Motivación
La Seguridad de la Información trata de la protección y resguardo de la información integral de un “Sujeto” (Persona, Empresa, Institución, Organismo, Sociedad, Gobierno,etc.) y consiste en la preservación de la confidencialidad, la integridad y la disponibilidad de la Información del Sujeto en cuestión.
La confidencialidad trata de asegurar que la información es accesible solo por aquellos autorizados a tener acceso. La integridad de garantizar la exactitud y completitud de la información. Y la disponibilidad asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos Asociados.
La Seguridad de la Información es un problema que viene acompañando la evolución de la humanidad desde sus comienzos, la cual fue adecuándose a través de la misma evolución de la sociedad.
El resguardo de la Información fue un problema estratégico de toda civilización. Un ejemplo de esto es la utilización de la criptografía, con el fin de mantener la confidencialidad de la información, utilizada desde antes del año 1000 AC. Hasta la fecha partiendo desde estrategias basadas en modelos muy básicos, posteriormente pasando por la etapa conocida como criptografía clásica y llegando a modelos mas sofisticados en la actualidad.
Con la aparición de las computadoras y los sistemas informáticos, aparece la necesidad de proteger los datos que los mismos, procesan y almacenan, naciendo el concepto de Seguridad Informática, que trata en lograr salvaguardarlos.
La seguridad informática también persigue a la confidencialidad, integridad y disponibilidad de la información, protegiendo al Hardaware, el software y los datos; de las amenazas de Personas, amenazas lógicas y los desastres Naturales y artificiales. No hay que confundir la Seguridad Informática con la Seguridad de la Información. Si podemos Afirmar que la Seguridad de la Información contiene a la Seguridad informática como una parte de si.
Con la comunicación entre dispositivos aparece el concepto de red, y con la unión de las redes de distintas áreas geográficas aparece el concepto de Internet. Lo cual desde el surgimiento de las redes de área local (LAN), las de área metropolitanas (MAN), las de cobertura amplia (WAN) hasta la INTENET, se han ido ajustando el abordaje.
La Seguridad de la Información trata de la protección y resguardo de la información integral de un “Sujeto” (Persona, Empresa, Institución, Organismo, Sociedad, Gobierno,etc.) y consiste en la preservación de la confidencialidad, la integridad y la disponibilidad de la Información del Sujeto en cuestión.
La confidencialidad trata de asegurar que la información es accesible solo por aquellos autorizados a tener acceso. La integridad de garantizar la exactitud y completitud de la información. Y la disponibilidad asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos Asociados.
La Seguridad de la Información es un problema que viene acompañando la evolución de la humanidad desde sus comienzos, la cual fue adecuándose a través de la misma evolución de la sociedad.
El resguardo de la Información fue un problema estratégico de toda civilización. Un ejemplo de esto es la utilización de la criptografía, con el fin de mantener la confidencialidad de la información, utilizada desde antes del año 1000 AC. Hasta la fecha partiendo desde estrategias basadas en modelos muy básicos, posteriormente pasando por la etapa conocida como criptografía clásica y llegando a modelos mas sofisticados en la actualidad.
Con la aparición de las computadoras y los sistemas informáticos, aparece la necesidad de proteger los datos que los mismos, procesan y almacenan, naciendo el concepto de Seguridad Informática, que trata en lograr salvaguardarlos. La seguridad informática también persigue a la confidencialidad, integridad y disponibilidad de la información, protegiendo al Hardaware, el software y los datos; de las amenazas de Personas, amenazas lógicas y los desastres Naturales y artificiales.
No hay que confundir la Seguridad Informática con la Seguridad de la Información. Si podemos Afirmar que la Seguridad de la Información contiene a la Seguridad informática como una parte de si.
