En la terminología informática la Ingeniería social se caracteriza por recopilar información de otra persona explotando sus vulnerabilidades; estas pueden ser Social, psicológicas y cognitivas. Este método muy utilizado por los hackers para obtener información sensible como, contraseñas, nombres de usuarios y cualquier otra información capas de comprometer la seguridad de una red o institución. Todo los escrito a continuación a sido probado y puesto en practica por el autor.
Llevándolo a nuestro contesto actual podemos decir que en Cuba este método es el más fácil y utilizado por muchos usuarios en la red. Con este artículo espero poder instruirlos un poco de cómo volvernos un poco mas especializados en la utilización de esta arma tan efectiva. Para ellos debemos seguir una seria de pasos los cuales nos guiaran para alcanzar un objetivo determinado.
1) Credibilidad
2) Tácticas de Engaño
3) Ingeniería Inversa - ¿verdad o mentira?
1) Credibilidad
Lo primero es tener la capacidad de convencer a nuestro intercomunicador de que le estamos diciendo la verdad y que puede confiar en nuestra palabra. Para ello lo primero es el porte y aspecto, siempre acorde con el papel que estamos representando, esa será la primera impresión que se le causa a la persona y hace inconscientemente que esta crea en lo que ven sus ojos. Por lo demás el dialogo tiene que ser conciso veras, mantener una postura recta y abierta, evitar las gesticulaciones mecánicas y los tartamudeos, mirar directamente a los ojos de la otra persona, esto da la impresión de que no tenemos nada que ocultar, (un mentiroso generalmente no mira directamente a los ojos). Según el nivel de nuestra victima así debe de ser nuestra postura y carácter, por ejemplo: si hablamos con una secretaria o una oficinista, aconsejo mantener una postura autoritaria y en ves de hacer preguntas dar ordenes por ejemplo “en ves de preguntar llego “fulano”, debemos de decir por favor llámeme a fulano y dígale que “l1nk” lo esta esperando”. Este tipo de ordenes va directamente al subconsciente de la recepcionista y hace que actúe de forma automática sin medir el nivel de información que nos proporciona, incluso puede que si la persona no se encuentra esta le diga (son que nadie se lo pregunte) a que hora viene cuando se va. Para los que no vean el objeto de esta información solo analicen lo importante que resulta el dominar el horario de un administrador de redes.Siempre debemos de tener presente que toda información es valiosa, mientras mas información controlemos mas fácil será vincularnos asumir el papel a desempeñar; muchas veces el ganarse la confianza y el respeto es una forma muy útil de obtener información sensible si es que sabes como detectarla.
2) Tácticas de Engaño
Muchas veces el crear una amistad aparente entre tu y la victima es una táctica efectiva ya que comprometemos a la persona a confiar incondicionalmente en ti. Esta es una de las muchas formas en las que podemos avanzar en un ataque dirigido; también podemos utilizar la suplantación de identidad (esta es un poco mas peligrosa); la Ignorancia donde para todos somos unos incompetentes por lo que no representamos ninguna amenaza; o al revés, podemos demostrar un conocimiento amplio, haciendo que la victima se muestre inferior y tenga que acudir constante mente a ti creándose un habito o delegando en ti sus responsabilidades. Estas son algunas de las tácticas más utilizadas para sacar u obtener información, el saber cuando utilizar cada una de ellas es primordial esto junto a una buena credibilidad puede darle sin duda mucha información.3) Ingeniería Inversa
Como mismo nosotros podemos aplicar tácticas de engaño para obtener información o para acceder a sitios o lugares, también lo pueden hacer con nosotros. Así que estamos expuesto a que cualquiera de nuestros colegas nos intente sacar información a nosotros o puede dársenos el caso de que la victima sea una persona con conocimientos suficientes como para detectar nuestras tácticas de engaño, en casos como estos es donde interviene la Ingeniería Inversa.Para el primer caso la Ingeniería Inversa se aplica haciendo lo exactamente lo que el atacante espera que tu hagas, pero al llegar al momento de dar información dar una falsa o incompleta, incluso podemos aprovecharnos de esto para ser nosotros quienes saquemos información, ya que este estará dispuesto a deciros lo que sea por obtener lo que busca, pero puede que nos aplique la ingeniería inversa a nosotros para ello debemos de convertirnos en un detector de mentiras para ello les mostrare algunas normas de comportamiento para que detecten cuando les dicen la verdad o cuando mentira.
¿Verdad o Mentira?
- Evita el contacto directo o rose, o sea, un mentiroso evitara siempre el tener que tocar a la otra persona.
- Evita mirar directamente a los ojos, ya que inconcientemente el mentiroso cree que podremos ver a través de sus ojos, que miente.
- Generalmente cuando habla realiza gestos mecánicos e inorgánicos y tendrá una tendencia pasarse la mano frente a rostros por la frente, nariz, boca, tocarse los ojos.
- La palma de las manos estarán generalmente hacia abajo, pegadas al cuerpo o contraídas. Es muy poco probable que un mentiroso se coloque la mano en el pecho.
- Un mentiroso utilizara las mismas palabras con que le preguntamos para contestar a una pregunta, haciendo énfasis en la pronunciación, ya que inconcientemente quiere que comprendamos lo que dice y tratando de demorarse lo menos posible para contestar utilizara nuestras palabras para formular una respuesta clara y creíble.
- Tienden a tener una postura contraída, pegando sus brazos y piernas al cuerpo adoptando una posición fetal.
- Coloca objetos entre el y nosotros para tratar de crear una barrera entre el y nosotros por ejemplo: Cuando el director de nuestro centro de Trabajo intenta convérsennos con una mentira de el porque no nos puede dar la semana de vacaciones que nos toca, observen que mientras habla comienza a organizar las cosa del escritorio colocándolas entre el y nosotros.
«Estas normas de conducta de un mentiroso pueden ser utilizadas de forma inversa, o sea para evitar que nos detenten la mentira a nosotros.»
Para terminar solo me queda por decir que con estos elementos (sabiéndolos utilizar), alcanzáremos un nivel tal que las victimas nos darán, sin que se lo pidamos, su nombre de usuario y contraseña, “lo digo por experiencia propia”
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario