Tahiri Dikovec

Hacker Ético Profesional e Ingeniero Social

Ingeniería Social: el arte de la manipulación humana

By

Para mí la ingeniería social es un arte, en el que se utiliza distintas técnicas psicológicas y habilidades sociales con el objetivo de manipular, influenciar o engañar a las personas para así obtener algún beneficio, ya sea económico o personal.

Cualquiera puede tomar una foto a un imponente paisaje, pero solo un artista podrá capturar un imponente paisaje en una hermosa foto.

Lo que quiero decir con la frase anterior es de que la ingeniería social es un arte, ya que los verdaderos ingenieros sociales elaboran de tal forma su trabajo que, al profundizar en el mismo, es posible vislumbrar el uso de estrategias prácticas, buen análisis y estudios previos, que al momento de estudiarlo dan ganas de construir un altar a su nombre.

La ingeniería social se basa en gran medida en la teoría de los 6 principios de la influencia y persuasión del Dr. Robert Cialdini, escritor del libro: “Influence: the psychology of persuasion”.

Los usos de la ingeniería social

La ingeniería social puede ser usado en diferentes casos, depende en gran medida de los objetivos y beneficios que se quiere obtener, como, por ejemplo:

  • Ingeniería social con intenciones maliciosas o económicas: en este caso los ingenieros sociales se encuentran motivados, como lo indica su nombre, por razones maliciosas o económicas, por ellos realizan acciones relacionadas con:
    • Obtener información privada.
    • Infectar u obtener acceso a computadoras, servidores, dispositivos, etc.
    • Estafar o realizar robos bancarios.
  • Ingeniería social con buenas intenciones: en este otro caso los ingenieros sociales realizan este tipo de trabajo de forma ética con el objetivo de ayudar a las personas y empresas para no ser victimas de cibercriminales o personas con malas intenciones. Por tal motivo el ingeniero social procura:
    • Evaluar la seguridad de una empresa, bancos, instituciones, etc.
    • Educar y concientizar a las personas.
  • Ingeniería social con intenciones personales: en este otro caso los ingenieros sociales utilizan la ingeniería social para usos personales, como por ejemplo realizar:
    • Bromas o venganzas.
    • Ingreso a eventos privados.
    • Conseguir alimentos en establecimientos de comida rápida.

Además de los motivos y las acciones que acabo de mencionar, es importante aclarar que la ingeniera social puede darse de forma: presencial y no presencial.

Ingeniería Social Presencial

Como su nombre lo indica, implica que el ingeniero social se involucre e interactúe con el objetivo cara a cara.

Para realizar este tipo de trabajo de forma exitosa se debe de conocer la mayor cantidad posible de información sobre el objetivo en combinación de técnicas, como, por ejemplo, la elaboración de un buen “pretexting” (es el acto de crear y utilizar una identidad y/o escenario con el objetivo de obtener algo, en la mayoria de casos es conseguir información confidencial), también es necesario saber utilizar la lectura del lenguaje corporal, establecer confianza, saber empatizar, ser persuasivo, etc.

Ingeniería Social No Presencial

Es precisamente lo contrario, en esta actividad el ingeniero social no se involucra de forma presencial, sino que se comunica mediante voz, de forma digital o comunicación escrita por medio físico con el objetivo.

La ingeniería social no presencial se divide en 3 tipos:

  • Comunicación por voz: conocido como Vishing, técnica en el que se busca manipular al objetivo solo usando la voz, para esta técnica se requiere elaborar un guion o ser espontaneo si se tiene experiencia y facilidad de realizarlo.
  • Comunicación por medios digitales: en este tipo de comunicación se realiza solo utilizando los medios digitales, como, por ejemplo, correos electrónicos, redes sociales, chat entre otros.
  • Comunicación escrita por medios físicos: este tipo de técnica se busca manipular al objetivo con regalos o cartas físicas.

Para realizar el uso de la comunicación digital y comunicación escrita por medio físico se requiere tener conocimiento y experiencia sobre técnicas de redacción de textos o también conocido como copywriting, que es una técnica que utilizan los profesionales de marketing para persuadir a sus potenciales clientes, en este caso se utiliza el copywriting para persuadir y empatizar con el objetivo.

Ingeniería Social de Comunicación Directa e Indirecta

Como he comentado, la ingeniería social se realiza mediante 2 tipos de formas, la presencial y la no presencial, lo cual también se debe tener presente el tipo de comunicación que se puede realizar.

