Tecnicas de Ing. Social

1) Familiarity Exploit – Este tipo de engaño unicamente está previsto dentro de empresas donde algunos empleados tienen tentaciones de espiar la seguridad empresarial o datos de otros compañeros de trabajo. También puede funcionar a través de la red pero es mucho más complejo y requiere contacto previo, creación de familiaridad mencionando el nombre de la persona, fingiendo aprecio, como en el caso de boletines de vendedores fraudulentos.

Está basado en la familiaridad y la confianza que las personas tenemos al reaccionar a peticiones de individuos que nos son relativamente conocidos, actuamos de forma más abierta y concedemos algunas cosas a personas simplemente porque nos suenan y ya las hemos visto anteriormente o creemos tener un trato familiar, aunque nunca se pueda llegar a conocer las últimas intenciones de una persona.

2) Situación hostil – La mayor parte de las personas evitan y se retiran al encontrarse con un individuo que parece desequilibrado emocionalmente, que está colérico o es conflictivo. Si un individuo se pone a gritar como si tuviese una acalorada discusión al teléfono, las personas que pasen cerca notaran su presencia y pasaran de largo, evitando tratar con ese tipo. Esta técnica se realiza simulando un enfado contra una situación o alguien al otro lado del teléfono o un canal de comunicación pero no hacia otra persona presente.

Si alguien desea acceder a areas restringidas junto con otros empleados pero en zonas donde normalmente no le está permitido estar, podria usar esta técnica para incorporarse junto a un grupo de personas que evitarán cuestionar su presencia al notar su estado colérico, esperando que pase la tempestad. Otra situación donde algunas personas usan esa técnica de ingenieria social es en los pasos de control donde empleados de seguridad chequean bolsas de viaje, maletas y los objetos contenidos, algunos individuos simulan una discusión y un estado colérico para evitar ser cuestionados en ese momento. Como la mayor parte de las personas no queremos relacionarnos con gente que está de mal humor y grita a los demás, podrian pasar por evitar el más minimo trato.

3) Recolectar y utilizar información acerca del objetivo – En ingenieria social una máxima es que cuanta más información personal se tiene de la persona objetivo, más fácil será conseguir sacar lo que se desea a través de esa persona, de ahi la importancia de recolectar información. Algunos buenos sitios para este propósito son:

a. Internet, tan sencillo como buscar su nombre en Google o si tiene perfil en redes como Linked In, Facebook, Twitter, MySpace, etc. Muchas personas lo hacen con otros empleados dentro de la empresa.
b. Objetos en su zona de trabajo.
c. Cotilleos de conocidos y compañeros de trabajo.
d. Intereses, pautas de comportamiento, lugares frecuentados.
e. Papelera, un trabajo sucio pero puede esconder joyas para comprender la mente de la persona.

4) Infiltrarse consiguiendo un empleo en el entorno objetivo – Algunos individuos que desean obtener información acerca de empresas o trabajadores son capaces de buscar un empleo dentro del lugar objetivo, se convierten en empleados de las empresas que quieren conocer y buscan toda la información posible desde dentro. Muchos departamentos de recursos humanos, coordinadores o managers no están entrenados para detectar a una persona maliciosa en una entrevista de trabajo. Un infiltrado tendrá mayores resultados positivos con sus técnicas de ingenieria social si se convierte primero en un empleado de confianza y en alguien de fiar, aparentemente.

5) Correcta interpretación del lenguaje corporal – Un experimentado ingeniero social, o un bribón sensato, sabe sacar partido del lenguaje corporal y las emociones de las personas del entorno que son objetivo. Según Chris Nickerson, el lenguaje corporal bien utilizado es una forma de crear conexiones entre personas, de forma que exista armonia suficiente antes de tratar de obtener algo. Ser educado, mantener una postura adecuada, dar apretones de manos confiados, hablar con seguridad y mirar a las personas a sus ojos (o al entrecejo), adaptarse a las normas y al protocolo, la etiqueta, no quejarse ni criticar a nadie, hacer sentir bien a los demás, agradecer y respaldar el sentimiento de importancia y la autoestima de otras personas…

Cuando un individuo que desea hacer ingenieria social se ha comportado de ese modo durante un tiempo razonable, las personas querrán ayudarle, no estarán tan armadas para saber decir NO y se sentirán bien haciendo pequeños favores sin que resulte ningún esfuerzo.

6) Erotismo – El erotismo o más bien el sexo camuflado se utiliza constantemente para manipular a las personas y sobretodo a los hombres. Publicidad explícita, mujeres explosivas empleadas como vendedoras, presentadoras, azafatas; cantantes pop insinuando de forma promiscua en sus actuaciones… El sexo se utiliza para vender productos y las mujeres les funciona para controlar a los hombres, también vale en ingenieria social. Los individuos que difunden malware por internet lo saben bien y esconden programas maliciosos en sitios eróticos relacionados con famosas o con contenidos de sexo explícito.

7) Tiempo crítico – Es habitual verlo en los emails de ventas o los fraudes como el phishing en seguridad bancaria donde se presiona al objetivo para dar sus contraseñas con la excusa de una alerta repentina de seguridad o en los timos por email donde se trata de hacer creer al objetivo que ha ganado algún premio y debe dar sus datos confidenciales en un corto plazo de tiempo para obtener lo que le van a regalar en un concurso en el que nunca participó.

A modo de conclusión toca pensar de que manera podemos estar protegidos contra las técnicas de ingenieria social y la manipulación para obtener información confidencial o evitar ser estafados. Se cree que lo mejor es formarse, estar familiarizado y evitar caer en nuestras emociones, tratando de razonar según el sentido común y la experiencia en las relaciones humanas. No hay widget de seguridad, ni software para controlar la ingenieria social, pero se puede estar prevenido.