún así, existen distintas técnicas con las que la mayor parte de la gente accede a dar su contraseña a otra persona. El más típico es el de, telefónicamente, suplantar a un operador de mantenimiento; realmente, muy rara vez un técnico necesitará nuestra contraseña para hacer sus tareas, y además normalmente podría acceder a ella de otros modos, con lo cual, no se fíen. Ataques cómo este, y similares, se encuadran en el denominado phishing, y tienen distintas formas. La más mediática (y grave) es recibir un falso correo del banco, con una plantilla hábilmente falsificada, pidiendo los datos de nuestra tarjeta de crédito, PIN o similar; NUNCA debemos contestar, y debemos poner el caso en conocimiento de la policía.

Las técnicas para llegar a averiguar estos datos se dividen, principalmente, en pasivas y activas; una subdivisión, en todos los casos, es que las técnicas pueden ser o no presenciales. Las pasivas se basan en la observación: examinar nuestros perfiles públicos obteniendo datos básicos, intentar hacerse una idea de nuestro comportamiento ante un ordenador, de nuestros conocimientos, etc. Las activas ya implican una actuación por parte del asaltante, y tienen distinto nivel de agresividad: desde en la oficina cotillear en los post-it que hay sobre el ordenador a la suplantación de identidad (como el caso ya citado más arriba). Si bien el acceso no autorizado a información es un delito en cualquier caso, cuanto más agresiva es la técnica más grave es el delito, con lo cual ténganlo en cuenta si se ven envueltos en una situación de este estilo.

Del dibujante Vergara; extraído de proyectoautodidacta.com
Por cierto, que el primer paso para acceder a una cuenta de correo es saber que existe. Es por esto que, ante el próximo correo masivo que reciban sin que el listado de receptores vaya en “copia oculta”, tienen mi bendición para soltarle la bronca del año al emisor del mismo. Si encima se trata de un hoax (reenvía este correo 10 veces y el niño nigeriano recibirá el dinero para su operación, contesta a este correo o cerrarán Hotmail, si no reenvías a todos tus contactos esta foto de un pobre gatito criado en  un frasco eres un desalmado, etc.), yo les pago la gasolina y la cerilla para incendiar el ordenador del irresponsable que se lo haya hecho llegar. Lógicamente no todos los correos de este estilo pretenden llegar a acceder a nuestros datos, pero sólo con que pretendan enviarnos spam ya es un perjuicio, tanto para nosotros como para el propio rendimiento de la red y el resto de usuarios. Si alguien en su círculo de contactos no ha tomado conciencia aun de este problema, por favor, infórmenle. Irá en beneficio de todos; es, mutatis mutandis, el equivalente a la salud pública en estos medios.

Pese a todas nuestras precauciones, en el fondo nadie estamos exentos de caer en la trampa. Exceptuando los casos triviales, la ingeniería social se basa en buena medida en la psicología, y hay patrones al respecto. Fueron formulados por un conocido cracker, Kevin Mitnik, y son los siguientes:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir “No”.
  4. A todos nos gusta que nos alaben.
Mejor quedar como un borde desagradable que como un tonto útil en caso de que alguien a quien no conocemos nos pida, sutilmente, cierta información importante.

Pero, en todo caso, somos humanos y estamos sujetos a que alguien con labia nos tire de la lengua. En todo caso, espero que tras esta explicación hayan tomado conciencia del problema. Protejan bien la información de su correo, de su cuenta bancaria, de su tesis doctoral, etc., y no bajen la guardia.

Cuídense.

Juan.

miércoles, 11 de abril de 2012

¿Cómo distinguir ciencia y magia?


Cualquier tecnología lo suficientemente avanzada es indistinguible de la magia
Tercera ley de Clarke

Hoy voy a tratar un tema doblemente útil aunque tal vez polémico; para los profesionales de la investigación histórica, por una parte, porque les puede ayudar a contextualizar ciertos temas, y para cualquier persona, en general, para evitar dejarse embaucar por engañabobos y timadores. La verdad es que me veo incapaz de transmitir el mensaje mejor que el ínclito don Umberto Eco en esta conferencia, pero me gustaría añadir mi propio granito de arena a este tema.

