Biblioteca Online : ¡La Suscripción ENI por 9,90 € el primer mes!, con el código PRIMER9. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí

Elementos de ingeniería social

Aspectos generales

1. Introducción

En su sentido más amplio, la ingeniería social es el arte y la manera de influir en los seres humanos, individualmente o en grupo. Aquí lo usaremos con un sentido restringido de uso reciente, a saber, aplicado a la seguridad de los sistemas de información. Se trata de una traducción demasiado literal de "social engineering", que se ha unido a otros usos de la palabra, especialmente en psicología, ciencias políticas o sociales.

También habría sido posible usar la palabra "genio" para traducir "ingeniería" y por lo tanto, llamar a este capítulo "Elementos del genio social". ¿No estamos siempre hablando de genio militar, civil, de software o eléctrico?

Sin embargo, no cabe duda de que la expresión "genio social" no hubiera sido más apropiada. De hecho, si el genio o la genialidad es en realidad el arte del ingeniero, su segundo significado se centra en un don intelectual excepcional, que lamentablemente le añade connotaciones inapropiadas en el contexto de este capítulo.

De hecho, por razones que pronto se aclararán, los ingenieros sociales tienen mucho interés en sugerir que su "arte" se basa únicamente en el talento, el carisma o cualquier otro tipo de dones innatos. Esto puede permitir, entre otras cosas, que las actuaciones sean más complicadas, se limite la competencia o dar una imagen de genio.

No obstante, es fundamental evitar cualquier malentendido en este punto: la ingeniería social, como la mayor parte de las habilidades humanas, se puede entender, modelar y aprender.

El genio del ingeniero social, por lo tanto, no es solo una aptitud natural. Ante todo, es un conjunto de modelos, técnicas y herramientas que se basan en estudios rigurosos, datos científicos y teorías válidas.

Sea como fuere, el contenido de la materia sigue siendo bastante ambiguo para los no entendidos. Además, la mala costumbre de utilizar un vocabulario cercano o aproximado, junto con la tendencia a considerar cualquier problema de SI (sistema de información) desde el prisma de las herramientas de software, ha contribuido en gran medida a que el término sea aún más confuso, mal utilizado y con un cierto halo místico en cuanto a su verdadero contenido....

Modelos de actuación de la ingeniería social

1. Aspectos principales del ataque por ingeniería social

Seamos claros: el ataque por ingeniería social es un pirateo, es decir, una acción maliciosa, ilegal y arriesgada. Por tanto, es posible considerar que se le aplican los principios generales de la guerra (o de la teoría de juegos).

Así, la ingeniería social se basa en primer lugar en ciertos principios constantes, algunas veces compartidos con otras formas de intrusión, y que son difíciles de clasificar.

¿Cuáles son estos principios?

En el lado del atacante, el primero es quizás la preservación de la libertad de acción, lo que implica discreción y gestión del riesgo. Aunque quizás sea obvio para algunos, vale la pena recordarlo porque condiciona cualquier maniobra de ingeniería social. De hecho, para el ingeniero social, que a menudo recopila información para usarla posteriormente, es esencial que su acción no sea detectada, especialmente antes de explotar la información recopilada. Por lo tanto, hará un esfuerzo particular para permanecer invisible el mayor tiempo posible, ser discreto en sus métodos y, si es posible, eliminar sus huellas a posteriori.

Vamos a citar el principio de "unidad de mando" que se menciona en los principios generales de la guerra. Con frecuencia se trata de un elemento clave de una operación y se aplica en ingeniería social. Significa que, si se trabaja en equipo, hay que poner en marcha procesos de toma de decisiones claros y adaptados. Si hay casos en los que la opinión de todos es útil, todos deben saber quién decide y es el encargado de dar las órdenes durante la acción.

La economía de medios es otro principio general importante. De hecho, la elección de la ingeniería social como modo de acción a menudo se debe a una voluntad de ahorro o a la falta de recursos (económicos, técnicos o humanos). Este afán de ahorro implica sencillez y la posibilidad de reutilizar o industrializar los modos de actuación.

La aparente complejidad que observaremos cuando se prepara una operación de ingeniería social, radica principalmente en la consideración de múltiples factores de éxito y riesgos variados y cambiantes. No debe...

