Llegamos a ustedes gracias a:



Reportajes y análisis

Ingenieros sociales: Cómo se ganan nuestra confianza

[10/08/2009] Brian Brushwood es un experto en ingeniería social y en técnicas de manipulación, cuya vasta experiencia no proviene de la universidad ni del trabajo de campo. Brushwood es anfitrión de la serie de video para Internet Scam School, una producción que, según él, se basa en aplicar la ingeniería social en las calles.

Además de su pasión por enseñarle a la gente los trucos de la ingeniería social, Brushwood es un mago ambulante que se presenta regularmente en las escuelas y que además ha sido invitado al Tonight Show.
Comenzó a interesarse en la ingeniería social hace ya varios años, con la intención de mejorar su show y ejecutar movimientos secretos sin ser descubierto. En este sentido, señala Brushwood, tanto su percepción como su aplicación del concepto de ingeniería social, van más allá del enfoque de la industria de la seguridad.
Cuando uso esa frase en realidad me estoy refiriendo a una antigua versión de ese concepto. La ingeniería social significa básicamente la aplicación de las ciencias sociales para la solución de problemas sociales, explica. En otras palabras, se trata de utilizar ciertos principios psicológicos para lograr que la gente haga lo que uno quiere.
Brushwood reconoce que hoy por hoy recurre con tanta frecuencia a las técnicas de ingeniería social, que a veces se le hace difícil parar. A continuación, Brushwood explica las cuatro tácticas psicológicas básicas que usan los ingenieros sociales para ganarse la confianza de las personas y obtener lo que de desean; y aconseja a los profesionales de la seguridad sobre cómo preparar a su gente contra este tipo de engaño.
1. Los ingenieros sociales se muestran confiados y controlan la conversación.
Según Brushwood, uno de los primeros pasos para no ser desenmascarado es actuar con confianza. Por ejemplo, alguien que quiere ingresar a un edificio vigilado podría falsificar un fotocheck o presentarse como técnico de una empresa de servicios. La clave para salir airoso es simplemente actuar como si uno realmente no fuera un intruso, ni tuviera nada que ocultar. Transmitir confianza con la postura corporal también ayuda a que la gente se sienta cómoda. 
Los encargados de seguridad de un concierto por lo general ni siquiera controlan los fotochecks. Lo que les interesa es la actitud: son capaces de diferenciar entre un fan tratando de colarse para estar más cerca de su estrella favorita y alguien que trabaja en el evento.
Otra manera de ganar la luz verde es llevar las riendas de la conversación, asegura Brushwood.
La persona que hace las preguntas es la que guía la discusión, señala. Cuando alguien nos pregunta algo, inmediatamente hace que nos pongamos en guardia. Sentimos presión social para dar una respuesta correcta o apropiada.
Brushwood se refiere a este tipo de reacciones como patrones fijos de conducta y menciona el libro Influence: The Psychology of Persuasion (Influencia: la piscología de la persuasión), de Robert Cialdini, como su mayor inspiración para el trabajo que realiza actualmente.
Consejo: Que sus empleados no se acostumbre a permitir el ingreso de extraños. Las credenciales de los visitantes (y de los proveedores) deben chequearse repetidamente, incluso si sus rostros son familiares.
2. Suelen dar algo a cambio
La reciprocidad, advierte Brushwood, es otro patrón fijo de conducta.
Cuando la gente recibe algo, como un favor o un obsequio, incluso si sienten un profundo disgusto por la persona que se los ofrece, siente la necesidad de devolver el gesto, indica Brushwood y asegura que los Hare Krishnas son uno de los grupos más conocidos que recurren a esta táctica.
Te dan una flor o una copia del Bhagavad Gita y dicen 'Es un regalo para ti, disfrútalo. Ah, y por casualidad, ¿no quisieras hacer una donación? ' Aunque uno piense 'Yo ni siquiera quería esta flor,' resulta muy difícil responder 'No, vete de aquí.'
El propio Brushwood usa esta táctica durante sus vuelos para que lo pasen a clase ejecutiva o para obtener algunos tragos gratis. Siempre sube al avión con unas bolsitas de M&M a la mano, y las reparte a cada miembro de la tripulación que encuentra en su camino diciéndoles que solo quiere darles algo a cambio por el esforzado trabajo que realizan. Aunque detesten los M&M, los conmueve la delicadeza del gesto, afirma.
