Hoy te contamos de una de las técnicas de hacking más admirables y exitosas.
Aunque a la lectora pueda parecerle un atropello que quien escribe
considere la ingeniería social como algo admirable, no es mi intención
que comparta la postura, sino que se informe al respecto con el objetivo
de no ser víctima de este tipo de técnicas, o al menos, no serlo de
forma involuntaria.
Partamos desde lo básico: la ingeniería social no es sólo inherente
al mundo informático, puesto que no se trata de la utilización de
tecnologías, hardware, redes, softwares y cuestiones por el estilo, sino
de utilizar determinadas características de las personas para obtener
una determinada información. Los famosos secuestros telefónicos o las
técnicas que utiliza Facebook para que traiciones a tus amigas, son
también ingeniería social.
La ingeniería social es una técnica, no un hecho en sí.
En
mi opinión, una de las más brillantes phreakers de la historia fue
también una de las más brillantes ingenieras sociales, me refiero a
Kevin Mitnick, te recomiendo leer su historia (aquí
hicimos hace un tiempo una reseña), pues resulta apasionante. La
ingeniería social es un conjunto de técnicas que se utilizan para
manipular a una persona y lograr obtener información confidencial.
Kevin Mitnick, desarrolló cuatro máximas de la ingeniería social:
- Todas queremos ayudar.
- El primer movimiento es siempre de confianza hacia la otra.
- No nos gusta decir No.
- A todas nos gusta que nos alaben.
Estos cuatro principios van a ser las ganzúas con las que correr el
cerrojo de la información confidencial de una persona. La ingeniería
social es utilizada por muchísima gente, pues es una forma que nos
permite captar información de una persona sin que ésta se de cuenta de
que ha sido manipulada, ni antes ni después. Se trata de prácticas
humanas.
Una vez obtenida la información buscada, supongamos, una contraseña,
la ingeniería deja de ser aplicada porque el objetivo está cumplido
Mitnick se planteaba que si fuera posible hacer un sistema perfecto,
éste continuaría siendo inseguro porque existen personas usándolo. No lo
dijo textualmente, pero sí a lo largo de varias entrevistas. La
ingeniería social aplicada al hacking es algo así como hackear personas.
Bajo el concepto estricto de ingeniería social, no existe un límite ni
tipificación de la información a obtener, pero sí un límite del
ejercicio de ésta: una vez obtenida la información en cuestión,
supongamos, una contraseña, la ingeniería deja de ser aplicada porque el
objetivo está cumplido, lo que se haga con la información obtenida es
una cuestión totalmente distinta, y apartada, de las prácticas de la
ingeniería social.
¿Cómo hackeamos a las personas?
La
navaja social creada por Mitnick nos da un paneo muy importante sobre
por dónde comenzar a movernos. Lo importante es cuán preparadas estemos y
qué herramientas tengamos para procesar la información que vayamos
obteniendo. Así como son la sutileza y la verosimilitud las que nos
darán credibilidad, hay información escondida dentro de la información
que nos dan las personas y debemos saber decodificarla para ser buenas
ingenieras sociales. Llamar por teléfono a alguien, presentarse como una
vendedora de autoplanes 0km, por ejemplo, es muy útil para saber si
alguien tiene una suma igual o superior a $30.000 en su poder. Ese
dinero es una cifra común que se ofrece como mínimo para comprar un auto
0km financiando el resto.
El valor de la cuota nos dirá cuánto gana en promedio una persona, o
al menos cuánto puede pagar por mes, y en caso de que alguien esté más
que interesado, podemos comentar que nuestro trabajo es ofrecer los
planes, pero que estamos en otra provincia y que para ver financiamiento
en particular le llamará otra persona. Pedimos los datos que no tenemos
(el fijo y el domicilio ya lo tenemos) como documento, profesión, grupo
familiar y horario de contacto, y ya tenemos todo un compendio de datos
con los que procurarnos una buena estafa o un asalto.
Pongo ese ejemplo porque las llamadas ofreciendo planes para comprar
autos 0km son de las más habituales, pero hay en realidad preguntas más
finas que nos darán mucha más información.
