muhimu.es

La vida no es un juego de azar. No es un casino donde invertir tus días. Es una obra de arte para contemplar y crear. Siente, ama, crea.

Ingeniería social El arte de la piratería humana.jpg

Ingeniería social: El arte de la piratería humana

Merece ser compartido:

Actualizado el domingo, 22 septiembre, 2024

Ingeniería social revela los métodos secretos que utilizan los piratas informáticos y los estafadores para manipular a sus objetivos y estafar a sus víctimas. El libro proporciona descripciones detalladas paso a paso de cómo los delincuentes planean un plan y le brinda todas las herramientas que necesita para evitar ser engañado.

Como una computadora, la mente humana puede ser pirateada. Los delincuentes utilizan tácticas psicológicas, historias de tapa artificiales y una redacción cuidadosa para manipular y estafar a sus objetivos. La mejor protección es conocer sus métodos.

Aprenda los trucos y métodos utilizados por los estafadores y cómo evitarlos

¿Has oído hablar del correo electrónico de un príncipe nigeriano pidiendo ayuda para recuperar una herencia a cambio de dinero? ¿O has visto la película The Sting y te has sorprendido de cómo los dos personajes principales pueden engañar a prácticamente cualquiera? Es posible que se haya preguntado si la gente realmente puede llevar a cabo este tipo de esquemas. ¿La gente realmente se enamora de ellos? La respuesta clara es sí, pero la verdadera pregunta es: ¿por qué?

La ingeniería social es una categoría completa de conocimientos y habilidades que pueden hacernos vulnerables a los estafadores. La mayoría de las veces, ni siquiera sabemos que está sucediendo. La Ingeniería Social es más que una habilidad inherente de hablar dulcemente y destreza social; es toda una ciencia que utilizan los estafadores, así como las mismas personas que intentan prevenirlos.

En estos consejos, analizaremos de cerca los fundamentos de la Ingeniería Social, su funcionamiento y las técnicas que conlleva.

Descubrirás

  • cómo un sitio web sobre recolección de sellos abrió una brecha de seguridad;
  • cómo 734.000 usuarios de redes sociales eligieron su nombre como contraseña; y
  • por qué una foto de sus hijos podría hacerle vulnerable a la Ingeniería Social.

La ingeniería social es una forma de ganar influencia sobre otros sin que ellos lo sepan

¿Alguna vez te han convencido para que compres algo y luego te das cuenta de que no necesitas ni quieres lo que has comprado? Si es así, no estás solo. La mayoría de nosotros hemos estado bajo la influencia de alguna táctica de ingeniería social en un momento u otro.

La ingeniería social es un conjunto de trucos psicológicos que aprovechan las vulnerabilidades humanas para influir en las acciones de un objetivo. Estos trucos pueden manifestarse como lenguaje hablado, lenguaje corporal y sugerencias ocultas.

Los gobiernos, los vendedores y los agentes del orden están profundamente familiarizados con estas tácticas, pero el hecho es que todos usamos la ingeniería social, incluso con nuestros amigos, familiares y compañeros de trabajo. Por ejemplo, cuando un niño dice “Te amo, mami. ¿Puedo tener un cachorro para mi cumpleaños? » están utilizando la ingeniería social para influir en sus padres.

Por supuesto, la ingeniería social no se trata solo de ganancias a corto plazo; en realidad, puede usarse para causar un gran daño a las personas. Los estafadores y estafadores, por ejemplo, utilizan la ingeniería social para manipular sus objetivos y comprometer los sistemas de seguridad.

Si desea instalar malware en el servidor de una empresa, puede ir con todas sus fuerzas y abrirse camino hasta la sala de servidores. Pero eso es complicado. En cambio, un ingeniero social hará algo como disfrazarse de especialista en TI y preparar una historia convincente para superar la seguridad.

Una vez dentro, son libres de hacer lo que quieran y nadie se dará cuenta. Por lo que sabe el guardia de seguridad, la «persona de TI» simplemente estaba haciendo su trabajo.

