Hackeando humanos : Influencia y manipulación para la Ingeniería Social

Este es quizás el articulo mas controversial de mi blog, pero quisiera mostrarles mediante ejemplos el poder de la Ingeniería Social, una de las herramientas mas poderosas para conseguir información a la cual no estamos autorizadas , es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.



Esta es una de las ramas del hacking que es mi favorita y usándolo genialmente se puede evidenciar que es incluso aun mas poderosa que cualquier herramienta de pentesting. Me gustaría plantear dos términos muy importantes y de esta manera explicar de una manera mas clara lo que podemos hacer con esto. Muchas veces, la palabra influencia y manipulación son arrojados alrededor indistintamente. En esta publicación me gustaría pasar algún tiempo discutiendo influencia y manipulación y comparar y contrastar los dos., ejemplificando algunos casos de uso ¿Cuándo se debe utilizar la manipulación? ¿Qué es más beneficioso? ¿Hay efectos negativos asociados con ambos? Los dos conceptos están estrechamente relacionados y que para el común de las personas pueden aparecer los mismos. Comencemos por la definición de los dos términos : 

Influencia : La influencia es el proceso de conseguir que otra persona quiera, piense, reaccione de la forma en la que uno desee. Fuente: Chris Hadnagy, "Ingeniería Social: El arte de hacking humano"
Manipulación : Se puede definir como ejercer influencia tortuosa para el propio beneficio. 




Ahora que hemos definido estos términos vamos a introducirnos mas a cada uno de ellos y de esta manera ejemplificar las maravillas que podemos conseguir con todo esto. 



Influencia : 

La influencia puede venir de la mano con muchos otros términos los cuales en conjunto enriquecen el acto. 

Influencia + Reciprocidad : La reciprocidad se puede resumir simplemente como la "regla de oro" o tratar a los demás como te gustaría ser tratado. Cuando le damos a alguien un regalo, es natural que se sienten en deuda con nosotros. Este sentimiento de endeudamiento provoca reciprocidad en su objetivo y los hace mucho más probable que cumpla una solicitud. 

Vamos a poner un ejemplo : Yo hago un favor previo a un encargado de sistemas, un favor que previamente yo sè que el necesita, en ese momento esta persona se siente en deuda conmigo para luego yo pedirle otro favor inmediatamente en la cual puede estar lo que estoy buscando :  "Puedes pasarme la lista de correos de.." "Puedes darme acceso a tal sistema solo un rato.." 
Hay un articulo muy interesante en este enlace "Dar para recibir"






Influencia + Obligación : La obligación principal es muy similar a la reciprocidad, pero en lugar de sentirse en deuda con alguien y la necesidad de devolver el favor, la sensación se genera a partir de verse obligado social o  legalmente a responder. Por ejemplo, decir "gracias" cuando alguien dice algo agradable es un ejemplo de obligación provocada por las normas sociales. ¿Cómo podemos usar obligación como un ingeniero social? Simplemente hacer una pregunta. Su objetivo, al ser interrogado, se sentirá la obligación de responder. Sería muy extraño si le preguntas a alguien algo y que ese objetivo solo permanezca en silencio mirándolo a usted.. ¿Es muy extraño no? Su objetivo se sentirá obligado a divulgar también alguna información.

Se me ocurre un ejemplo...Recuerdo hace unos años en una conversación con el encargado de sistemas de un reconocido banco del pais le pregunte fríamente algunos datos de la infraestructura de su red a lo que el respondió casi por instinto la marca y su principal proveedor de firewall, como buenos ingenieros sociales no tenemos que tener temor a preguntar


Influencia + Concesión :  


Concesión es el acto de renunciar a algo que quieres, o parecer que desee, por lo que su objetivo renuncie a algo que ellos quieren. Esta técnica se utiliza todos los días en las ventas. Una buena manera de utilizar concesión es comenzar con un pedido grande. Algo mucho más de lo que realmente quieres. Cuando su objetivo declina, usted dice: "ok, ¿qué tal esto ..." y le pide algo más pequeño a su alcance. Solo es psicología humana :)



Influencia + Autoridad : 

Se nos enseña desde pequeños a respetar la autoridad y para escuchar a los que están en posiciones de autoridad sobre nosotros. Como ingeniero social, posicionarse como una autoridad por encima de su objetivo puede ser de gran ayuda. Se me ocurre algo :


Que les parece...Llamar a un empleado del centro de llamadas fingiendo  ser un miembro Senior IT, o guardia de seguridad y pedirle iformacion confidencial. El tono de voz, la ropa, el lenguaje corporal, y puesto de trabajo son todas las cosas que un ingeniero social puede utilizar para ganar influencia a través de la autoridad.

Manipulación : 



Influencia y manipulación están estrechamente vinculados, la diferencia es cuando un ingeniero social utiliza la manipulación, el objetivo es introducir el estrés, la ansiedad o malestar a su objetivo en un esfuerzo por lograr el objetivo deseado. Es importante señalar que si bien las tácticas de manipulación trabajan, a menudo de manera muy eficaz, introducen su blanco a los sentimientos negativos. Estos sentimientos negativos hacen que sea extremadamente difícil continuar utilizando el blanco como fuente de información. Si su objetivo es utilizar su objetivo como una fuente permanente de información confiable les advierto que se debe tomar precaución del uso que se le de.

Del mismo modo que la influencia, la manipulación puede ir de la mano con diferentes tecnicas que a lo largo de mi experiencia he analizado.

El aumento de la susceptibilidad :



Muchas veces bajo estrés, la gente va a ser más susceptibles a la sugestión y la manipulación. Como ingeniero social, tendrá que aumentar el nivel de estrés de tu objetivo, alterando sus emociones. El miedo y la ira son emociones que son buenos en el aumento de la tensión en un objetivo.

Control ambiental : 

Control ambiental se refiere a la manipulación de su entorno bajo falsos pretextos que provocarían su objetivo de actuar de una manera que él o ella normalmente no se comportaría. Por ejemplo, el uso de una mujer sexualmente atractiva para seducir y tal vez participar en la actividad sexual (especialmente si el objetivo es casado) . El fin aquí es la extracción de información e incluso chantaje.


Como han podido entender en este articulo muchas veces el eslavon mas débil de la cadena de seguridad de cualquier sistema es el propio ser humano y podemos aprender a hackearlo sin la necesidad de atravesar barreras de costosas herramientas de seguridad, como ya lo saben el hacker mas famoso del mundo dijo que su mayor habilidad radicaba en la ingeniería social...



Powered by Blogger.