Conceptos básicos de ingeniería social
¿Qué es la ingeniería social?
En pocas palabras, la ingeniería social es el arte de la manipulación y la Misdirection. El objetivo de un ingeniero social es hacer algo para lo que no está autorizado. Esto incluye todo, desde robar información confidencial hasta obtener acceso a un área restringida.
Lograr esto requiere asegurarse de que el objetivo, o “marca”, no se dé cuenta de lo que está haciendo el ingeniero social. O, al menos, no tome ninguna medida para detenerlo.
Cómo funciona la ingeniería social
La ingeniería social es esencialmente mentira y manipulación. Hecho correctamente, un ingeniero social puede lograr todo lo que puede hacer el hacking tradicional. A menudo, con mucho menos trabajo. Al prepararse y realizar un ataque de ingeniería social, hay algunos consejos y trucos útiles.
Conoce tu objetivo
Una de las partes más importantes de la ingeniería social es conocer tu objetivo. Esto incluye saber tanto como sea posible sobre qué información o acceso estás tratando de obtener y la persona de la que estás tratando de obtenerla.
Destilar todo a una sola pieza de información puede hacer que un trabajo de ingeniería social sea mucho más simple y efectivo. Si necesitas hacer muchas preguntas diferentes, te volverás sospechoso, lo que puede llevar a un ejercicio de ingeniería social a un final repentino.
Simplificar lo que deseas, hasta la cantidad de información más simple posible, puede requerir algunos modelos de ataque. En muchos casos, se puede adquirir una recopilación de información a partir de un único dato. Por ejemplo, el acceso a una cuenta de correo electrónico puede proporcionar una gran cantidad de datos valiosos. Esto solo requiere el conocimiento de la contraseña del usuario.
Adquirir la información de manera sutil a menudo requiere conocer el objetivo. Hay una variedad de diferentes enfoques de ingeniería social. Saber cuál intentar depende del conocimiento de la persona. Investigar por adelantado puede aumentar dramáticamente la probabilidad de éxito en la ingeniería social.
Mantenlo sutil
Un ejercicio de ingeniería social solo tiene éxito si la empresa no se aplica en el proceso. Los ingenieros sociales están pidiendo algo que no se les debería permitir tener. Si la empresa se da cuenta de esto, pueden negar fácilmente el acceso.
En la mayoría de los casos, un aspecto clave para mantener la ingeniería social sutil es ocultarlo en la conversación. Si bien una sola pregunta extraña puede generar sospechas, un objetivo podría ni siquiera notar la pregunta crítica. Esto si faltan unos minutos en una conversación y el ingeniero social y el objetivo han establecido una buena relación.
Una forma de evaluar si este nivel de relación es suficiente (y si la calificación es lo suficientemente cómoda como para responder preguntas inusuales) es hacer algo personal. Dependiendo de si y cómo responde el objetivo, el ingeniero social puede tener una idea de si una pregunta será exitosa antes de hacerla.
Otro concepto importante es el efecto de posición serial, que dice que es más probable que alguien recuerde el primer y el último elemento de una lista. Al hacer una serie de preguntas para obtener una sola respuesta, entiérralo en el medio de la lista para minimizar las posibilidades de detección.
No solo hablando
La ingeniería social se basa en manipular la comunicación, pero hablar no es la única forma en que los humanos se comunican. Nos comunicamos a través del lenguaje corporal. Asimismo, el tono de voz y más, y para que un ingeniero social tenga éxito, estos deben coincidir con el mensaje. De hecho, algunos trabajos de ingeniería social se pueden realizar sin decir una palabra.
Para un ingeniero social, algunos conjuntos bien elegidos pueden ser una herramienta invaluable. Un buen traje, un paso rápido y constante y un teléfono celular puede (literalmente) abrir puertas.
Algún empleado útil puede confundir al ingeniero social como alguien de la gerencia con prisa y cortésmente abrir la puerta. Se puede lograr un efecto similar con una carga pesada y el uniforme de un cartero o de varias maneras diferentes. Por ejemplo, puedes elegir una empresa privada y simular ser un empleado de encomiendas.
Durante una conversación, la apariencia y el lenguaje corporal de un individuo también deben coincidir con la persona que está simulando. Un ejecutivo puede salirse con la suya dando órdenes autoritativamente, pero el interno de la oficina no puede. Preparar y practicar una buena personalidad para un trabajo de ingeniería social puede hacer que todo sea más fácil y más efectivo.
Ingeniería social y hacking ético
En algunos casos, la ingeniería social se coloca fuera del alcance durante un compromiso de hacking ético. A mucha gente no le gusta la ingeniería social porque implica mentir al objetivo y puede dañar la relación entre los empleados de una empresa y su administración.
Esto es especialmente cierto si la evaluación se maneja mal. Los empleados tienen la sensación de que la compañía estaba tratando de engañarlos para que se comporten mal.
Sin embargo, los ejercicios de ingeniería social son un aspecto vital de las evaluaciones de hacking ético. Más del 99% de los ataques cibernéticos requieren interacción humana. Esto porque, en la mayoría de los casos, es mucho más fácil engañar a una persona que engañar a una computadora.
Es poco probable que un atacante que intenta robar millones de dólares de una empresa tenga escrúpulos sobre engañar a algunos empleados en el proceso. Como resultado, los hackers éticos necesitan ayudar a los clientes a aprender a identificar y responder adecuadamente a los intentos de ingeniería social.
Conclusión: debes convertirte en un ingeniero social efectivo
La ingeniería social es el arte de la manipulación. El éxito en la ingeniería social depende de comprender qué hace que las personas hagan cosas. también depende de cómo incentivar a alguien a hacer algo que no sea lo mejor para sus intereses. La gente hace cosas que no están en su mejor interés todo el tiempo. La clave es hacer que lo que el ingeniero social quiere parezca atractivo.
Existen varios recursos diferentes sobre ingeniería social y definitivamente vale la pena leerlos. Sin embargo, nada puede reemplazar la práctica.
La comunicación es una vía de doble sentido. Los ingenieros sociales deben pensar sobre la marcha para asegurarse de que el objetivo escuche el mensaje que desean enviar. No puedes aprender eso de un libro.