¿Qué es la ingeniería social? Hackeando personas

La ingeniería social es una técnica, no un hecho en sí.

En mi opinión, uno de los más brillantes phreakers de la historia fue también uno de los más brillantes ingenieros sociales, me refiero a Kevin Mitnick, te recomiendo leer su historia ( hicimos hace un tiempo una reseña), pues resulta apasionante. La ingeniería social es un conjunto de técnicas que se utilizan para manipular a una persona y lograr obtener información confidencial.

Kevin Mitnick, desarrolló cuatro máximas de la ingeniería social:

1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir no.
4. A todos nos gusta que nos alaben.

Kevin Mitnick

Estos cuatro principios van a ser las ganzúas con las que correr el cerrojo de la información confidencial de una persona. La ingeniería social es utilizada por muchísima gente, pues es una forma que nos permite captar información de una persona sin que ésta se de cuenta de que ha sido manipulada, ni antes ni después. Se trata de prácticas humanas.

Una vez obtenida la información buscada, supongamos, una contraseña, la ingeniería deja de ser aplicada porque el objetivo está cumplido

Mitnick se planteaba que si fuera posible hacer un sistema perfecto, éste continuaría siendo inseguro porque existen personas usándolo. No lo dijo textualmente, pero sí a lo largo de varias entrevistas. La ingeniería social aplicada al hacking es algo así como hackear personas. Bajo el concepto estricto de ingeniería social, no existe un límite ni tipificación de la información a obtener, pero sí un límite del ejercicio de ésta: una vez obtenida la información en cuestión, supongamos, una contraseña, la ingeniería deja de ser aplicada porque el objetivo está cumplido, lo que se haga con la información obtenida es una cuestión totalmente distinta, y apartada, de las prácticas de la ingeniería social.

¿Cómo hackeamos a las personas?

La navaja social creada por Mitnick nos da un paneo muy importante sobre por dónde comenzar a movernos. Lo importante es cuán preparados estemos y qué herramientas tengamos para procesar la información que vayamos obteniendo. Así como es la sutileza y la verosimilitud la que nos darán credibilidad, hay información escondida dentro de la información que nos dan las personas y debemos saber decodificarla para ser buenos ingenieros sociales. Llamar por teléfono a alguien, presentarse como un vendedor de autoplanes 0km, por ejemplo, es muy útil para saber si alguien tiene una suma igual o superior a $30.000 en su poder. Ese dinero es una cifra común que se ofrece como mínimo para comprar un auto 0km financiando el resto.

El valor de la cuota nos dirá cuánto gana en promedio una persona, o al menos cuánto puede pagar por mes, y en caso de que alguien esté más que interesado, podemos comentar que nuestro trabajo es ofrecer los planes, pero que estamos en otra provincia y que para ver financiamiento en particular le llamará otra persona. Pedimos los datos que no tenemos (el fijo y el domicilio ya lo tenemos) como documento, profesión, grupo familiar y horario de contacto, y ya tenemos todo un compendio de datos con los que procurarnos una buena estafa o un asalto.

La mayoría de las tácticas de Facebook para sacarte información, utilizan ingeniería social

Pongo ese ejemplo porque las llamadas ofreciendo planes para comprar autos 0km son de las más habituales, pero hay en realidad preguntas más finas que nos darán mucha más información.

Si hablamos del mundo informático, es común encontrarse en Facebook con encuestas del tipo: "creés que fulanito asistiría a una marcha por la paz?", u otras más simples: "completa tu perfil" y ponés tu celular, nivel educativo, qué música y películas te gustan, dónde vivís, dónde naciste, quiénes son tus padres, quiénes tus mejores amigos/as y demás datos que sirven a Facebook para venderte más caro a sus auspiciantes.

Volviendo a las máximas de Mitnick, hay dos que son fundamentales: la tendencia a confiar y la voluntad de ayudar, adular a las personas sin que estas desconfíen requiere de mucha sutileza y carisma, por último, viene la máxima de que no es agradable decir que "no". Si esto último te suena raro, cotejalo con tu actitud cuando algún grupo religioso toca tu puerta para hablarte de que las morcillas son diabólicas, que tenés que donar un porcentaje de tu sueldo a la iglesia y sacrificar todos los domingos que te quedan de vida yendo a misa. Cada uno de esos puntos pueden parecerte dispensables, pero lo cierto es que aún así, podés no estar interesado/a y en ese caso, pedirle a este grupo que se vaya te va a resultar incómodo, aunque se trate de una publicidad religiosa no solicitada y que estas personas estén invadiendo tu espacio.

Esta tendencia a confiar es la que hace que le creamos a cualquiera que nos llame por teléfono diciendo que es un encuestador.

Si alguien además nos dice que le faltan las últimas dos encuestas para irse a su casa, entonces tenderemos a tratar de responderlas, sólo para ayudar a esta persona que quiere descansar.

Existen varios trabajos sobre Ingeniería Social, son todos muy interesantes y te los recomiendo, pero hay uno bastante conciso (algo difícil en este tema) en Hackstory.net del que extraigo las técnicas de Ingeniería Social que siguen.

Técnicas de Ingeniería Social

Tres tipos, según el nivel de interacción del ingeniero social:

Técnicas Pasivas
Observación

Técnicas no presenciales
Recuperar la contraseña
Ingeniería Social y Mail
IRC u otros chats
Teléfono
Carta y fax

Técnicas presenciales no agresivas
Buscando en La basura
Mirando por encima del hombro
Seguimiento de personas y vehículos
Vigilancia de Edificios
Inducción
Entrada en Hospitales
Acreditaciones
Ingeniería social en situaciones de crisis
Ingeniería social en aviones y trenes de alta velocidad
Agendas y teléfonos móviles
Desinformación

Métodos agresivos
Suplantación de personalidad
Chantaje o extorsión
Despersonalización
Presión psicológica

Por otro lado te cuento que factores como la curiosidad, el miedo o la "buena onda" son tres de las tácticas más importantes de ingeniería social. La primera es obvia: ofrecerte algo que genere en vos la acción de cumplir con la pauta que se te está dando (ej: un email con el asunto "balance" y en el cuerpo algo del estilo: "te envío el balance de cuentas de la empresa, tratá de no divulgarlo porque hay muchos datos que no cierran), el miedo es la táctica más difundida por antivirus, gobiernos imperialistas, y por lo general, todos los grupos que pueden ponerse en el arco político de derecha, gente que vive de tu miedo. La buena onda tiene por principal objetivo generar un lazo de confianza, de complicidad, y si bien puede generarse haciéndose pasar por alguien (falseando una identidad, cosa muy simple en la red), lo más común es tratar de no levantar sospechas, por lo que, por ejemplo, enviarte un mensaje "equivocado" en Facebook puede ser una muy buena puerta para entablar una relación con estos fines a partir de un suceso "azaroso".

En fin, es una temática que no se agota en una nota, pero ya tenés un buen paneo y podemos otro día hablar de casuística y grandes ingenieros sociales. Por el momento, insisto en recomendarte a Kevin Mitnick.

Para cerrar, te cuento que la ingeniería social en sí misma no es una actividad delictiva ni poco ética ni nada por el estilo. La utilización de una herramienta para cometer una estafa, no transforma a la herramienta en una estafa, por lo que los ingenieros sociales, no son delincuentes, salvo que cometan estafas, en ese caso, son ingenieros sociales y estafadores.

¡Happy Hacking!