Con la comunicación entre dispositivos aparece el concepto de red, y con la e de la temática sobre la seguridad de la Información, teniendo en cuenta, también, la problemática de la seguridad en las comunicaciones.El crecimiento exponencial de los nodos en red, por la incorporación de los dispositivos móviles, la explosión de redes sociales, el comercio electrónico, en fin la virtualización (el mundo virtual) Podemos afirmar que el mundo real está compuesto de la unión de un mundo natural y otro virtual. El Entorno virtual creado por equipos de cómputos unidos para interoperar en red a nivel global, es denominado como Ciberespacio. Y cuando tratamos la problemática de la Seguridad de la Información en el mismo nos referimos al concepto de Ciberseguridad.
El gran crecimiento de la actividad en el mundo virtual, trajo también conjuntamente el crecimiento de los ataques realizados en el ciberespacio (ciberataque). Entiéndase por ciberataque a cualquier tipo de maniobra ofensiva hecha por individuos u organizaciones que atacan a sistemas de información, por medio de actos maliciosos. Hay distintas motivaciones para realizar un ataque cibernético, entre las cuales podemos nombrar las económicas, las políticas, las sociales, etc. Existen entre otros, ataques de Espionaje, ataques indistintos (que no distinguen al destinatario), ataques destructivos (que buscan solo hacer daño). Los destinatarios suelen ser Gobiernos, Organizaciones, corporaciones hasta individuos particulares.
Por supuesto que debemos incluir también el concepto de Guerra cibernética, que se refiere a ataques destructivos de motivación política dirigidos al sabotaje y espionaje. Este escenario ha despertado la preocupación natural en el campo del Derecho. Y en nuestro país el dictado de normas relacionadas con la temática, como la Ley 26.388 de Delito informático, la Ley 25.326 de Protección de Datos Personales y su Decreto Reglamentario N° 1558/2001; la Ley 25.506 de Firma Digital, la Ley 26.904 de Grooming. A su vez, también se ha dictado normativa vinculada a las funciones de la Dirección Nacional de Infraestructuras críticas de la información y ciberseguridad, como la Decisión Administrativa 641/2021 que establece los requisitos mínimos de seguridad de la información para organismos públicos; la Disposición 6/2021 de Creación del Comité Asesor para el Desarrollo e Implementación de aplicaciones seguras; la Disposición 1/2021, que encuadra al Centro Nacional de Respuestas a Incidentes Informáticos (CERT.ar) en el ámbito de la Dirección Nacional de Ciberseguridad; la Resolución 580/2011 de creación del
Programa Nacional de Protección de Infraestructuras Críticas de Información y Ciberseguridad; la Disposición ONTI 3/2013 que aprueba la Política Modelo de Seguridad de la Información; la Resolución 1523/2019 de Definición de Infraestructuras Críticas, además de otras normativas relacionadas a la ciberseguridad, como la Resolución 829/2019 aprobatorio de la Estrategia Nacional de Ciberseguridad. A su vez, ha sido la Justicia la que ha tenido que dar respuesta a las estafas cometidas mediante el uso de herramientas tales como el phishing o el vishing que se valen de mecanismos de ingeniería social.
Suele definirse a la Ingeniería Social como el arte de la manipulación psicológica para el robo de información relevante con el fin de cometer una estafa u otro delito. Las técnicas de la ingeniería social son efectivas debido a la habilidad que desarrollan los atacantes de manipular a las víctimas, induciéndolos a que realicen las acciones necesarias o a que les proporcionen la información reservada que necesitan. La ingeniería social es considerada una de las mayores amenazas a la seguridad de las organizaciones. Estos ataques no requieren de software o sistemas, a través del uso de la ingeniería social los victimarios pueden acceder a información confidencial, muchas veces siendo autorizados e ingresandode modo legítimo. Un ataque de ingeniería social está enfocado en la vulnerabilidad de las personas, siguiendo el principio de la penetración más fácil. Entonces, por más seguro que sea el sistema informático, la mayor debilidad estará en sus usuarios y el uso que hagan de él. Es decir, no se puede solo dar respuesta a eta problemática reforzando la seguridad sino ampliando la perspectiva de abordaje.
