¿Cómo #@$%”&& hace alguien para obtener tu contraseña?

Hoy te contamos de una de las técnicas de hacking más admirables y exitosas.

Aunque a la lectora pueda parecerle un atropello que quien escribe considere la ingeniería social como algo admirable, no es mi intención que comparta la postura, sino que se informe al respecto con el objetivo de no ser víctima de este tipo de técnicas, o al menos, no serlo de forma involuntaria.

Partamos desde lo básico: la ingeniería social no es sólo inherente al mundo informático, puesto que no se trata de la utilización de tecnologías, hardware, redes, softwares y cuestiones por el estilo, sino de utilizar determinadas características de las personas para obtener una determinada información. Los famosos secuestros telefónicos o las técnicas que utiliza Facebook para que traiciones a tus amigas, son también ingeniería social.

La ingeniería social es una técnica, no un hecho en sí.

En mi opinión, una de las más brillantes phreakers de la historia fue también una de las más brillantes ingenieras sociales, me refiero a Kevin Mitnick, te recomiendo leer su historia (aquí hicimos hace un tiempo una reseña), pues resulta apasionante. La ingeniería social es un conjunto de técnicas que se utilizan para manipular a una persona y lograr obtener información confidencial.

Kevin Mitnick, desarrolló cuatro máximas de la ingeniería social:

  1. Todas queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia la otra.
  3. No nos gusta decir No.
  4. A todas nos gusta que nos alaben.

Estos cuatro principios van a ser las ganzúas con las que correr el cerrojo de la información confidencial de una persona. La ingeniería social es utilizada por muchísima gente, pues es una forma que nos permite captar información de una persona sin que ésta se de cuenta de que ha sido manipulada, ni antes ni después. Se trata de prácticas humanas.

Una vez obtenida la información buscada, supongamos, una contraseña, la ingeniería deja de ser aplicada porque el objetivo está cumplido

Mitnick se planteaba que si fuera posible hacer un sistema perfecto, éste continuaría siendo inseguro porque existen personas usándolo. No lo dijo textualmente, pero sí a lo largo de varias entrevistas. La ingeniería social aplicada al hacking es algo así como hackear personas. Bajo el concepto estricto de ingeniería social, no existe un límite ni tipificación de la información a obtener, pero sí un límite del ejercicio de ésta: una vez obtenida la información en cuestión, supongamos, una contraseña, la ingeniería deja de ser aplicada porque el objetivo está cumplido, lo que se haga con la información obtenida es una cuestión totalmente distinta, y apartada, de las prácticas de la ingeniería social.

¿Cómo hackeamos a las personas?

La navaja social creada por Mitnick nos da un paneo muy importante sobre por dónde comenzar a movernos. Lo importante es cuán preparadas estemos y qué herramientas tengamos para procesar la información que vayamos obteniendo. Así como son la sutileza y la verosimilitud las que nos darán credibilidad, hay información escondida dentro de la información que nos dan las personas y debemos saber decodificarla para ser buenas ingenieras sociales. Llamar por teléfono a alguien, presentarse como una vendedora de autoplanes 0km, por ejemplo, es muy útil para saber si alguien tiene una suma igual o superior a $30.000 en su poder. Ese dinero es una cifra común que se ofrece como mínimo para comprar un auto 0km financiando el resto.

El valor de la cuota nos dirá cuánto gana en promedio una persona, o al menos cuánto puede pagar por mes, y en caso de que alguien esté más que interesado, podemos comentar que nuestro trabajo es ofrecer los planes, pero que estamos en otra provincia y que para ver financiamiento en particular le llamará otra persona. Pedimos los datos que no tenemos (el fijo y el domicilio ya lo tenemos) como documento, profesión, grupo familiar y horario de contacto, y ya tenemos todo un compendio de datos con los que procurarnos una buena estafa o un asalto.

Pongo ese ejemplo porque las llamadas ofreciendo planes para comprar autos 0km son de las más habituales, pero hay en realidad preguntas más finas que nos darán mucha más información.

Si hablamos del mundo informático, es común encontrarse en Facebook con encuestas del tipo: “creés que fulanito asistiría a una marcha por la paz?”, u otras más simples: “completa tu perfil” y ponés tu celular, nivel educativo, qué música y películas te gustan, dónde vivís, dónde naciste, quiénes son tus madres, quiénes tus mejores amigas y demás datos que sirven a Facebook para venderte más cara a sus auspiciantes.

Volviendo a las máximas de Mitnick, hay dos que son fundamentales: la tendencia a confiar y la voluntad de ayudar, adular a las personas sin que estas desconfíen requiere de mucha sutileza y carisma, por último, viene la máxima de que no es agradable decir que “no”. Si esto último te suena raro, cotejalo con tu actitud cuando algún grupo religioso toca tu puerta para hablarte de que las morcillas son diabólicas, que tenés que donar un porcentaje de tu sueldo a la iglesia y sacrificar todos los domingos que te quedan de vida yendo a misa. Cada uno de esos puntos pueden parecerte dispensables, pero lo cierto es que aún así, podés no estar interesado/a y en ese caso, pedirle a este grupo que se vaya te va a resultar incómodo, aunque se trate de una publicidad religiosa no solicitada y que estas personas estén invadiendo tu espacio.

Esta tendencia a confiar es la que hace que si alguien nos llama por teléfono y nos dice que es una encuestadora, le creemos. Si alguien además nos dice que le faltan las últimas dos encuestas para irse a su casa, entonces tenderemos a tratar de responderlas, sólo para ayudar a esta persona que quiere descansar.

Existen varios trabajos sobre Ingeniería Social, son todos muy interesantes y te los recomiendo, pero hay uno bastante conciso (algo difícil en este tema) en Hackstory.net del que extraigo las técnicas de Ingeniería Social que siguen.

Técnicas de Ingeniería Social

Tres tipos, según el nivel de interacción del ingeniero social:

Técnicas Pasivas

  • Observación

Técnicas no presenciales

  • Recuperar la contraseña
  • Ingeniería Social y Mail
  • IRC u otros chats
  • Teléfono
  • Carta y fax

Técnicas presenciales no agresivas

  • Buscando en La basura
  • Mirando por encima del hombro
  • Seguimiento de personas y vehículos
  • Vigilancia de Edificios
  • Inducción
  • Entrada en Hospitales
  • Acreditaciones
  • Ingeniería social en situaciones de crisis
  • Ingeniería social en aviones y trenes de alta velocidad
  • Agendas y teléfonos móviles
  • Desinformación

Métodos agresivos

  • Suplantación de personalidad
  • Chantaje o extorsión
  • Despersonalización
  • Presión psicológica

Por otro lado te cuento que factores como la curiosidad, el miedo o la “buena onda” son tres de las tácticas más importantes de ingeniería social. La primera es obvia: ofrecerte algo que genere en vos la acción de cumplir con la pauta que se te está dando (ej: un email con el asunto “balance” y en el cuerpo algo del estilo: “te envío el balance de cuentas de la empresa, tratá de no divulgarlo porque hay muchos datos que no cierran), el miedo es la táctica más difundida por antivirus, gobiernos imperialistas, y por lo general, todos los grupos que pueden ponerse en el arco político de derecha, gente que vive de tu miedo. La buena onda tiene por principal objetivo generar un lazo de confianza, de complicidad, y si bien puede generarse haciéndose pasar por alguien (falseando una identidad, cosa muy simple en la red), lo más común es tratar de no levantar sospechas, por lo que, por ejemplo, enviarte un mensaje “equivocado” en Facebook puede ser una muy buena puerta para entablar una relación con estos fines a partir de un suceso “azaroso”.

En fin, es una temática que no se agota en una nota, pero ya tenés un buen paneo y podemos otro día hablar de casuística y grandes ingenieras sociales. Por el momento, insisto en recomendarte a Kevin Mitnick.

¡Happy Hacking!

-Share this page-
submit to reddit Hire a Professional Programmer

Periodista, ex directora de algunos medios, ex docente, ex trabajadora, ex uberante. Productora musical, militante social, murguera, programadora, diseñadora. Hacker. @PabloLozano13

compartí, discutí, comentá

Deja un comentario

Loading Facebook Comments ...