Qué es la ingeniería social y en qué principios se basa

La ingeniería social no es algo nuevo que haya aparecido con Internet ni muchísimo menos, es tan antigua como la propia existencia humana pero es cierto que los cibercriminales han encontrado en el uso perfeccionado y adaptado de estas técnicas el caldo de cultivo ideal para hacer picar a más y más usuarios en sus engaños.

Es algo que estuvimos analizando con detalle en el ciberdebate ‘Ingeniería social el arte de atacar al eslabón más débil‘ y que está muy presente en muchos otros ciberdebates y charlas ya que está claro que es uno de los pilares fundamentales en los que se sustenta la industria del cibercrimen. Basta echar una mirada a la historia del spam o la historia del ransomware por ejemplo.

En esta ocasión he considerado oportuno recoger en un minivídeo disponible a continuación junto con el podcast y la transcripción del mismo, la definición de ingeniería social que hizo Pablo F. Iglesias (@PYDotCom), analista de información en nuevas tecnologías y seguridad informática.

Toca saber qué es la ingeniería social y los principios en los que se sustenta y aunque solo los nombró y no entró en detalle en cada uno de ellos, aconsejo que leáis esta entrada suya en la que sí los describe para ampliar la información www.pabloyglesias.com/mundohacker-ingenieria-social

¿De qué hablamos cuando hablamos de ingeniería social?

La ingeniería social es el arte del engaño. Entonces yo por incluir una pincelada más si es verdad que yo creo que podemos diferenciar la ingeniería social en dos tipologías distintas una sería el Hunting que es obtener una información específica o información o una acción específica de una persona y desaparecer. O sea la idea es que esa persona no se de cuenta que ha caído en una trampa ¿no?

Y en el lado contrario tenemos el Farming que sería pues intentar establecer una relación con esa persona para exprimir al máximo lo que podamos obtener de esa persona de la víctima durante mucho tiempo.

No sé, son dos manera distintas de actuar pero bueno todas buscan lo mismo encontrar alguna manera de hacer que otra persona te de información o realice una acción específica.

A mí me gusta decir siempre que la ingeniería social tiene de ingeniería solo la parte metodológica. Tú aplicas una serie de técnicas para obtener un fin pero, pero si te fijas en realidad la ingeniería social no deja de ser lo mismo que hace un actor para que nos creamos su papel o que hace un político para que lo votemos o hace cualquier persona que te quiere vender algo para que no se lo compres a la competencia. Es decir, tiene un papel fundamental todo lo que son las actitudes sociales y eso es innegable.

Tú ves que algunas campañas de phishing que dices tú pero bueno es que esto cómo puede caer alguien y en cambio ves otras que dices hombre a lo mejor me pillan en un mal momento y yo qué sé. Entonces sí por supuesto dotes sociales, actitudes, la labia también cuando son de cara a cara o vía telefónica el tener esa facilidad de palabra y ser convincente, creerte lo que estás diciendo, ser buen actor o buen político. 

Hay seis principios, por supuesto habrá muchos más pero bueno básicamente está:

• La reciprocidad.
• La urgencia.
• La consistencia, atacar un poco las costumbres.
• La confianza,
• La autoridad.
• La validación social.

Aconsejo complementar toda esta información con la charla ofrecida por Alberto Ruiz Rodas sobre ‘Prevención de ataques de ingeniería social‘ donde incide con mayor detalle en todos los principios y técnicas utilizados por los ingenieros sociales y la charla de Javier Caballero ‘Ingeniería social en la universidad‘.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!