Conocimiento de las organizaciones atacadas

Para elaborar una estrategia, detectar vulnerabilidades en la organización, comunicarse utilizando el registro correcto del lenguaje y la jerga adecuada o entender los procesos internos, el ingeniero social debe construir un modelo apropiado de la organización objetivo.

Por lo tanto, este análisis será un activo valioso en la elaboración, preparación e implementación de una estrategia de acercamiento adecuada.

Por ejemplo, le facilitará su labor si se hace pasar por alguien que tenga buenos motivos para ponserse en contacto y pedir información (miembro del personal, cliente, proveedor, empresa de mantenimiento, colaborador, etc.).

De hecho, es importante entender que en toda organización humana hay elementos culturales que se transmiten de manera gradual. Esto da como resultado una coherencia significativa en los grupos en términos de valores, creencias, modales, lenguajes y comportamientos.

Por ejemplo, no nos comunicamos de la misma forma con un ejecutivo de una multinacional, que con un empleado municipal o un voluntario de una asociación benéfica.

El lector interesado tiene a su disposición numerosos trabajos dedicados a este asunto, en particular dedicados al enfoque memético que permite modelizar estos fenómenos.

La memética es una ciencia joven, pero puede explicar muchos fenómenos. Se basa en la noción de meme (Richard Dawkins, The Selfish Gene, 1976), que es un elemento de una cultura o de información transmitido de cerebro a cerebro por medios no genéticos, en particular por imitación. Las teorías emergentes relacionadas con la memética suelen ser apasionantes, pero no es útil conocerlas en detalle. Sin embargo, muchas veces permiten comprender de manera eficiente fenómenos como el pensamiento grupal, los metavalores o las creencias.

Por lo tanto, el ingeniero social se puede interesar por aspectos meméticos, sociológicos y de comportamiento relacionados con grupos y organizaciones humanas. Tanto si estos elementos son comunes a toda una organización o específicos de un nicho o servicio, es labor del ingeniero social es identificarlos y evaluar su utilidad.

Por supuesto, no existe un modelo óptimo adaptado a todas las situaciones. No obstante, propondremos una tipología...

Vulnerabilidades humanas: aspectos básicos y modelos teóricos

Parece legítimo hacerse la pregunta: "¿El ingeniero social se debe interesar por los modelos teóricos que explican las vulnerabilidades humanas?"

La respuesta es, en lo que a nosotros respecta: "Sin duda, al menos a grandes rasgos".

En efecto, por un lado, siempre será más fácil implementar técnicas cuando se conocen sus resortes; por otro lado, también es más fácil protegerse de ellas.

Sin embargo, no es necesario tener un doctorado en psicología para ser un ingeniero social eficaz. Disponer de modelos válidos de psicología social y diferencial solo puede ser una ventaja, sobre todo deben seguir siendo simples.

Y por supuesto, será útil conocer los métodos de manipulación, que estarán en el núcleo del proceso de obtención de información.

1. Aspectos básicos biológicos y funcionalidades del cerebro

Sin querer caer en el determinismo biológico, normalmente es útil para el ingeniero social utilizar modelos de comportamiento. Muchas veces se basan en la experiencia, o en aproximaciones que muchos científicos considerarían no exactas, pero que hacen su servicio y cumplen la misión que se les pide: proporcionar modelos predictivos relevantes. 

El primer modelo que puede resultar útil es el del cerebro "triúnico". Es cierto que muchos profesionales consideran obsoleto este modelo, pero es lo suficientemente válido para entender el funcionamiento de los resortes de manipulación esenciales.

Para resumir esta teoría, simplemente diremos que acepta como premisa que el cerebro humano realiza tres tipos principales de funciones y que existe una determinada unidad de procesamiento para cada una de ellas, que llamaremos centros.

Así, el centro instintivo asegura las funciones primarias vitales, reproductivas y sociales. 

El centro emocional es el encargado de asegurar el control del sistema garantizando la capacidad de priorizar, filtrar, ordenar, memorizar, replicar y adaptarse rápidamente a situaciones basándose en experiencias pasadas, asignando prioridades y valores a las acciones, a las cosas y a los seres.

En cambio, el centro mental se utilizará para asegurar las funciones lógicas...

Influencia y manipulación

El núcleo del trabajo del ingeniero social consiste en extraer información no divulgada, confidencial o protegida. En la mayoría de los casos, esto requerirá la capacidad de influir en las personas con las que se ha contactado. Existen diferentes métodos para este propósito y para los que es necesario tener un vocabulario preciso.

1. Métodos de influencia

a. Influencia

El término influencia, al menos en castellano, tiene un significado mucho más amplio que el de manipulación.

Influir es conseguir cualquier cambio en las concepciones, creencias, motivaciones y, en definitiva, comportamientos de un objetivo.

Hay muchos medios para influir y muchas causas de influencia.

Se puede influenciar por medio de impulsos, miedos, deseos, arrepentimientos, sentimientos, valores e incluso, algunas veces, por medio de argumentos lógicos.

Lo que se puede clasificar como técnicas de influencia abarca procesos tan diversos como la coerción, el chantaje, el lavado de cerebro, la corrupción, pero también el uso legítimo de la autoridad, la propaganda política, la publicidad, la gestión, la compensación justa, la pedagogía, la persuasión y la demostración científica, entre otros.

Por supuesto, estos métodos a menudo están fuera del alcance del uso del ingeniero social por razones éticas o prácticas.

Sabemos que un ingeniero social prefiere los procesos más económicos, menos arriesgados y más discretos. Por lo tanto, será esencial la elección de los factores de influencia implementados.

Para entenderlo completamente, será esencial distinguir entre los resortes internos o internalizados y los externos. Los factores externos son elementos motivadores independientes del objetivo, mientras que los factores internos le pertenecen. Los factores internalizados son inicialmente factores externos que el objetivo ha integrado. Por ejemplo, una recompensa es un factor externo, la conciencia profesional es un factor interno y la expectativa de recibir una recompensa, de nuevo es un factor interno.

Aunque a menudo es eficaz, el uso de resortes externos requiere la presencia del factor de influencia para garantizar su continuidad. Por el contrario, la activación de factores internos o, en menor medida, internalizados, garantiza...

Las técnicas de manipulación

Ahora debemos ver cómo explotar en la práctica las vulnerabilidades y resortes de la psique humana descritos anteriormente.

La tipología de las técnicas que se presentan aquí retoma la clasificación conocida en psicología social y popularizada por Jean-Léon Beauvois y Robert-Vincent Jouve, en el ya clásico "Pequeño tratado de manipulación para gente de bien". Recomendamos encarecidamente la lectura de este libro a quienes deseen profundizar en el tema de las técnicas de manipulación.

En primer lugar, las técnicas de manipulación se pueden clasificar en "técnicas grandes" y "técnicas pequeñas". Sin embargo, no nos dejemos engañar por la terminología: las técnicas pequeñas solo son pequeñas en el sentido de que complementan a las grandes.

De hecho, las técnicas grandes se pueden considerar como tramos operativos omnipresentes y las pequeñas como la presentación esencial. La combinación armoniosa de las dos es la garantía del éxito.

No faltan los estudios de psicología social que miden los efectos de diversas técnicas. No los presentaremos aquí.

Para poder defenderse de la manipulación, es fundamental saber detectar estas técnicas cuando se implementan. Es necesario poder reconocer los resortes que utilizan.

1. Las grandes técnicas de manipulación

a. Cebos y señuelos

Los cebos y señuelos son un conjunto de procesos que consisten en poner artificialmente a la víctima en un estado favorable para aceptar la solicitud del objetivo, principalmente utilizando la tendencia inconsciente natural a perseverar en una decisión y, por extensión, en una actitud, conclusión, impresión, estado de ánimo, creencia o juicio.

La base del método consiste en presentar a la víctima una situación falsa, de manera que esta inicie la elección, consciente o no, de cumplir con la petición objetivo antes de que tenga todos los elementos pertinentes para decidir.

La víctima tenderá a perseverar en su decisión incluso si mientras tanto tiene acceso a la información correcta.

Es importante señalar que el compromiso de la víctima y las peticiones...

Saber "parchear" las vulnerabilidades humanas

Por supuesto, los elementos que se han presentado antes están destinados principalmente a poder comprender los ataques de ingeniería social para encontrar las respuestas más adecuadas.

Por tanto, debemos ser conscientes de que ante el uso cada vez más común de la ingeniería social, las estrategias de seguridad deben tener en cuenta el sistema de información en su conjunto y apoyarse en la sensibilización, información y formación del personal, por un lado, y en mejorar aspectos organizativos y la madurez real de la organización que se desea proteger, por otro.

Sabemos que todo ser humano puede ser manipulado. Por lo tanto, será fundamental concienciar a los miembros de la organización de las técnicas de ataque y defensa que se presentan aquí. En primer lugar, esto implica sesiones informativas dirigidas a toda la organización. No hay nada nuevo en este punto, salvo que en la práctica a menudo plantea dificultades.

El tamaño de la organización y la frecuente rotación de sus miembros aumentan la carga de la tarea.

Las técnicas de manipulación y defensa personal están aún muy poco difundidas, lo que hace que los humanos lleguen casi siempre "sin parchear".

Además, es fácil que las personas más expuestas por su posición jerárquica también sean las que puedan considerar innecesario formarse en este tema.

Finalmente, la memoria no es perfecta y nunca podemos considerar que una persona que ha sido objeto de sensibilización o formación es inmune a los ataques de ingeniería social.

Por otro lado, una ventaja para el defensor es que ahora las vulnerabilidades del ser humano son bien conocidas y poco evolutivas. Claramente, no hay Juegos Olímpicos para las vulnerabilidades humanas. Solo cambiará la forma de explotarlas mediante el uso de los medios tecnológicas más modernos.

1. Voluntad política

Un estudio de riesgos preliminar detallado debe permitir reflexionar sobre el nivel de defensa que se va a implementar. Sabemos que la ISS no aporta valor añadido directo, por lo que es importante para cualquier organización no consumir recursos en exceso. Pero en la mayoría de los casos, el riesgo de sobreprotección...

OSINT

Quien hace referencia a la ingeniería social, necesariamente habla de buscar información a través de múltiples fuentes. A partir de esta observación, el uso de técnicas OSINT es un elemento indispensable. OSINT significa Open Source Intelligence. Este anglicismo reúne un conjunto de técnicas y herramientas que hacen posible recopilar información sobre una persona, una empresa, la situación económica de un país, etc.

Búsqueda y recopilación de la información que ofrece Internet. Open Source Intelligence: redes sociales, buscadores, webs, etc. OSINT se integra en otros tres puntos importantes que se deben tener en cuenta:

  • Open Source Data (OSD): datos recuperables a partir de fuentes llamadas primarias: una carta encontrada en una papelera, una fotografía en una red social, un mensaje en un contestador, etc. Información que habrá que depurar con los otros puntos.

  • Open Source Information (OSIF): OSIF se puede bautizar como una "revista de prensa": recopila información de periódicos, libros, conferencias, informes de universidades, ruedas de prensa, etc.

  • Validated OSINT: conocido como OSINT-V, este paso clasifica la información recopilada como muy segura. Entre estos documentos OSINT-V, las notas internas, producidas por ejemplo por los servicios de inteligencia, las embajadas que reciben a los jefes de estado...

Bibliografía

(1) El gen egoísta - Richard Dawkins - ISBN 13: 978-8434501782

(2) Introduction biologique à la psychologie - Jean Pellet y Jean-Claude Orsini - Ediciones Bréal

(3) Psychologie Cognitive - Collection Grand Amphi - Ediciones Bréal ISBN: 2 84291 663 8

(4) De La Nouvelle Hypnose à l’Hypnose Psychodynamique, Initiation et pratique - Jean Becchio - Charles Jousselin

(5) Spiral Dynamics: Mastering Values, Leadership and Change - Don Edward Beck, Christopher C. Cowan - Editor: Wiley-Blackwell - ISBN-13: 978-1405133562

(6) Influence: The Psychology of Persuasion - Robert B. Cialdini (PhD) - Editor: HarperBusiness ISBN-13: 978-0061241895

(7) Concepts fondamentaux de la psychologie sociale - Gustave-Nicolas Fisher - Ediciones Dunod - ISBN: 978-2-10-054489-9

(8) Pequeño tratado de manipulación utilizando gente honesta - Jean-Léon Beauvois y Robert-Vincent Joule - Editor: Presses universitaires de Grenoble - ISBN-13: 978-2706118852

(9) Las decisiones absurdas I, II. Sociología de los errores radicales y persistentes - Cómo evitarlos - Christian Morel - ISBN-13: 978-2070763023 y 978-2070456239