Esta táctica, al igual que la de la actitud confiada, podría ser utilizada por un ingeniero social para tratar de acceder a una instalación protegida o a un edificio privado (En Anatomy of a Hack -anatomía de un hackeo-, descubra cómo hizo un ingeniero social para burlar la seguridad de un edificio solo con un caja de galletas). Sin embargo, Brushwood subraya que el tiempo que pasa entre la entrega del obsequio y la solicitud del favor también es un factor muy importante. 
Si uno da un regalo y pide un favor inmediatamente, lo más probable es que la otra persona sienta que se le quiere sobornar y reaccione de mala manera.
En cambio, un experto en la materia le daría algo a un vigilante muy temprano en la mañana y regresaría más tarde diciendo que necesita entrar al edificio porque, por ejemplo, se le olvidó algo importante adentro luego de una reunión. Lo más probable es que lo dejen pasar como agradecimiento, asegura Brushwood.
Consejo: Repítales a sus empleados que desconfíen de cualquiera que trate de darles algo. Dependiendo de la importancia de lo que esté en juego, un criminal experimentado podría inclusive pasar varias semanas tratando de establecer una relación recíproca con un miembro del staff que pueda facilitarle el acceso a las zonas de seguridad.
3. Usan el humor
La gente suele disfrutar la compañía de las personas que tienen buen sentido del humor. El ingeniero social lo sabe y lo usa para obtener información, acceso o simplemente para salir de un aprieto. Es lo que Brushwood llama el patrón de conducta 'simpático. Somos mucho más propensos a hacerle un favor a la gente que nos cae bien porque nos sentimos cercanos a ellos, señala.
Brushwood ha usado el humor varias veces para librarse de multas por exceso de velocidad. Su truco consiste en presentar un brevete con una foto graciosa, o inclusive encontrar la manera de presentarle al policía una de esas tarjetas de Monopolio que permitían salir de la cárcel (Get our of jail free).
Como los policías se la pasan escuchando historias lacrimógenas, mi estrategia es el optimismo: darles la impresión de que no estoy preocupado y que, por el contrario, pueden pasar un buen rato conmigo porque los hago reír.
Brushwood calcula que gracias a esta treta ha podido evitar papeletas entre 80 y 90% de las veces.
Consejo: En un escenario de infracción o delito, el ingeniero social puede tratar de entablar conversación con el empleado para obtener información. Un buen ejemplo de esta práctica es la falsa llamada de TI, donde el que llama pide el password de un empleado. Hay muchas más posibilidades de que se produzca una fuga de información si la conversación es divertida y la otra persona se siente en confianza.
4. Piden algo y dan una justificación
Hace poco, Brushwood encontró inspiración en un reciente estudio de Harvard, también mencionado en el libro de Cialdini, según el cual la gente tiene más tendencia a aceptar un pedido si se menciona la palabra porque. El estudio observó grupos de personas que esperaban para usar una fotocopiadora en una biblioteca, y cómo respondían si alguien se les acercaba y le pedía ponerse en la cola.
En el primer grupo, el gancho decía: Discúlpeme, tengo cinco páginas, puedo usar la máquina porque estoy retrasado? En ese grupo, 94% permitió que la persona pasara. En otro grupo, el pedido era: Disculpe, tengo cinco páginas puedo usar la máquina?. Solo 60% aceptó dejarlo pasar.
En un tercer grupo, la pregunta fue: Disculpe tengo cinco páginas, puedo usar la máquina porque necesito hacer copias?. Aunque la explicación ofrecida puede sonar ridícula, 93% cedió su lugar.
La palabra mágica es porque, subraya Brushwood. No importa qué es lo que se diga después. Al igual que cuando uno ve a alguien caminando como si estuviera en su casa, tiende a pensar que efectivamente así es; si alguien dice porque la gente asume que tiene una razón legítima.
Brushwood enfatiza que el patrón de conducta fija que se aplica en este escenario es la simple percepción de una razón. Aunque esa razón no tenga el menor sentido, la palabra porque hace que la gente responda favorablemente.
Consejo: Es importante mantener la serenidad y escuchar y observar bien lo que pasa y lo que se dice en un entorno laboral. Durante un día muy agitado, hay más probabilidades de que permitamos el ingreso de un extraño o le facilitemos la información que nos pide. Mentenerse en guardia y concentrado es primordial para impedir que un criminal se aproveche de nosotros.
Joan Goodchild, CSO (US)