Pero nadie quiere ser engañado así. Afortunadamente, podemos protegernos con una sólida comprensión de cómo funciona la ingeniería social.

Los auditores de seguridad, como el autor, son contratados para desempeñar el papel de ingenieros sociales malintencionados para probar el sistema de seguridad de un cliente mediante la realización de pruebas de penetración autorizadas , o pentests para abreviar, que son básicamente ataques falsos de ingeniería social. El cliente, por supuesto, no sabe cuándo, dónde ni cómo sucederá.

Recopilar información es el primer paso importante en un ataque de ingeniería social falso o real

Ya sea que sea un auditor de seguridad o un ingeniero social criminal, antes de planificar un ataque, debe conocer su objetivo. Cuanto más comprenda su objetivo, más sabrá cómo influir en él y más eficaz será su plan.

Empiece por crear un perfil de su objetivo. Un buen lugar para comenzar es Internet: ciertos sitios web le permiten rastrear la dirección de correo electrónico, el número de teléfono e incluso su dirección IP de una persona, mientras que las redes sociales también pueden ser un gran recurso. ¡Se diligente! Incluso un pequeño detalle puede resultar valioso.

Por ejemplo, el mentor del autor, Mati Aharoni, fue contratado una vez para hacer un pentest para una empresa específica. Aharoni descubrió que uno de los altos funcionarios de la empresa utilizaba el correo electrónico de su empresa en un foro de coleccionistas de sellos.

Entonces, Aharoni creó un sitio web con una dirección relacionada con el sello e incorporó un programa que hizo posible acceder a la computadora del objetivo. Luego llamó al funcionario, le preguntó si estaría interesado en comprar la “colección de sellos de su abuelo fallecido” y se ofreció a enviarle un enlace al sitio web. El objetivo, sorprendido por completo, aceptó felizmente y cayó en la trampa.

Como puede ver, ¡incluso la información más aparentemente trivial puede tener una gran recompensa!

También puedes aprender mucho sobre alguien a través de la simple observación de su vida diaria.

Es una buena práctica seguir a su objetivo a través de su rutina diaria. ¿Qué lugares visita siempre? ¿Ella fuma? Si su objetivo es una empresa, ¿utilizan los empleados llaves o tarjetas magnéticas para entrar al edificio? ¿El edificio tiene cámaras de seguridad?

Finalmente, aunque ciertamente no es glamoroso, no obstante, puede obtener información importante mirando a través de la basura de su objetivo. La gente tira CD, cartas, facturas y todo tipo de cosas que contienen información importante. Pero sea inteligente al respecto: ¡lleve las bolsas a otro lugar para evitar que lo atrapen!

Los atacantes crean pretextos encubiertos e identidades adaptadas para obtener acceso a sus objetivos

Imagina que eres un detective a punto de ir de incógnito. ¿Usarías tu nombre real, dirección e historia de fondo? ¡Por supuesto no! Crearía una historia de fondo y un alias, y usaría todo lo que sabe para diseñar un plan sólido para ir encubierto.

Todo comienza con un pretexto , es decir, un escenario que hace que su objetivo se sienta cómodo haciendo algo que normalmente no haría. Por eso es tan importante recopilar buena información sobre su objetivo al principio: cuanto mejor sea la información sobre ellos, más convincente será el pretexto.

Digamos que su objetivo es un CEO que dona regularmente a una organización benéfica. Este conocimiento podría ser útil para crear su pretexto. Como una forma potencial de reunirse con el director ejecutivo, podría pretender ser un vendedor que ofrece donar un porcentaje de una compra a la organización benéfica preferida del director ejecutivo.

Después de todo, los directores ejecutivos no verán a cualquiera, y mencionar esta organización benéfica mejora sus posibilidades.

Al crear su identidad, es importante inspirarse en función de los intereses de su objetivo para inspirar su confianza en usted.