En un ciberataque los responsables aprovechan las emociones y características de personalidad que motivan los comportamientos humanos, por ejemplo, el miedo, la obediencia, la ambición, la necesidad de pertenencia social y la amabilidad. Las emociones humanas provocan comportamientos automáticos, no razonados, lo que constituye un aspecto crítico para la seguridad de la información, debido a que al actuar de este modo las personas pueden no detectar un ataque de ingeniería social.
Un ingeniero social utilizará diferentes métodos para poder extraer los datos que necesita para su ataque. Los medios para manipular el elemento humano presente en todo sistema de seguridad se centran en la capacidad de influir o manipular las emociones y, en consecuencia, el comportamiento de las víctimas. Esto es debido a que las emociones son la fuerza motivadora del comportamiento e influyen en la toma de decisiones direccionándolas en un sentido, este proceso involucra heurísticos o razonamientos de los que no siempre somos conscientes. Por esto, es necesario estudiar y analizar la manera en que son usadas las tácticas de ingeniería social, la manipulación de las emociones para influir en las interacciones personales.
Con la ingeniería social suelen recurrir a la manipulación emocional utilizando diversos artilugios. Algunas de las emociones más proclives a ser flanco son: miedo, obediencia a la autoridad, codicia, confianza, la solidaridad, el éxito ( estatus social) ahora se profundiza ejemplos de cómo se pueden ver afectadas: El miedo es la emoción más comúnmente manipulada cuando se trata de campañas de ingeniería social, miedo a ser atacado, personalmente o a algún familiar, a perder dinero o algún bien. También pueden recurrir a la obediencia, el manipulador puede ubicarse como una autoridad sobre su objetivo, de modo que el empleado para captar la simpatía del jefe no dudará en proporcionar la información requerida. La confianza, muchas personas suelen ser imprudentes en el manejo de la información por la creencia de que otras personas son generalmente confiables. La codicia es usada como un modo de hacer que una persona proporcione información, o sumas de dinero, a cambio de la promesa de una recompensa generalmente monetaria. La solidaridad o la voluntad de ayuda es un comportamiento humano que se explota comúnmente, en supuestas colectas para personas o grupos afectados por alguna situación de vulnerabilidad.
Otro modo de obtener información que suelen utilizar los ingenieros sociales se basa en la importancia que tiene la necesidad pertenencia a un grupo que tenemos los seres humanos. Por pertenecer a un grupo las personas solemos adecuarnos a las normas y seguir las tendencias que se manifiestan en ese grupo, lo cual es aprovechado para que proporcionemos información o facilitemos el acceso a ella. Algunas de las teorías psicológicas relacionadas con la ingeniería social son la Teoría del Engaño Interpersonal (IDT), la Teoría de la Manipulación de la Información (IMT) y la Teoría de los Sesgos Cognitivos. La Teoría del engaño interpersonal es un modelo basado en el estudio de la comunicación interpersonal enfocada en la credibilidad, la comunicación veraz y la comunicación engañosa. La teoría explica cómo las personas manejan el engaño real (o percibido) a nivel consciente o inconsciente mientras se comunican cara a cara. IDT estudia la interrelación entre el significado de la comunicación del remitente y los pensamientos y el comportamiento del receptor en situaciones de intercambio comunicacional engañoso. La interacción cara a cara o la virtual se ven afectadas porprocesos conscientes e inconscientes que son el objeto de estudio de esta teoría. Por su parte, la Teoría de la manipulación de la información estudia las condiciones del uso engañoso de la información. IMT explica que los mensajes engañosos son efectivos porque violan, de manera encubierta, los principios que rigen los intercambios. Los manipuladores explotan las suposiciones de sus víctimas respecto a la cantidad, calidad, forma y relevancia de la información que están proporcionando. La Teoría de la manipulación de la informaciónPor otra parte, los manipuladores suelen aprovecharse de los sesgos cognitivos en el procesamiento de información. Un sesgo cognitivo es un error en el pensamiento que afecta los juicios en la valoración de la información y, en consecuencia, las decisiones que toman las personas. Si bien las personas creemos ser objetivos, lógicos y capaces de tomar y evaluar toda la información disponible para nosotros, la verdad es que nuestros juicios y decisiones están muy afectados por errores inducidos por una amplia variedad de sesgos. Los sesgos cognitivos, si son aprovechados por un atacante pueden ayudarlo a influir en sus víctimas para llevar a cabo el ataque. Por ejemplo, los sesgos cognitivos pueden afectar la memoria, distorsionando el modo en que una persona recuerda un evento, lo que a su vez puede conducir a un pensamiento y una toma de decisiones sesgados. Los sesgos cognitivos también afectan a la atención, dado que la atención es un recurso limitado, las personas tienen que ser selectivas sobre a qué prestan atención en el mundo que las rodea. El uso de estos sesgos para afectar estas funciones básicas del procesamiento y almacenamiento de la información pueden ser utilizados para distorsionar nuestro juicio e influir en las decisiones que tomamos.
El conocimiento de las expresiones faciales de las emociones permite al ingeniero social entrenado falsificar la expresión de un estado emocional. Sin embargo, Ekman (1979) encontró que existen micro-expresiones faciales que no pueden ser falsificadas, o son muy difíciles de fingir. Estas micro-expresiones se producen de modo involuntario y en fracciones de tiempo muy cortas. Un atacante de Ingeniería Social que desarrolle sus habilidades de lectura de micro-expresiones a partir del estudio del Sistema de Codificación de Acción Facial (FACS) puede reconocer si la víctima se siente feliz, asustada o ansiosa y diseñar su ataque en sintonía con el estado emocional de esta. El atacante, por ejemplo, puede adoptar un tono emocional sintónico con el de la víctima, generando en ella la sensación de ser comprendida y estableciendo una relación de empatía emocional, sin necesidad de que medien las palabras. Esto último se conoce como el efecto de compenetración instantánea, y es fundamental porque muchas veces el éxito de un ingeniero social depende de desarrollar rápidamente un vínculo afectivo, de modo que la víctima se sienta cómoda y se disponga a compartir información sin reservas. En resumen, la seguridad de la información es altamente vulnerable a los ataques de personas preparadas para manipular con las diferentes estrategias que puedan surgir del conocimiento de la mente humana, en especial, del uso de las emociones para direccionar los comportamientos de las víctimas hacia el objetivo principal del ataque que es la obtención de información relevante. Con el advenimiento de la Pandemia, originada por COVD-19 y las medidas del ASPyO impactaron intensificando los daños por ataques informáticos tanto a nivel individual como a nivel organizacional. Una de las posibles explicaciones radicaría en la vulnerabilidad en que las personas se encontraban en dicho momento por la vivencia de convivir con la muerte, la enfermedad y el riesgo para sí, sus grupos afectivos y el colectivo social. Como se dijo antes los manipuladores estudian cómo poder lograr entrar en el sistema psicológico para obtener su cometido, con una estrategia selectiva y agudizada según cada caso. Otras posibles explicaciones serían que las personas estaban solas, sin poder cotejar con unotro, familia, colega de trabajo, un pedido, una solicitud. Seguramente esta soledad dejó más velada la posibilidad de ser víctima y quizá la vergüenza por la sensación pos-estafa hace que no se denuncie lo ocurrido. Por otra parte, las organizaciones permanecieron cerradas por algún tiempo y otras haciendo cambios drásticos para sobrevivir lo cual, también las dejó mas desprovistas de conductas de prevención en cuanto a su seguridad informática. Se podría pensar que la Pandemia visualizó lo que ya ocurría y permitió que expertos en el engaño puedan probar, ensayar y poner en práctica nuevos canales delictivos.