  • Ingeniería Social de Comunicación Directa: dos o más personas se comunican directamente entre sí.
    • Ingeniería Social de Comunicación Bidireccional: la comunicación bidireccional ocurre cuando ambas partes participan en la conversación. Por ejemplo, un atacante envía un correo electrónico al objetivo y el objetivo responde al atacante.
    • Ingeniería Social de Comunicación Unidireccional: la comunicación unidireccional ocurre cuando la conversación es unidireccional, desde el atacante hasta el objetivo. Por ejemplo, si el atacante envía un mensaje a través del correo en papel sin una dirección de retorno, el objetivo no puede responder al mensaje.
  • Ingeniería Social de Comunicación Indirecta: la comunicación indirecta es cuando no hay interacción real entre el objetivo y el atacante; La comunicación se produce a través de algún medio de terceros. Por ejemplo, los chats, correo electrónico, entre otros.

Los 6 principios de la influencia y persuasión

Mencioné al inicio que la ingeniería social se basa en los 6 principios de la influencia y persuasión del Dr. Robert Cialdini, quien además escribió un libro sobre el tema, titulado Influence: The Psychology of Persuasion.

Descripción de los 6 principios de la influencia y persuasión. Dado que este es el sustento, es necesario profundizar en dichos principios para poder conocer de forma satisfactoria el arte de la ingeniería social.

Los 6 principios consisten en:

  • Reciprocidad: las personas tienden (se sienten “comprometidas”) a devolver un favor.
  • Coherencia, compromiso y consistencia: si las personas se comprometen, de forma oral o escrita, con una idea u objetivo, es más probable que cumplan porque han declarado que aquello se ajusta a su autoimagen. Incluso si el incentivo, o la motivación original, se eliminan posterior al acuerdo continuarán respetándolo. Cialdini señala como ejemplo el lavado de cerebro chino de los prisioneros de guerra estadounidenses, método que permitía volver a escribir la imagen de sí mismos y obtener, a través de ello, un cumplimiento u obedecimiento automático.
  • Aprobación social: las personas se encuentran motivadas a realizar acciones que observen en otros. Por ejemplo, el video de YouTube STARING AT NOTHING | PRANK | 100+ PEOPLE PRANKED IN 5 MINUTES!!!, una broma realizada por un grupo de amigos, que se detuvieron para mirar hacia el cielo; los espectadores luego miraban hacia el cielo para ver lo que se estaban perdiendo, al final se juntaron alrededor de 100 personas que estaban mirando hacia el cielo.
  • Autoridad: las personas tenderán a obedecer a las figuras de autoridad, incluso si se les pide que realicen actos objetables. Cialdini cita incidentes como los experimentos de Milgram a principios de la década de 1960 y la masacre de My Lai.
  • Simpatía: las personas tienden a ser persuadidas de forma fácil por otras personas que tiene buena simpatía o son agradables. Cialdini cita el marketing de Tupperware en lo que ahora podría llamarse marketing viral. Las personas eran más propensas a comprar si les parecía simpática o agradable la persona que les vendía.
  • Escasez: la escasez percibida generará demanda. Por ejemplo, hay que decir que las ofertas están disponibles por un «tiempo limitado» para fomenta las ventas.

Social Engineering Attack Framework

La ingeniería social cumple con una estructura que es la investigación, identificación, selección del objetivo, planificación y preparación de relación y ataque, establecer relación y empatizar con el objetivo, explotación o ataque, utilización de la información y cierre lógico.

Social Engineering Attack Framework es la metodología mejorada y basada de Social Engineering Attack Cycle de Kevin Mitnick publicada en su libro: “The Art of Deception: Controlling the Human Element of Security”.

  • Paso 1: Attack Formulation (Formular ataque)

La primera fase consiste en establecer el objetivo principal del ataque de ingeniería social, luego se debe de identificar la persona o personas para cumplir con el objetivo principal.

Para iniciar con el paso 1 se debe de responder las siguientes preguntas:

    • ¿Cuál es el objetivo principal?
    • ¿Quién o quiénes son el objetivo secundario?
  • Paso 2: Information Gathering (Recopilar información)

En esta fase se evalúa e identifican las posibles fuentes de información para realizar la recopilación y evaluación de esta.

La recopilación de información es una parte importante del ataque de ingeniería social porque la probabilidad de desarrollar una relación de confianza con un objetivo aumenta gracias a la calidad de información que se obtenga referente a dicho objetivo (es más probable que comparta información con el atacante si existe una relación entre los dos).

En pocas palabras, se debe recopilar información sobre el objetivo y todo lo relacionado con el ataque. El primer paso para esto es “identificar las posibles fuentes” a partir de las cuales se puede obtener la información. Las fuentes pueden ser cualquier sistema de información o persona con acceso a la información requerida para el ataque, pueden ser fuentes públicas disponibles, como sitios web de empresas, redes sociales, blogs y foros; o información privada que no está disponible de forma pública.

Se pueden usar técnicas como el “dumpster diving” o “buceo de basurero” la cual consiste en buscar documentos tirados a la basura en búsqueda de información privada o personal (registros médicos, extractos bancarios entre otros) que pueda ser útil para ser usado en el ataque de ingeniería social, en general se escanean todo tipo de documento que se encuentre en el basurero.

Después de recopilar información, sigue una fase de evaluación donde se considera la relevancia o no de la misma. Si el ingeniero social aún no tiene suficiente información, puede volver a identificar más fuentes y reiniciar el proceso de información.

La fase de «recopilación de información» se repite hasta que el ingeniero social esté convencido de que se ha obtenido suficiente información para que pueda comenzar su preparación para el ataque.

Este paso se divide entonces en:

    • Identificar las fuentes potenciales
    • Recopilar información de las fuentes
      • Fuentes Publicas
        • Sitios Web
        • Redes Sociales
        • Blogs
        • Foros
      • Fuentes Privadas
        • Dumpster diving
    • Evaluar la información recopilada
      • Relevante
      • No relevante
  • Paso 3: Preparation (Preparación)

En esta fase se analiza la información y se desarrolla un plan de acción para comenzar a abordar el objetivo.

Durante la preparación, el ingeniero social se asegura de que todo esté listo antes de comenzar el ataque real. El primer paso de esta fase es combinar toda la información recopilada para obtener una imagen más amplia del ataque planificado.

Esta vista combinada del escenario se puede utilizar para realizar el pretexting dónde se diseña un escenario para atraer al objetivo a una acción requerida. Un pretexting efectivo debe ser creíble y resistir el escrutinio del objetivo, a menudo se basa en la calidad de la información recopilada sobre la personalidad del objetivo.

Posterior, se desarrolla un vector de ataque; debe contener todos los elementos de un ataque de ingeniería social. El vector de ataque es el plan de ataque que conduce a la satisfacción de la meta. Tiene un objetivo y un ingeniero social. Además, el plan debe identificar un medio, principios de cumplimiento y técnicas.

De forma resumida y esquematizada, este tercer paso debería desarrollarse de la siguiente manera:

    • Combinación y análisis de la información recopilada.
      • Imagen amplia del ataque planificado.
      • Se puede construir el pretexting.
    • Desarrollo de un vector de ataque.
      • Meta
      • Objetivo
      • Ingeniero social
      • Medio
      • Principios de Cumplimiento
      • Técnicas
  • Paso 4: Develop Relationship (Desarrollar relación)

En esta fase se establece una línea de comunicación y se comienza a construir una relación.

Como he mencionado, el desarrollo de una buena relación con el objetivo es una parte esencial del ataque de ingeniería social. Si no se puede establecer la confianza, es poco probable que la información requerida se obtenga del objetivo. El primer paso involucrado en la construcción de una relación con el objetivo, a saber, el paso de «establecimiento de comunicación», el cual se ejecuta utilizando el medio identificado durante la fase de preparación. Si se ha incluido un pretexting en el plan, se utiliza junto con la comunicación inicial.

El siguiente paso en el desarrollo de una relación es el «desarrollo de relaciones». Esto conlleva la construcción real de la relación y el establecimiento de la confianza utilizando el plan ideado. Se pueden emplear varias técnicas para establecer la confianza. Este paso no es trivial y puede llevar mucho tiempo, un buen pretexting simplifica este proceso. Una vez que el ingeniero social ha establecido una buena relación con el objetivo, se puede explotar la relación para obtener la información que el ingeniero social necesita del objetivo.

En pocas palabras, debería desarrollarse de la siguiente manera:

    • Establecer la comunicación.
      • A través de algún medio.
    • Construcción de relaciones.
      • Construir una relación armoniosa.
  • Paso 5: Exploit Relationship (Explotar relación)

En esta fase se utilizan diferentes métodos de manipulación para evocar el tipo correcto de emociones y preparar el objetivo en la etapa emocional correcta, una vez esto ocurra, podremos obtener la información que deseamos. La finalidad de la preparación emocional es que el objetivo sienta bien al proporcionar información, en lugar de sentirse culpable o amenazado con hacerlo. Por lo tanto, dar información no solo será voluntario, sino que también se sentirá bien.

Explotar la relación consta de dos partes: «carnada del objetivo» y «obtención». La primera parte consiste en que el atacante utilice tácticas de manipulación, además de su preparación, para lograr que el objetivo se encuentre en un estado emocional deseado adecuado al plan, ya sea que se sienta triste o feliz. Por ejemplo, relacionarse a partir de una historia triste puede recordar al objetivo un incidente triste y, posterior, sentirse de esa manera.

Una vez que el objetivo se encuentra en el estado emocional deseado, el proceso de obtención puede comenzar. Al finalizar la fase de obtención, el ingeniero social debería haber obtenido la información requerida del objetivo. Esta puede ser una contraseña que se necesita para la satisfacción del ataque de ingeniería social.

    • Carnada del objetivo
    • Obtención
  • Paso 6: Debrief (Debrief)

En esta etapa, el ingeniero social regresa al objetivo y mantiene el estado emocional deseado. En este punto lo esencial es que el objetivo no se sienta extraño en la relación, de esta forma no podrá notar que ha estado bajo ataque. Es importante, entonces, que el ingeniero social continúe las comunicaciones hasta cierto punto, para que el objetivo no se alarme, ni se dé cuenta que se han aprovechado de él.

El hecho de reflexionar sobre el objetivo implica devolver al objetivo a un estado emocional deseado, en el paso de «mantenimiento”. Es necesario recordar que el objetivo no debe sentir que fue atacado; si está en un estado mental normal, probablemente no reflexionará demasiado sobre las actividades que tuvieron lugar. Por ejemplo, si el objetivo ha sido manipulado en un estado emocional triste y el atacante ha logrado sustraerle alguna información como una contraseña, el objetivo puede sentirse inadecuado porque ha liberado información confidencial. Este sentimiento de insuficiencia puede llevar a estados emocionales como la depresión.

Luego sigue la fase de “transición” donde el ingeniero social decide que el objetivo se ha cumplido o que se necesita más información y, por ende, regresa a la fase de recopilación de información.

Podemos resumir esta fase de la siguiente manera:

    • Mantenimiento
      • Restablecer el estado emocional del objetivo.
    • Transición
      • Objetivo Satisfecho
      • Se necesita más información.
  • Goal Satisfaction (Satisfacción del objetivo)

Después de un ataque exitoso de ingeniería social, los ingenieros sociales explotan la información que han recopilado. Como he mencionado en el paso anterior, al finalizar el ataque, el ingeniero social regresará al objetivo para obtener más información o cerrará la conexión de forma lenta y sencilla para evitar complicaciones.

Ingeniería Social Corporativa o Ingeniería Social Ético

Para realizar la ingeniería social en una empresa se utiliza la metodología Social Engineering Attack Framework en complemento con otras fases:

  • Elaboración de Informes
  • Eliminación de la vulnerabilidad
  • Concientización

Mi opinión sobre las empresas que realizan el servicio de ingeniería social

El servicio de ingeniería social en mayor parte de Latinoamérica esta en pañales, son pocas las empresas que realizan un buen servicio de ingeniera social o que realizan ataques de ingeniería social a sus propios empleados.

La mayoría de las empresas solo realizan él envió de un correo electrónico de tipo “phishing” de forma masiva, sin haber realizado todo el proceso que conlleva la ingeniería social.

Pero a su vez, aunque las empresas no han desarrollado al máximo las técnicas que proporciona la ingeniería social, los cibercriminales sí se han especializado más en esta área, de hecho, resultan ser metódicos, no desordenados, así que saben cuándo una empresa utiliza sistemas de seguridad como antispam, antiphishing, etc.

Adentrarse en el arte de la ingeniería social es conocer un poco más sobre el pensamiento humano y usarlo a favor de nosotros mismos.

¡INGENIERÍA SOCIAL! 👨🏿‍💻 🙌🧠