La forma más sencilla es encontrar un interés común real que comparta con su objetivo. Si eso no es posible, puede moldear su identidad para que coincida con su nivel de experiencia real en su «interés compartido». Por ejemplo, si quiere convencer a un químico de que revele una fórmula química patentada, pero usted mismo no es un científico, hacerse pasar por un químico colega es riesgoso. Pero podrías ser un «estudiante» que admira su trabajo.

Los acentos y dialectos son otra buena forma de conectarse con la gente. Estos no son demasiado difíciles de aprender con un oído atento y algunas buenas cintas de audio instructivas.

Algunos acentos pueden incluso hacerte agradar al instante, dependiendo de tu entorno. En una clase de capacitación ofrecida por una organización de ventas, el autor se enteró de que el 70 por ciento de los estadounidenses prefieren escuchar a alguien con acento británico.

Pero no importa qué, recuerde que su pretexto e identidad deben parecer lógicos y naturales.

Establecer una conexión y una relación con los objetivos los hace susceptibles a sus sugerencias

A la gente le gusta agradar, un hecho que los ingenieros sociales conocen bien. También saben que las personas a las que les gustas harán cosas para ganarse tu afecto. Pero, ¿cómo consigues agradarles a extraños de inmediato?

Empiece por hacer que el objetivo sienta que tiene buena química y simpatía. Una forma de hacerlo es entablar una conversación sobre el objetivo. Después de todo, ¡a todos les encanta hablar de sí mismos!

Sea consciente de su lenguaje corporal. Al hacer coincidir sus movimientos, demuestra sutilmente que los dos tienen química. Por ejemplo, si cruzan los brazos, haz lo mismo.

También puede establecer una buena relación al hacer coincidir su apariencia con la de ellos. Si está hablando con el gerente de una empresa, por ejemplo, querrá seguir el camino y hablar como él: use traje y corbata, y hable como ellos hablan.

Una vez que haya establecido una relación, puede usar la elicitación para influir en los objetivos para que se comporten como usted quiere porque tiene sentido o les parece lógico. Para usar la elicitación de manera efectiva, es importante comprender algunas cosas sobre las personas: quieren ser corteses con los extraños, hablan más cuando son elogiados y responden amablemente a alguien que parece preocupado por ellos.

Los ingenieros sociales utilizan este conocimiento para convencer a cualquiera de que cumpla con sus sugerencias. Si sabe que su objetivo es un padre, por ejemplo, cree un pretexto que incluya a un hijo.

Podrías decirle a la recepcionista que tienes una entrevista de trabajo programada, pero que esta mañana tu hija derramó accidentalmente café en tu maletín y no tuviste tiempo para imprimir otro CV. Podrías notar que, a juzgar por la imagen en su escritorio, su hijo debe tener aproximadamente la misma edad que tu hija. ¿Quizás podría ayudarte e imprimir otro CV para ti?

Ahí es cuando puedes darle una memoria USB con software espía.

Los ingenieros sociales son expertos en la lectura de microexpresiones

Piense en todas las mentiras piadosas que ha dicho. ¿Crees que la gente sabía que estabas mintiendo? Probablemente. Pero no es porque estuvieran escuchando atentamente la lógica de tu mentira; más bien, probablemente lo lean en tu cara.

Nuestros rostros tienden a revelar nuestras emociones de forma involuntaria. Estas microexpresiones pasan en menos de un segundo, pero son inconfundibles.

Las microexpresiones son universales; las personas revelan sus emociones en sus rostros de la misma manera, independientemente de su origen cultural. Por ejemplo, una sonrisa genuina activa los músculos alrededor de los ojos llamados orbicularis oculi , que, según el neurólogo francés Duchenne de Boulogne, no se pueden mover voluntariamente.

Mientras que las agencias policiales leen microexpresiones para detectar engaños, los ingenieros sociales usan esta información para manipular sus objetivos.

Por ejemplo, uno de los colegas del autor, Tom, notó que su objetivo sonreía cuando hablaba de algo positivo. Tom comenzó a hacer clic con un bolígrafo cada vez que su objetivo hablaba de cosas positivas hasta que el objetivo comenzó a asociar el clic con emociones positivas.

Finalmente, Tom hizo clic en el bolígrafo cuando su objetivo mencionó algo negativo. Esto le hizo sonreír y luego se sintió avergonzado por haber sonreído ante algo negativo.

Pero las emociones notables van mucho más allá de las sonrisas. El autor identifica siete tipos de emociones universales, todas las cuales tienen sus propias microexpresiones:

  • La ira hace que las cejas se inclinen hacia abajo y juntas, y los labios se estiren hacia afuera.
  • La repugnancia arruga la nariz y levanta el labio superior.
  • El desprecio también arruga la nariz, pero levanta solo un lado del labio.
  • El miedo nos hace abrir mucho los ojos, con las cejas juntas y los labios estirados hacia afuera.
  • La sorpresa levanta las cejas y deja caer la mandíbula.
  • La tristeza también deja caer la mandíbula, tira los labios hacia abajo y entrecierra los ojos.
  • Finalmente, la felicidad ensancha los ojos, levanta las mejillas y produce una sonrisa.

Leer la microexpresión de su objetivo puede ayudarlo a identificar sus emociones y brindarle la información que necesita para responder de manera adecuada.

Los ingenieros sociales utilizan la programación neurolingüística para convencer al objetivo de que haga lo que quiere

Los estafadores son bien conocidos por su capacidad de convencer a cualquiera para que haga cualquier cosa. Muchos atribuyen esto a un talento natural para hablar dulcemente, pero hay una ciencia real detrás de esto. En este consejo, examinaremos una de esas ciencias: la programación neurolingüística.

La programación neurolingüística, o PNL, es un modo de comunicación que se centra en la forma en que las personas piensan y experimentan el mundo.

Richard Bandler y John Grinder desarrollaron la PNL en la década de 1970 para estudiar la forma en que los patrones del lenguaje afectan el comportamiento. La PNL se enfoca en los conceptos de estado mental, relaciones consciente / inconsciente y los filtros que usamos para dar sentido a la realidad.

Los vendedores y los gerentes de la empresa aprenden PNL para desarrollar la autoconciencia y formas efectivas de comunicarse. Por ejemplo, los guiones de capacitación en PNL pueden ayudar a un vendedor a hacer que un cliente hable sobre sus metas y sueños. El vendedor, con esta nueva información, puede posicionar su producto en la conversación como un medio para cumplir esos sueños.

Los ingenieros sociales utilizan la PNL para insertar comandos de forma encubierta en su discurso sin alertar al objetivo. En PNL, esta habilidad se llama voz definitiva .

Una forma de usar la voz definitiva es enfatizar las palabras en las que desea que se enfoque el objetivo usando su tono de voz. Por ejemplo, normalmente terminamos preguntas como «¿No estás de acuerdo?» con un tono ascendente. Sin embargo, si dice «de acuerdo» con un tono hacia abajo, suena como una orden.

Otra forma es ocultar frases de mando en oraciones estructuradas como sugerencias suaves enfatizando ciertas palabras y dando órdenes al subconsciente del oyente.

Por ejemplo, cuando preguntas «Entonces, ¿qué quieres almorzar hoy, bistec o algo más?» su énfasis en «quieres comer bistec» influirá en la decisión del oyente.

Estos son métodos psicológicos sofisticados que requieren entrenamiento y práctica. Pero si se toma el tiempo para aprenderlos, puede influir enormemente en las personas simplemente hablando con ellos de la manera correcta.

Los ingenieros sociales utilizan herramientas físicas y en línea para infiltrarse y recopilar información

A veces, los ingenieros sociales se enfrentan a un desafío que requiere algo más que una conversación dulce: bloqueos. Pero ningún candado, ya sea físico o digital (en otras palabras, protección con contraseña), es insuperable.