Tal vez la frase escogida para el encabezamiento de este artículo, del autor de ciencia ficción Arthur C. Clarke, les resulte descorazonadora, ya que parece dar a entender que no podemos hacer tal distinción. En todo caso, en la charla del señor Eco aparece ya una diferenciación importante: no es lo mismo ciencia que tecnología. El personaje de la gran serie The Big Bang Theory, Sheldon Cooper, hace en un capítulo la afirmación de que los ingenieros somos “los umpa lumpas de la ciencia”, ya que la ciencia la hacen los investigadores mientras los ingenieros nos limitamos a implementar sus descubrimientos. Independientemente de que la afirmación tenga gracia (aunque siempre diré que a Sheldon le pagan por hacerse pajas mentales sobre cosas indemostrables hoy día mientras a Wolowitz le pagan por hacer cosas prácticas), es falsa, en el sentido de que si bien pueden ser gentes de ese perfil los que hacen investigación activa, todos, incluyendo a los mal llamados “de letras” podemos aplicar el método científico a nuestra vida.

La ciencia es un concepto relativamente moderno: no nace como tal hasta el siglo XVII. Los grandes logros de los griegos no se basaban en un método científico; en general, pese a que se lograron importantes avances y comenzaron a darse explicaciones no sobrenaturales sobre el mundo, sus aciertos se debieron mucho más a la intuición de mentes curiosas y lógicas que a una metodología real. Son los pioneros Roger Bacon, Descartes y, sobre todo, Galileo, los que  ponen los cimientos de la ciencia. Lo que nace en esos tiempos es un sistema que deja atrás el sistema escolástico, y pasa a basarse en el empirismo. La adquisición de conocimiento se basa en la experimentación, la posibilidad de repetir las mismas observaciones por otros investigadores, y la evolución continua: si una teoría no se ve respaldada por los experimentos, se descarta. El único dogma posible en la ciencia es que no hay dogmas; sí, hay cierta contradicción lógica en esta expresión, pero esta ausencia de verdades absolutas es la verdadera base de la ciencia.

Durante mucho tiempo es muy complicado distinguir si una persona es un científico, desde la perspectiva actual. Los anteriormente citados se manejaban en distintos campos alejados de las matemáticas y física; Bacon en teología, Descartes en la filosofía y Galileo en distintas artes como música y pintura. Esta dificultad se mantiene con el tiempo: posiblemente el mayor genio que ha dado la raza humana, Sir Isaac Newton, padre de la teoría de la gravitación universal y capaz de crear las bases del cálculo diferencial en unas semanas (bueno, Leibniz, otra cabeza pensante polifacética, posiblemente tuviera algo que objetar a esta frase), tenía como objetivo último de su faceta de teólogo descubrir el código secreto de la Biblia, y toda su vida mantuvo oculta su actividad como alquimista. Se dice que de lo que más orgulloso estaba en su lecho de muerte era de morir virgen…. Vaya, esto de cierto nivel de sociopatía no es sólo cosa de Sheldon Cooper.

En busca de un fijador duradero...
En todo caso, la ciencia no toma la forma que conocemos hoy hasta el siglo XIX; tras la revolución industrial, la figura del científico surge como una figura con una dedicación profesional exclusiva a su campo de estudio, debido a la gran especialización que ya requiere. Es en estos tiempos donde comienza a tomar forma la figura del científico loco rodeado de probetas y cacharros que sueltan rayos. Tiene cierta razón de ser, puesto que esta dedicación conduce a cierto aislamiento de la sociedad, en parte porque los avances dejan de ser comprensibles para no iniciados. Por otra parte, la disciplina de trabajo necesaria hace que genios como John von Neumann se nos hagan extraños en su faceta de alma de las fiestas, por más que esto realmente sea un tópico.

Así pues, por paradójico que pueda resultar, la ciencia continúa siendo indistinguible de la magia para aquel carente de formación o mentalidad científica. Si en su momento lo era porque no existía el concepto separado de otras disciplinas, ahora lo es porque resulta incomprensible para los profanos. Especialmente cierto resulta esto en lo referente a ciertas disciplinas como la medicina; imaginen lo que puede suponer para un miembro de una tribu amazónica sin contacto con el resto del mundo el hecho de curarle una enfermedad con dos pastillas. En términos históricos, la sensación de los habitantes del México del siglo XVI o de la Polinesia del XVIII, al ver los fusiles europeos, debió ser similar a la que pondríamos nosotros ahora si llegase una invasión extraterrestre con capacidad de paralizarnos apretando un botón.

Así pues, ¿cómo podemos realizar una distinción de ambos temas? En términos históricos, hasta no hace tanto, realmente no podemos, ya que los protagonistas y coetáneos de los hechos no concebían tal distinción. Su interdisciplinariedad no era la misma que la nuestra, pero no se concebía separar los conocimientos de la forma que hacemos hoy día; es importante tener esto en cuenta para analizar, con justicia, las motivaciones de los mismos.

El verdadero problema viene al llegar a los tiempos actuales, donde parece que la educación occidental ha dotado a todo el mundo de, al menos, las bases del cientifismo en todas las áreas. Y sin embargo, nos encontramos decenas de anuncios de tarotistas en la televisión todas las madrugadas. Los defensores de pseudociencias como la homeopatía se defienden como gato panza arriba cuando uno les demuestra que es imposible que esa supuesta medicina tenga más efectos sobre el organismo que el de un placebo. Los creacionistas directamente niegan cualquier evidencia geológica o antropológica basándose en que los malvados científicos quieren acabar con la religión (y eso que el Vaticano reconoció hace bastantes años la teoría de la evolución como compatible con la Biblia). Y luego están mis favoritos, los astrólogos. El hecho de que durante siglos nunca hayan obtenido más acierto estadístico que el azar puro y que con los mismos datos no haya dos predicciones iguales no les arredra. Lo que no tengo nada claro es cómo han asimilado la aparición de un decimotercer signo zodiacal.

Con buena lógica, se puede pensar que mientras no hagan daño a nadie, cada cual que crea en lo que quiera. El gran problema es cuando los defensores de estas ¿teorías? comienzan a hacer proselitismo, y, en muchos casos, llegan a generar problemas de salud pública. La actual tendencia a no vacunar a los niños está generando epidemias de enfermedades como el sarampión. Los homeópatas, puede que en algunos casos con buena intención, o bien no combatirán la enfermedad, que se acabará agravando, o bien venderán falsas esperanzas a un desahuciado.

Normalmente el principal argumento de los dogmáticos que ven amenazado su sistema de creencias es que lo que postula la malvada ciencia oficial son “teorías”. Si estamos tan seguros de que son la respuesta correcta, ¿por qué el Big Bang o la evolución siguen siendo “teorías”? Por el mismo motivo que Google mantiene en “beta” muchos de sus programas durante mucho tiempo. Porque tarde o temprano se verán superadas por algo mejor; que a su vez serán sustituido por una visión aun más ajustada a la realidad. La experimentación con el LHC tal vez ofrezca algún dato que derroque a la teoría de la relatividad como motor de nuestra visión del universo, y surja otra que al fin consiga “la gran unificación”. El estudio de los registros fósiles ya ha matizado mucho la postura original de Darwin, y actualmente se habla de reintroducir conceptos lamarckianos. Existe una hipótesis curiosa según la cual el ser humano, en su evolución, tuvo como antepasados a homínidos nadadores, lo cual explicaría ciertos aspectos de nuestra fisiología; sin embargo, la carencia de pruebas fósiles al respecto impide que ésta pueda ser incluida en teoría aceptada.

Como concepto básico, son necesarias pruebas adquiridas correctamente; la ausencia de datos en contra no es necesariamente una prueba de validez, ya que las estadísticas necesarias han de obtenerse según estrictos requisitos. La ciencia no es una respuesta absoluta, es un sistema de mejora continua en la búsqueda del conocimiento; hay quien habla incluso de que en la historia de la ciencia no ha habido realmente revoluciones, sólo las ha habido en el impacto que el conocimiento concreto ha tenido en su contexto histórico desde un punto de vista económico, bélico, productivo… social, en definitiva. En este sentido, una breve visión humorístico – crematística la tenemos en este enlace; si algunas cosas funcionasen se estarían explotando debidamente, ¿no?

Llegados a este punto, ¿en qué afecta a un historiador la mentalidad científica? Como buen investigador, en un punto básico: la existencia de pruebas. La frase que mejor lo define: lo que se afirma sin pruebas, se puede descartar sin pruebas. Es habitual en programas como el de Iker Jiménez la exposición de teorías que pueden tener su atractivo, especialmente gracias a la ambientación que dan en el programa, pero que jamás se respaldan con pruebas sólidas. Un buen historiador jamás podrá caer en este error. La mentalidad científica no es cosa de “los de ciencias”, aunque sea en estos campos donde su aplicación es más obvia.

Hoy me he puesto más serio de lo habitual, pero creo que el tema se lo merece. Por despedirnos con una sonrisa, les dejo este pequeño texto, donde ejemplifican cómo se hace la ciencia de verdad por parte de investigadores de a pie. En todo caso, se pueden pasar la vida haciendo epistemología, como dicen Les Luthiers, que es muy sano.

Cuídense.

Juan.