¿Qué táctica es la que mejor funciona para un ingeniero social del engaño? ¿Actuar como una figura de autoridad y pedir a la víctima que responda a algunas preguntas y revele información confidencial? ¿O actuar como una persona simpática y confiable que comienza una conversación amigable, y simplemente necesita que la víctima le diga algunas cosas para ayudarla?
Esa fue la pregunta que el equipo detrás del sitio web social-engineer.org realizó. Ellos acaban de publicar los resultados de una prolongada encuesta –su realización tomó meses– que presentó dos escenarios diferentes sobre cómo un ingeniero social podría intentar obtener información de una víctima.
El primero mostraba una conversación agradable y cómo ésta podía ser utilizada por un ingeniero social malicioso. El ejemplo dado fue el de un ingeniero social que intenta que unos extraños se unan a él en una conversación muy personal, realizando poco esfuerzo. Vestido en forma muy casual, utilizó un accesorio con el que pensó que atraería a las personas hacia él: un pequeño aviso con un slogan muy gracioso. Al caminar, tomando la apariencia de un turista gracias a este accesorio, pudo entablar conversaciones con las personas.
“El hecho es que nos gusta tratar con personas que son como nosotros, pero nos gusta aún más tratar con personas a las que les GUSTAMOS”, sostuvo Christopher Hadnagy, fundador de social-engineer.org y autor de Social engineering: The art of human hacking.
La conversación agradable hace que una persona sienta que le gustas y, a su vez, que tú le gustes.
La segunda historia es la de un ingeniero social que emplea el principio de autoridad. Esta persona ingresa a la oficina con herramientas de TI y una tablilla con sujetapapeles en la que se ve que se encuentra muy ocupado. Luego dirigiéndose a la secretaria, alza la voz y dice “me enviaron para revisar su conectividad de red y no tengo tiempo porque tengo que hacer lo mismo en otros 25 nodos. Necesito que se identifique en su red con su contraseña mientras veo para confirmar que se puede conectar”.
“Esto funciona porque las personas tienen miedo de perder sus trabajos y no hay métodos para que un empleado rechace un pedido así sin algún grado de temor”, explica Hadnagy. “Otros métodos, como llevar estas tablillas, parecer ocupado o tener el control, todos éstos le dan a uno un aire de autoridad que pocas personas cuestionarían”.
Los dos escenarios fueron presentados con una tercera opción que ninguno de ellos usaría.
La conversación agradable resultó ser la ganadora entre los encuestados. Fue escogida por más de la mitad de los muchos miles que respondieron la encuesta, indicó Hadnagy.
“Nosotros pensábamos que la mayoría escogería la autoridad, pero, de hecho, concordamos en que la conversación agradable funciona en más casos que la autoridad”, sostuvo Hadnagy en una sinopsis de los resultados. “Una simple palabra o acción que puede hacer que uno sienta que te preocupas por él o ella, puede ayudar bastante a construir una comunicación, confianza y relación que hará que la persona quiera darle la información que busca”.
Cuando los resultados se desagregan por género, la conversación amigable aún se mantiene en el primer puesto entre hombres y mujeres, aunque la autoridad se encontraba muy atrás en el caso de los varones. Muchas más mujeres que hombres señalaron que consideraban que la autoridad era una poderosa técnica de ingeniería social.
Hadnagy afirma que los resultados de la encuesta refuerza la concepción de que los seres humanos son criaturas naturalmente confiables. Pero es esa actitud de confianza la que ha llevado a muchos a ser víctimas de hacking.
“No estamos diciendo que no confiemos en nadie, sino que pensemos en forma más crítica”, sostuvo Hadnagy. “Las solicitudes que se le hacen, las preguntas que se le hacen, ¿tienen sentido? ¿Es realmente necesario responder a estas preguntas? El pensamiento crítico puede ayudar. En segundo lugar, obtenga información. Esté al tanto de los vectores de ataque que se están utilizando y aprenda como son utilizados. Eso lo mantendrá alerta”.
Joan Goodchild, CSO (US)