Hackeando el cerebro - Parte I
Tomado de: www.buguroo.com
Referido por: @Jose Ledezma
La recepcionista de una gran empresa recibe una llamada telefónica. Al otro lado de la línea, una joven un poco angustiada le cuenta una historia. Hace unas horas ha tenido que salir por urgencia de casa porque su hijo se ha puesto enfermo, le cuenta que ahora están en hospital esperando a ser atendidos. La recepcionista se preocupa, pues ella también es madre, aunque todavía no sabe realmente quién es la persona que llama y por qué lo hace.
La joven angustiada le cuenta que es Maribel, la secretaria de Influences Corporation, un conocido cliente de esta empresa. Hoy sin falta, su jefe le pidió que mandara el presupuesto al jefe de contabilidad de la empresa a la que está llamando, aunque con las prisas se ha dejado el portátil donde tenía apuntado el mail de esta persona. Tiene una copia del archivo con el presupuesto en su móvil, pero no tiene la dirección de envío.
La joven cuenta que posiblemente la despida, que con su hijo enfermo ha tenido que faltar algunas veces al trabajo, que es muy difícil conciliar el cuidado de su hijo con un trabajo de tanta responsabilidad como el suyo. Evidentemente, no quiere llamar a su jefe para decirle que es una inútil y que encima está faltando al trabajo, por lo que de una forma desesperada ha decidido llamar allí por si alguien le puede facilitar el mail del jefe del departamento de contabilidad.
La recepcionista teclea unas cuantas veces y tras unos segundos le pide que anote el mail. La joven le da las gracias entre sollozos y cuelga.
Unos días más tarde, la empresa sufre una estafa por miles de euros a través del hackeo del mail del jefe de contabilidad.
Posiblemente, un hacker bueno hubiera podido conseguir, tarde o temprano, la cuenta de mail del jefe de contabilidad, pero ¿para qué dedicarle tanto esfuerzo a hackear un sistema si puedo realizar una llamada a la recepcionista? Las personas somos bastantes más accesibles y “hackeables” que cualquier sistema o máquina.
La ingeniería social se ha mostrado como una de las técnicas de hacking más potentes, simples y de bajo coste que se puedan utilizar.
De hecho, es una técnica usada mucho antes de que existiera cualquier máquina o el propio hacking. Básicamente consiste en obtener información de terceros para conseguir algo.
Ese algo puede ser acceder a sus cuentas bancarias, una contraseña o el mail de un jefe de contabilidad. A veces, obtener esa información consiste en influir o engañar a otra persona y en otras ocasiones simplemente observar qué teclas pulsa para escribir su contraseña o mirar el pos-it que tiene pegado en el monitor con la contraseña de entrada al sistema.
Esta última visión puede tener menos “glamour” como técnica de hacking, pero sorprendería lo que uno puede obtener simplemente observando. Lo mismo que muchos espías obtienen más información en la barra de un bar que dedicando horas y horas a interrogar a alguien, a veces un ingeniero social puede obtener una información muy valiosa simplemente rescatando de la papelera de una empresa los papeles que se tiran o aquellos que se usan por la otra cara para aprovechar el papel. A nadie se le ocurriría dejar por ahí un listado de clientes, pero si he sacado copias de más, puedo usarlas como papel reciclado para anotar los pedidos que luego dejo olvidados al lado de la máquina de café.
Pero, puestos a ser “glamurosos”, vamos a tratar más en profundidad el primer enfoque de la ingeniería social, el que usa ciertas técnicas psicológicas y habilidades sociales para la obtención de la información. Como se ha comentado antes, esto puede implicar engaño o …no tanto. Imaginemos el caso de la joven que ha llamado a la recepcionista de la empresa si su historia fuera real. Igualmente habría obtenido una información “confidencial” y la habría usado para enviar el presupuesto y salvar su puesto de trabajo. En este caso no hay engaño alguno. La ingeniería social se queda en eso, en la obtención de la información, sirva para lo que sirva posteriormente.
En primer lugar, debemos hablar de dos elementos muy simples pero básicos para entender esto de la ingeniería social.
El primero de ellos es que el ser humano es un animal social, vive en grupo y se desarrolla en grupo. La especie humana no habría podido llegar a donde ha llegado si no existiera colaboración entre sus miembros, si no se hubiera trabajado en grupo y potenciado la sinergia grupal. Esto supone que las personas estamos dispuestas a colaborar, a compartir, es parte de nuestro ADN.
El segundo elemento es algo propiamente humano, el lenguaje. La capacidad de comunicarnos a través del lenguaje nos ha permitido un gran desarrollo. Transmitir conocimiento a través de la comunicación hace que podamos aprender sin necesidad de experimentar y esto, como ocurre en la ingeniería social, nos permite ahorrar mucho tiempo.
Estos dos elementos son la base a partir de la cual podemos hacer ingeniería social. En un próximo blog profundizaremos en las estrategias psicológicas con las que vamos a influir sobre los demás para obtener información, en las técnicas para “hackear el cerebro”.
Artículo completo: Clic aquí