Si hablamos del mundo informático, es común encontrarse en Facebook
con encuestas del tipo: “creés que fulanito asistiría a una marcha por
la paz?”, u otras más simples: “completa tu perfil” y ponés tu celular,
nivel educativo, qué música y películas te gustan, dónde vivís, dónde
naciste, quiénes son tus madres, quiénes tus mejores amigas y demás
datos que sirven a Facebook para venderte más cara a sus auspiciantes.
Volviendo a las máximas de Mitnick, hay dos que son fundamentales: la
tendencia a confiar y la voluntad de ayudar, adular a las personas sin
que estas desconfíen requiere de mucha sutileza y carisma, por último,
viene la máxima de que no es agradable decir que “no”. Si esto último te
suena raro, cotejalo con tu actitud cuando algún grupo religioso toca
tu puerta para hablarte de que las morcillas son diabólicas, que tenés
que donar un porcentaje de tu sueldo a la iglesia y sacrificar todos los
domingos que te quedan de vida yendo a misa. Cada uno de esos puntos
pueden parecerte dispensables, pero lo cierto es que aún así, podés no
estar interesado/a y en ese caso, pedirle a este grupo que se vaya te va
a resultar incómodo, aunque se trate de una publicidad religiosa no
solicitada y que estas personas estén invadiendo tu espacio.
Esta
tendencia a confiar es la que hace que si alguien nos llama por
teléfono y nos dice que es una encuestadora, le creemos. Si alguien
además nos dice que le faltan las últimas dos encuestas para irse a su
casa, entonces tenderemos a tratar de responderlas, sólo para ayudar a
esta persona que quiere descansar.
Existen varios trabajos sobre Ingeniería Social, son todos muy
interesantes y te los recomiendo, pero hay uno bastante conciso (algo
difícil en este tema) en Hackstory.net del que extraigo las técnicas de
Ingeniería Social que siguen.
Técnicas de Ingeniería Social
Tres tipos, según el nivel de interacción del ingeniero social:
Técnicas Pasivas
Técnicas no presenciales
- Recuperar la contraseña
- Ingeniería Social y Mail
- IRC u otros chats
- Teléfono
- Carta y fax
Técnicas presenciales no agresivas
- Buscando en La basura
- Mirando por encima del hombro
- Seguimiento de personas y vehículos
- Vigilancia de Edificios
- Inducción
- Entrada en Hospitales
- Acreditaciones
- Ingeniería social en situaciones de crisis
- Ingeniería social en aviones y trenes de alta velocidad
- Agendas y teléfonos móviles
- Desinformación
Métodos agresivos
- Suplantación de personalidad
- Chantaje o extorsión
- Despersonalización
- Presión psicológica
Por otro lado te cuento que factores como la curiosidad, el miedo o
la “buena onda” son tres de las tácticas más importantes de ingeniería
social. La primera es obvia: ofrecerte algo que genere en vos la acción
de cumplir con la pauta que se te está dando (ej: un email con el asunto
“balance” y en el cuerpo algo del estilo: “te envío el balance de
cuentas de la empresa, tratá de no divulgarlo porque hay muchos datos
que no cierran), el miedo es la táctica más difundida por antivirus,
gobiernos imperialistas, y por lo general, todos los grupos que pueden
ponerse en el arco político de derecha, gente que vive de tu miedo. La
buena onda tiene por principal objetivo generar un lazo de confianza, de
complicidad, y si bien puede generarse haciéndose pasar por alguien
(falseando una identidad, cosa muy simple en la red), lo más común es
tratar de no levantar sospechas, por lo que, por ejemplo, enviarte un
mensaje “equivocado” en Facebook puede ser una muy buena puerta para
entablar una relación con estos fines a partir de un suceso “azaroso”.
En fin, es una temática que no se agota en una nota, pero ya tenés un
buen paneo y podemos otro día hablar de casuística y grandes ingenieras
sociales. Por el momento, insisto en recomendarte a Kevin Mitnick.
Pablo Lozano