Hackeando el cerebro I: Principios de persuasión

Publicado por buguroo - 29/07/2019

La recepcionista de una gran empresa recibe una llamada telefónica. Al otro lado de la línea, una joven un poco angustiada le cuenta una historia. Hace unas horas ha tenido que salir por urgencia de casa porque su hijo se ha puesto enfermo, le cuenta que ahora están en hospital esperando a ser atendidos. La recepcionista se preocupa, pues ella también es madre, aunque todavía no sabe realmente quién es la persona que llama y por qué lo hace.

La joven angustiada le cuenta que es Maribel, la secretaria de Influences Corporation, un conocido cliente de esta empresa. Hoy sin falta, su jefe le pidió que mandara el presupuesto al jefe de contabilidad de la empresa a la que está llamando, aunque con las prisas se ha dejado el portátil donde tenía apuntado el mail de esta persona. Tiene una copia del archivo con el presupuesto en su móvil, pero no tiene la dirección de envío.

La joven cuenta que posiblemente la despida, que con su hijo enfermo ha tenido que faltar algunas veces al trabajo, que es muy difícil conciliar el cuidado de su hijo con un trabajo de tanta responsabilidad como el suyo. Evidentemente, no quiere llamar a su jefe para decirle que es una inútil y que encima está faltando al trabajo, por lo que de una forma desesperada ha decidido llamar allí por si alguien le puede facilitar el mail del jefe del departamento de contabilidad.

La recepcionista teclea unas cuantas veces y tras unos segundos le pide que anote el mail. La joven le da las gracias entre sollozos y cuelga.

Unos días más tarde, la empresa sufre una estafa por miles de euros a través del hackeo del mail del jefe de contabilidad.

Posiblemente, un hacker bueno hubiera podido conseguir, tarde o temprano, la cuenta de mail del jefe de contabilidad, pero ¿para qué dedicarle tanto esfuerzo a hackear un sistema si puedo realizar una llamada a la recepcionista? Las personas somos bastantes más accesibles y “hackeables” que cualquier sistema o máquina.

La ingeniería social se ha mostrado como una de las técnicas de hacking más potentes, simples y de bajo coste que se puedan utilizar.

 

De hecho, es una técnica usada mucho antes de que existiera cualquier máquina o el propio hacking. Básicamente consiste en obtener información de terceros para conseguir algo.

Ese algo puede ser acceder a sus cuentas bancarias, una contraseña o el mail de un jefe de contabilidad. A veces, obtener esa información consiste en influir o engañar a otra persona y en otras ocasiones simplemente observar qué teclas pulsa para escribir su contraseña o mirar el pos-it que tiene pegado en el monitor con la contraseña de entrada al sistema.

social-engineer-01

Esta última visión puede tener menos “glamour” como técnica de hacking, pero sorprendería lo que uno puede obtener simplemente observando. Lo mismo que muchos espías obtienen más información en la barra de un bar que dedicando horas y horas a interrogar a alguien, a veces un ingeniero social puede obtener una información muy valiosa simplemente rescatando de la papelera de una empresa los papeles que se tiran o aquellos que se usan por la otra cara para aprovechar el papel. A nadie se le ocurriría dejar por ahí un listado de clientes, pero si he sacado copias de más, puedo usarlas como papel reciclado para anotar los pedidos que luego dejo olvidados al lado de la máquina de café.

Pero, puestos a ser “glamurosos”, vamos a tratar más en profundidad el primer enfoque de la ingeniería social, el que usa ciertas técnicas psicológicas y habilidades sociales para la obtención de la información. Como se ha comentado antes, esto puede implicar engaño o …no tanto. Imaginemos el caso de la joven que ha llamado a la recepcionista de la empresa si su historia fuera real. Igualmente habría obtenido una información “confidencial” y la habría usado para enviar el presupuesto y salvar su puesto de trabajo. En este caso no hay engaño alguno. La ingeniería social se queda en eso, en la obtención de la información, sirva para lo que sirva posteriormente.

En primer lugar, debemos hablar de dos elementos muy simples pero básicos para entender esto de la ingeniería social.

El primero de ellos es que el ser humano es un animal social, vive en grupo y se desarrolla en grupo. La especie humana no habría podido llegar a donde ha llegado si no existiera colaboración entre sus miembros, si no se hubiera trabajado en grupo y potenciado la sinergia grupal. Esto supone que las personas estamos dispuestas a colaborar, a compartir, es parte de nuestro ADN.

El segundo elemento es algo propiamente humano, el lenguaje. La capacidad de comunicarnos a través del lenguaje nos ha permitido un gran desarrollo. Transmitir conocimiento a través de la comunicación hace que podamos aprender sin necesidad de experimentar y esto, como ocurre en la ingeniería social, nos permite ahorrar mucho tiempo.

Estos dos elementos son la base a partir de la cual podemos hacer ingeniería social. Ahora queda profundizar en las estrategias psicológicas con las que vamos a influir sobre los demás para obtener información, en las técnicas para “hackear el cerebro”.