Si desea abrir un candado físico para acceder a archivos personales u otros datos, primero necesitará ciertas herramientas.

Una cerradura está hecha de vasos de pines desiguales, que la llave alinea en una línea uniforme. Una vez que los vasos están alineados, la llave puede girar y desbloquear la puerta. Las ganzúas hacen lo mismo, excepto que tienes que empujar cada vaso a su posición uno por uno.

Para lograr esto, solo necesita dos herramientas: una llave de tensión, que es solo una pieza plana de metal que mantiene la presión en la parte inferior de la cerradura, y una ganzúa.

Es fácil: primero, inserte la llave de tensión. Luego, usa su pico, una pieza larga de metal con una curva al final, para alinear los vasos. Una vez que los vasos estén alineados, escucharás un clic y ¡voilà!

Las contraseñas son un poco diferentes. Afortunadamente para los ingenieros sociales, las contraseñas de la mayoría de las personas son muy débiles. ¿Qué tan débil? Bueno, en 2009, un pirata informático conocido como Tonu copió un sitio de redes sociales utilizando una dirección web que se había eliminado recientemente. De las 734.000 personas que iniciaron sesión en este sitio falso, 30.000 utilizaron su nombre de pila como contraseña y 17.601 usuarios utilizaron la contraseña 123456 .

Por supuesto, si la contraseña de su objetivo es diferente a su primer nombre, deberá intentar algo más. Las contraseñas se pueden descifrar mediante software gratuito, como Common User Password Profiler o CUPP.

Cuando el autor realiza ejercicios de capacitación en seguridad, le pide a un voluntario que ingrese una contraseña que crea segura en una computadora. Usando software como CUPP, puede descifrarlo en menos de dos minutos.

CUPP toma toda la información personal del objetivo, como apodos, cumpleaños y nombres de los cónyuges, y crea un archivo de contraseñas probables. Las contraseñas débiles se pueden descifrar en unos días o incluso menos.

Aprenda a identificar tácticas de ingeniería social y sea consciente de la valiosa información que publica

Los ingenieros sociales combinan todas estas tácticas y herramientas para manipular sus objetivos sin que ellos se den cuenta. La mejor forma de protegernos es conocer sus métodos y cómo funcionan.

Si no quiere dejarse engañar, es importante que se informe a sí mismo y a su personal sobre las tácticas de ingeniería social. Cuanto más sepa sobre la provocación, el lenguaje corporal, etc., mejor preparado estará para reconocer cuando alguien está tratando de usar estas tácticas con usted.

Recuerde, toda la información puede ser valiosa para un atacante. Así que tenga cuidado con lo que comparte con personas no autorizadas.

Tenga especial cuidado con los atacantes que se hacen pasar por personas angustiadas que piden ayuda. En un caso, un ingeniero social pudo comprometer a una empresa de antivirus llamando a su línea de servicio al cliente y preguntando si el software le impedía acceder a un sitio web diseñado para comprometer a la empresa.

El representante intentó varias veces explicarle que simplemente no se le permitía abrir el sitio web en cuestión, pero el atacante le suplicó que fuera al sitio web para asegurarse de todos modos.

En su deseo de ayudar, el representante terminó abriendo la dirección web y comprometiendo a la empresa antivirus.

Para evitar ser víctima de los ingenieros sociales, configure protocolos de seguridad para todo el personal y sígalos en todo momento.

Una forma podría ser desarrollar un guión estándar que los empleados usen para reaccionar ante una persona sospechosa que solicita información. Podría ser tan simple como pedir su nombre y número de identificación y el nombre del proyecto sobre el que están preguntando antes de responder cualquier pregunta. Si no pueden proporcionar esta información, pídales que se comuniquen con la empresa por correo electrónico y finalicen la conversación.

Por supuesto, estas son solo ideas. Tendrá que desarrollar su propio sistema que sea adecuado para usted y su empresa.


Merece ser compartido: