La ingeniería social se define como «el acto de influir en el comportamiento de persona para que esta ejecute una acción» y, en la mayoría de los casos, no es favorable para la «víctima».
Se trata de un compendio de técnicas que se basan en los principios de la psicología aplicada, sin embargo, introducen elementos tecnológicos que hacen que sean especialmente peligrosas para las empresas.
El Social Engineer Framework (SEF) es uno de los recursos más completos en el campo de la ingeniería social y, entre otras cosas, define las herramientas y tácticas que permiten persuadir, engañar y manipular.
Aunque puede parecer algo negativo, lo cierto es que los seres humanos utilizamos este tipo tácticas continuamente en la interacción con otros.
No siempre con el objetivo de «dañar», pero sí para obtener algún tipo de beneficio.
Las metas típicas de un ingeniero social son las siguientes:
• Dinero o juegos de estatus
• Apoyar o defender una causa
• Entretenimiento
• Conocimiento
• Ego
• Envidia o venganza
Un ingeniero social entiende la forma en la que el objetivo se comporta y piensa.
Sabe qué es lo busca y le reporta satisfacción, así como aquello que teme y evita.
En otras palabras, las técnicas de ingeniería social más efectivas se centran en la parte más primigenia del cerebro humano, el subconsciente, esas zonas de la mente que hacen que alguien actúe de una forma determinada, aunque no sea la más racional o inteligente.
Los seres humanos evaluamos cada situación en función del beneficio, oportunidad o amenaza.
Si consideramos que una situación puede reportar algún tipo de ventaja, la aprovechamos. Si, por el contrario, representa una amenaza, la evitamos.
Los ingenieros sociales «juegan» con las emociones y tienen conocimientos sobre hacking, por ese motivo, pueden llegar a ser muy peligrosos para los empleados de una organización.
¿Cuáles son las técnicas más comunes de la ingeniería social?
• Phishing: Técnicas que pretenden engañar a un usuario por medio de correos electrónicos fraudulentos. El objetivo de estos mensajes es el de persuadirle para realizar una acción, como hacer click en un enlace o descargar un fichero.
• Suplantación: Consiste en engañar a un usuario haciéndole creer que se está comunicando con una persona o sistema de confianza.
• Pretextos: Es una técnica que busca crear un escenario inventado para hacer creer a la víctima que se encuentra en una situación legítima, pero que, en realidad, ha sido creada por el ingeniero social para forzar la ejecución de una acción.
• Elicitation: Se trata de un término cuya traducción al castellano más cercano es «sonsacamiento». Se basa en las técnicas que permiten construir confianza con la víctima y, a continuación, realizar preguntas aparentemente inofensivas y sin mala intención, pero que le permiten al ingeniero social recolectar información.
• Microexpresiones y programación neurolingüística (NLP): Una microexpresión es una expresión corporal involuntaria y momentánea, la cual expresa las emociones que una persona siente en un determinado momento. Estos movimientos son difíciles de controlar y un buen observador los podrá identificar. Por otro lado, la NLP es una rama de la inteligencia artificial orientada al procesamiento e interpretación del lenguaje humano, tanto en formato de texto y voz como en imágenes.
• Influencia y persuasión: El objetivo de estas técnicas consiste en influir en el comportamiento de una persona mediante la persuasión y manipulación. Típicamente, estas técnicas emplean elementos como la presión, urgencia y un beneficio inmediato que la víctima no puede ignorar fácilmente. Son muy habituales en el mundo de las ventas y el marketing.
Aunque el contexto de estas técnicas suele vincularse con actividades desempeñadas por ciberdelincuentes, hay que tener en cuenta que no siempre es así.
El conocimiento es fundamental para no caer en engaños y evitar las consecuencias de este tipo de ataques.
En este sentido, es altamente recomendable leer los libros de Christopher Hadnagy y el Social Engineering Framework.
Recuerda que tienes todas las formaciones y packs de The Hacker Way.
Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.
Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos
Por otro lado, puedes registrarte en la comunidad THW: https://comunidad.thehackerway.es/registro
En este sitio web recibirás anuncios sobre ofertas de trabajo y novedades del sector, además podrás participar en los foros y chat.
Puedes acceder a los cursos cortos y artículos con una suscripción: https://comunidad.thehackerway.es/suscripcion
Los contenidos a los que tendrás acceso te serán útiles para comprender por qué no consigues trabajo en el sector o mejoras profesionalmente y, por supuesto, proponerte ideas para mejorar esa situación.
¡Un saludo y Happy Hack!
Adastra.