jueves, 16 de junio de 2022

Ingeniería social a la ingeniería social

 Por Marvin Soto

La ingeniería social es el arte -podríamos incluso verla como ciencia-, de manipular hábilmente a un individuo para que realice una acción que puede o no ser lo mejor para su propio peculio.

Para lograr la efectividad de la ingeniería social, usualmente se requiere una recogida de información que ayude a hacer creíble la manipulación, presupuestando en el arsenal mucha información del objetivo, en todo tipo de fuentes abiertas o en bases de datos que se supone, son custodiadas por “tenedores de confianza”. De cómo nos datifican, mucho he escrito antes.

Usualmente tipificamos la ingeniería social como un arte para la comisión de delitos, pero eso no es del todo cierto. La razón es simple… usted como individuo o como “objetivo” TODOS los días es manipulado de múltiples formas sin que, en tu imaginario, veas esa manipulación como algo malo o como un delito. A ver, analicemos algunos ejemplos:

  • La maquinaria de mercadeo empresarial que estimula con conocimiento acumulado previo nuestros hábitos de consumo, sacando tu dinero de tu bolsillo. ¡Caiste!
  • Los profesionales que usan información de sus clientes para engrosar sus captación de mercado.
  • Las aseguradoras con estrategias de bienestar o miedo para que compres seguros con clausulas imposibles, porque ¡debes vivir mejor y pensar en el futuro!
  • Los políticos y sus argucias para ganar tu adhesión o tu voto aun con estrategias perversas y difamadoras, presentadose como ¡la panacea, el non plus ultra, el menos malo!
  • Los empleadores, que te saben o averiguan la vida y estudian como llevarte por el camino que le conviene o en su defecto, se inhiben de contratarte.
  • Las redes sociales y sus cajas de resonancia, que te perfilan y te meten sus contenidos en razon de tu comportamiento en linea y venden tus datos sin considerar cuanto te afectan.
  • El gobierno que esconde verdades en falsas verdades como estrategia de manipulacion masiva o de fractura social.
  • El banco que busca monetizar contigo a toda costa y te mantiene a tope, respirando a traves de una pajilla, trabajando para ellos.
  • Incluso tus hijas(os) que te hackean diariamente para que cedas a sus demandas.

Podríamos extendernos en estos ejemplos, sin dudas a cada uno de ustedes se le vienen a la mente más. En serio, seriamos ingenuos y/o muy inocentes –cosa que dudo-, creyendo que la ingeniería social es por defecto la plataforma para la comisión de delitos. La amalgama hace encajar por intereses lo que es o lo que no es… diríamos, ¡mera conveniencia!

¡Y no!, no es una práctica reciente. Solo como ejemplo y solo con fines ilustrativos; ya Lucifer andaba haciendo de las suyas “aparentemente” por allá en el cielo y la humanidad –según el relato conocido-, fue víctima de sus estratagemas de ingeniería social. También es cierto que la ingeniería social es egoísta y busca que esa manipulación sea un negocio en donde solo quien engaña, sea el que se beneficie.

Aclarado el punto de que TODOS somos continuamente objeto de alguna forma de ingeniería social, pareciera que la misma es algo de lo que no nos hemos librados en milenios, por lo que se deduce que lo que procede es saber identificarla. No es ciencia de cohetes, es malicia, conciencia activa y análisis mesurado y lejos de cualquier prisa, ansiedad, miedo u oportunidad.

A efecto de aportarles, hablare en el contexto de la tecnología, sobre algunos tipos de ingenieros sociales que caminan a nuestro lado diariamente en el ciberespacio.

Primero, los llamados ciberdelincuentes o delincuentes informáticos, mismo que surgen a medida que el software moderno se vuelve más difícil de penetrar, es más desafiante o bien difícil de manipular, así que nuestros oscuros vecinos recurren a las habilidades de ingeniería social, mediante técnicas de phishing, smishing, vishing, etc.

Luego aparecen los espías que, como buenos ingenieros sociales, se granjean datos creíbles de sus víctimas para generar credibilidad y “engañarlos” haciéndoles creer que son alguien o algo que no son. Estoy seguro que alguien les ha llamado o escrito un correo para hablarles de una herencia, un sorteo inesperado, un incidente en sus cuentas de banco, un deposito erróneo, entre muchas técnicas empleadas por los ignotos.

Pero, ¡hay peores! Que tal los ladrones de identidad que utilizan información como el nombre de una persona, números de cuenta bancaria, dirección, fecha de nacimiento y número de seguro social sin el conocimiento del propietario. Hace poco en Costa Rica conocimos en noticias de un joven que ni siquiera sale de su casa y ha sido condenado y es perseguido por la justicia. Claro, no es que el caballero sea el malo, es que un extranjero ilegal e indocumentado robo su identidad y sospechamos que no para buenos fines.

Que tal ese empleado descontento que entra en una relación conflictiva con su empleador. Todo parece estar bien después del incidente, porque este tipo de ingenieros sociales ocultan su nivel de disgusto para no poner en riesgo su empleo, pero recurren al robo de propiedad intelectual, secretos, bases de datos, etc., o también recurren a acciones vandálicas como el daño de sistemas o recursos organizacionales u otros delitos como alguna acción vengativa. Típicamente se les conoce como insiders.

Los estafadores impulsados ​​por la codicia o el deseo de “ganar dinero” de forma fácil, dominan la capacidad de leer a las personas para apuntar a una víctima vulnerable. Suelen usar la conmiseración o la necesidad imprimiendo sentido de urgencia o de oportunidad. ¡Mucho ojo y muy atentos los sentidos! Los hay en abundancia y han migrado al ciberespacio.

Ha aparecido con mucha recurrencia los reclutadores de ejecutivos. Estos sí que suelen ser muy hábiles no solo para leer a las personas, sino también para comprender qué las motiva, para complacer tanto al buscador de empleo como al anunciante. Roban datos sensibles, incluso piden pagos para acelerar el supuesto proceso de contratación.

Que tal los vendedores. El uso de sus habilidades para averiguar cuáles son las necesidades de las personas y luego presentar soluciones mágicas con fines de engaño. Muy frecuentes hoy día en las estafas piramidales o esquemas Ponzi, que afilian con fines de inversión en mercados volátiles como las criptodivisas, las acciones y supuestos productos con ganancias exponenciales y/o residuales. También en esos productos, medicamentos o bienes suntuosos a precios de risa.

Increíble, pero si, también debemos hablar de los gobiernos como maquinarias de ingeniería social. En Costa Rica, hemos vivido algunos episodios como el una tal “Unidad Presidencial de Análisis de Datos” utilizada “aparentemente” para controlar mensajes que intercambiaban ciudadanos, sujetos de interés e incluso otros políticos o detractores del gobierno. Esto no siempre es negativo, ya que puede ser que el control de algunos mensajes sea para el bien común o con fines de persuasión obtusa.

Claro, en Costa Rica no debería ir tan lejos dada nuestra tradición pacifista y democrática. Aunque todos sabemos, que cuando los políticos quieren evitar hablar de algo, recurren al “lenguaje de madera”, es decir; “el arte de hablar sin decir nada”, un estilo del discurso comunista usado mucho hoy día incluso por políticos de derecha con frases como “una cosa es una cosa y otra cosa es otra cosa”, “aquí tenemos una línea y a este lado tenemos otra línea, pero esta de aquí –otra línea imaginaria-, no se alinea”, “siempre que pasa igual, sucede lo mismo”.

Fuente: EC-Council

También muchos profesionales “vivillos” usan tácticas de sonsacamiento, como mampara en entrevistas o interrogatorios como principios psicológicos de la ingeniería social, cuyo fin es manipular a sus objetivos en la dirección que ellos quieren. Por ejemplo, que decidan contratar adquirir un bien o contratar un servicio que en circunstancias naturales no contratarían. Aprovechando el momento para meter “el diez con hueco” –es decir; para engañar-, a su objetivo.

En resumen; hay muchos más actores de amenazas o tipos de ingenieros sociales. Bien establece el Foro Económico Mundial en el Global Risk Report publicado en Enero del 2022, que el 95% de los incidentes de ciberseguridad ocurren debido al error humano, por supuesto muchos de ellos como víctimas de alguna técnica de ingeniería social.

Tomado de Marvin G. Soto con permiso de su autor


No hay comentarios: