Quiénes son los ingenieros sociales y cómo se preparan
Si por algo se ha caracterizado siempre la guerra ha sido porque los mejores estrategas han sido quienes, además de conocerse a sí mismos, conocían a su enemigo. Y en el tema que nos ocupa, el ingeniero social es nuestro enemigo. Lo primero que necesitamos saber de un ingeniero social es que es un mentiroso profesional, que no es lo mismo que un mentiroso compulsivo. La forma más eficiente de definir al mentiroso profesional es decir que es un gran actor. Si un actor es tan bueno que somatiza el papel que representa, hará que su rol sea tan suyo y tan real que la víctima o el espectador Para que una persona sea capaz de actuar de manera tan convincente no podrá saber que se trata de una actuación. debe ser muy ágil mentalmente, puesto que aunque hay cosas que pueden guionizarse, el ingeniero social no va a actuar frente a otros actores con papeles predefinidos, sino que deberá improvisar en función de cómo respondan o reaccionen las víctimas.
Además, debe tener una memoria ágil para poder recordar las mentiras que va contando y no caer en inconsistencias al ir desarrollándolas o ampliándolas, ya que consciente o inconscientemente las víctimas pueden sentirse alertadas por esos fallos en el argumentario del ingeniero social y sospechar que están siendo engañadas. El autocontrol es una herramienta fundamental y compleja, ya que el atacante, una vez metido en su personaje, debe dejar de reaccionar instintivamente a los estímulos que afectarían a su personalidad real. Por poner un ejemplo, no puede darse la vuelta cuando alguien le llame por su nombre real o no puede reaccionar a cosas que le gusten ni de la forma que naturalmente lo haría si no encaja con el personaje que está representando. A las personas, por lo general, no nos importan demasiado las historias de los demás, es un defecto social que hace que la gente sea más proclive a hablar que a escuchar. Y por eso, un buen ingeniero social es una artista de la escucha activa. Se comporta de manera asertiva para ir midiendo las opiniones de su interlocutor hasta que puede empezar a actuar de forma empática, generando respuestas que supongan un refuerzo positivo al comportamiento de la víctima.
Puesto que las víctimas del ingeniero social se sienten escuchadas y reciben refuerzos positivos a sus comentarios, se van abriendo cada vez más a su atacante. Por eso, si mentir es lo que sustenta el pretexto del ingeniero social, sus habilidades sociales son las que inhabilitan las defensas de sus víctimas. Son las mismas tácticas que utilizan los adivinos, los primeros ingenieros sociales a nivel histórico. Las personas que reúnan esa memoria, agilidad mental, capacidad de actuación y habilidad social son las que mejor pueden desempeñar trabajos de ingeniería social. Desde el punto de vista profesional, cualquiera puede ser ingeniero social. Es un dato duro, pero es cierto. Los buenos vendedores suelen ser buenos ingenieros sociales, los más ligones suelen ser buenos ingenieros sociales y los mejores hackers son también grandes ingenieros sociales.
Todos ellos practican la escucha activa y refuerzan cada comportamiento de sus interlocutores que les acerque más a su objetivo. Cuando hablamos de la seguridad de nuestra empresa, debemos considerar siempre que a un atacante le tiene que salir rentable su operación. Es decir, que debe costarle menos conseguir nuestra información que robarla mediante procedimientos puramente técnicos. Y si dispone de la oportunidad y de las habilidades, es más fácil que alguien le suministre de forma gratuita información que tener que robarla. Existen profesionales de la ingeniería social que se dedican específicamente a esta actividad, del mismo modo que hay ingenieros que se dedican a realizar test de penetración en redes y sistemas informáticos.
Estos profesionales suelen estudiar muchas materias relacionadas con la psicología y la sociología y se entrenan para mejorar sus habilidades, para conocer cada día más y mejor a sus víctimas. Además, cuando realizan sus pruebas de penetración, al igual que los que lo hacen a nivel técnico, documentan tanto lo bueno como lo malo y siempre evitando causar daños a sus clientes. Pero cuando sufrimos ataques reales de ingeniería social, no podemos contar con la amabilidad del atacante ni mucho menos pensar en si sus acciones nos causarán algún daño moral o psicológico. Su objetivo es la información y pueden recurrir tanto a las buenas formas como a medios tan radicales como el chantaje, la extorsión o el miedo, que pueden considerarse incluso excluyentes con la definición de ingeniería social, pero si le resultan prácticas pueden usarlas. Lo malo es que además del daño intrínseco o derivado de la fuga de información, a la víctima puede quedarle una sensación de indefensión muy perjudicial. La idea que nos debe quedar clara es que cualquiera puede ser ingeniero social y que raramente es una actividad específica. En lo que se refiere a nuestra seguridad, la ingeniería social será solo una herramienta más de las que puedan hacer uso timadores, ladrones, cibercriminales y demás personas que se servirán de sus habilidades sociales para facilitar sus actividades ilegales.
ESCRITO POR:
Cybervilla Colombia
Comments