Para ello tenemos que hablar de Cialdini, un psicólogo que se dedicó a estudiar negocios de venta de vehículos, comerciales y trabajadores de telemarketing para conocer cómo estos empleados lograban convencer y persuadir a clientes y compradores.

Este convencer se realiza principalmente a través de la comunicación. Mediante un mensaje persuasivo conseguimos que una persona se comporte como nosotros queramos, que nos compre el coche, que haga una donación a una ong o que nos facilite las claves para operar con su banca online.

social-engineer-03

La persuasión persigue un objetivo, es valorable en el sentido de que hemos sido persuasivo si finalmente conseguimos que la otra persona haga lo que queremos. Como decía Aristóteles, somos persuasivos si conseguimos que alguien haga algo que no haría si simplemente se lo pidiésemos. Es decir, la persuasión significa movilizar al otro, hacer que actúe.

Para Cialdini, hay 6 principios que guían el proceso de persuasión:

Reciprocidad

Este principio se basa en la colaboración de la que hablábamos antes y consiste en que las personas suelen tratar a los demás de la misma manera a como son tratados. Si recibimos un regalo de una persona, de una marca o de una empresa, tendremos la necesidad de corresponder haciendo otro regalo, comprando un producto de esa marca o siendo un buen empleado.

Si recibo un mail que me ofrece un descuento en unas compras a cambio de ofrecer una determinada información, nos sentiremos en deuda por ese beneficio, por lo que será muy probable que le digamos nuestro número de teléfono móvil sin rechistar.

Autoridad

En este caso, estamos más predispuesto a dejarnos influir por una persona de reconocido prestigio, éxito o autoridad. No es que George Clooney nos coaccione, manipule u obligue a comprarnos una nexpresso, es que su posición como afamado actor nos ofrece credibilidad. Si a él le gusta es que debe ser bueno.

Si recibimos un mail del director de un banco indicándonos que nuestra cuenta ha sido bloqueada y que necesitamos acceder con nuestras claves, esto nos generará más confianza para hacerlo sin cuestionarnos nada.

Coherencia

Según este principio, aceptamos mejor aquello que es coherente con nuestra forma de ser o de pensar. Nos sentimos a gusto cuando nos comportamos como pensamos que deberíamos comportarnos, cuando somos consistentes y coherentes con nosotros mismos.

Un día recibimos un mail de nuestro banco felicitándonos por ser un cliente responsable con la seguridad de nuestra cuenta bancaria. Según un estudio interno del banco, nuestra cuenta ha sido identificada como con nivel alto de seguridad y nosotros como un cliente comprometido y confiable. Días más tarde, otro mail nos aconseja actualizar las claves de acceso a nuestra banca online, para lo cual debemos pinchar en un link y generar un nuevo usuario y contraseña. Evidentemente, seremos coherente con nuestro perfil de “supercliente seguro” y picaremos el anzuelo del phishing.

Escasez

Siempre estamos dispuestos a conseguir o acercarnos a algo que es escaso o de difícil acceso. Le otorgamos un gran valor a lo que consideramos que es único o exclusivo. Por eso nos gustan las ofertas exclusivas hasta agotar stock. Esto explica también lo receptivo que somos cuando hemos sido seleccionado entre los 5 únicos usuarios que podrán descargase la última versión de nuestro juego favorito. Puede ser un troyano, pero nos quedamos con que estamos entre los 5 afortunados.

Consenso social

Consiste en acomodarse a la opinión mayoritaria aceptar o rechazar algo en función de lo que opinen los demás. Como comentábamos al principio, somos animales sociales y colaborativos, por lo que nos dejamos llevar por lo que piense el grupo. Esto es lo que hace que compremos aquellos productos que tienen buenas opiniones, aunque realmente no estemos seguros de que sea lo que buscamos.

Si recibimos noticias y mensajes contrarios a un determinado partido político, es posible que pueda influirnos en el voto de las próximas elecciones.

Simpatía

Este principio consiste en la atracción, gusto o identificación que sentimos hacia otras personas. Estamos más predispuestos a comprar una tarjeta si nos la vende un comercial atractivo o a seguir los consejos de un familiar. Esto explica por qué nuestra recepcionista le dio el mail del jefe de contabilidad. Se identificó con la chica y con sus problemas, con lo cual fue persuadida a dar esta información que nunca hubiera salido de sus labios sin ese mensaje persuasivo.

La ciberseguridad debe conocer estas estrategias, aunque hay que decir que es difícil luchar contra la ingeniería social como herramienta hacking, pues supone luchar contra lo que somos, contra formas de pensar o de comportarnos que son propias del ser humano. Lo único que nos queda es ser consciente de que nuestro cerebro también puede ser hackeado y que necesita nuestros específicos antivirus, firewall...

Hay que recordar que las personas siempre seremos el eslabón más frágil de la ciberseguridad.

 

Temas: Psicología cibercriminal, Cybersecurity

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Hackeando el cerebro II: Superando el firewall

read more

Un nuevo troyano bancario “BANKER RTC PORTAL” ataca a bancos latinoamericanos y europeos

read more

Hackeando el cerebro I: Principios de persuasión

read more