Ingeniería social. La ciencia de la piratería humana E-Book

Ingeniería social

La ciencia de la piratería humana

Chris Hadnagy

Toda mi vida como ingeniero social, padre, marido, jefe, amigo y más no sería posible sin mi increíble esposa, Areesa. Te quiero más de lo que puedo expresar.

A mi hijo, Colin: verte crecer en este mundo y convertirte en un joven seguro, además de trabajar conmigo, hace que el trabajo merezca la pena. Te quiero.

Amaya, eres la luz de mi vida, mi razón para sonreír en los días tristes y un motivo de alegría en mi corazón. No puedo expresar con palabras cuánto te quiero ni lo orgulloso que estoy de la persona que eres.

AGRADECIMIENTOS

«Hace tan solo unos años estaba sentado con mi amigo y mentor, Mati Aharoni, decidiendo cómo lanzar www.social-engineer.org».

Así empezaba la primera edición de este libro. Al releer ahora esas palabras, es casi como un sueño; los recuerdos borrosos hacen que parezca que me voy a despertar en cualquier momento. Pienso en el viaje transcurrido durante la última década, en especial los últimos ocho años, y todo ha cobrado vida en este libro.

En los últimos ocho años, he trabajado con personas como el Dr. Paul Ekman, Robin Dreeke y Neil Fallon, entre otros. He tenido el honor de entrevistar a gente como el Dr. Robert Cialdini, la Dra. Amy Cuddy, Dov Baron, la Dra. Ellen Langer, el Dr. Dan Airely y muchos otros. He tenido el privilegio de dar un discurso con Apollo Robins y de conocer a Will Smith. He viajado al Reino Unido para formar a agentes del MI-5 y el MI-6. Y me han invitado al Pentágono para instruir sobre ingeniería social a 35 generales, jefes de estado y otros oficiales.

Los últimos ocho años han sido como una montaña rusa. Pero como con cualquier proyecto, nada está aislado de lo demás. Estas experiencias, mi vida y las personas a las que he tenido el honor de conocer y con quienes he trabajado, están ahí porque mucha gente me ha ayudado en el camino.

Mi esposa, Areesa, es una de las mujeres más pacientes y hermosas que he conocido nunca. Aunque no vive en el mundo en el que estoy yo, me apoya de verdad, me ama y me da una vida feliz, llena de risas, aventuras y recuerdos imborrables.

Cuando mi hijo, Colin, era pequeño, quería ser médico, luego escritor y después voluntario. Curiosamente, probó suerte con la sanidad y la escritura y sigue siendo voluntario. Su actitud positiva y espíritu amable son un ejemplo para mí.

Recuerdo jurar que nunca dejaría a mi hija, Amaya, entrar en este mundo de la ingeniería social; la mantendría a salvo. Me ha enseñado que mantenerla a salvo consiste en enseñarle, incluirla y convertirla en parte de mi vida. Me ha dado mucho más de lo que yo le he dado a ella.

Aunque el Dr. Ekman no está directamente relacionado con este libro, su bondad, motivación y generosidad han sido una inspiración para mí. ¡Gracias!

Quiero dar las gracias y hacer un reconocimiento a otros que han sido parte constante de mi viaje:

»Ping Look es una fuente inagotable y altruista de consejo y ayuda.

»La amistad y el apoyo de Dave Kennedy significan mucho para mí.

»Innocent Lives Foundation (ILF)se ha convertido en una pieza integral de este proceso, así que quiero dar las gracias a las siguientes personas de dicha fundación:

»Nunca pensé que diría que Neil Fallon y yo acabaríamos siendo amigos (que alguien me pellizque), pero ahora me orienta, me dirige y me anima. Realmente me recuerda que soy humano.

»El apoyo y la protección de Tim Maloney han sido fundamentales para ILF. Su amistad, fe y apoyo en este proceso es algo que nunca podré agradecerle lo bastante.

»La emoción y el entusiasmo de Casie Hall por ser parte de la solución son contagiosos.

»Agradezco a AJ Cook su apoyo con ILF y lo fácil que es trabajar con ella en nuestro empeño de salvar niños. Su dedicación es ejemplar.

»La ética de trabajo, amabilidad y capacidad de concentración de Aisha Tyler (¡Ah! Hasta escribir ese nombre parece un poco surrealista) son un modelo que todos deberíamos seguir.

»Mi equipo de Social-Engineer, LLC es genial. Colin, Mike, Cat, Ryan, Amanda, Kaz, Jenn y Karen, todos ellos me han ayudado a mejorar y me han apoyado a lo largo de este proceso.

»Juro que mi editora Charlotte debería ser mi «negra» para un libro. Captó todos mis pensamientos y me ayudó a sonar más inteligente (¡una tarea difícil!).

»Y los lectores y fans de Social-Engineer Podcast, SEVillages en las conferencias, mis otros libros y SE-Events: me habéis puesto un listón muy alto, no habéis tenido miedo de señalar errores estúpidos y me habéis hecho esforzarme constantemente para hacerlo mejor. ¡Gracias!

SOBRE EL AUTOR

CHRISTOPHER HADNAGY es CEO y jefe de piratería humana de Social-Engineer, LLC, además del principal desarrollador y creador del primer marco de ingeniería social mundial: www.social-engineer.org. Es el fundador y creador de Social Engineering Village (SEVillage) en DEF CON y DerbyCon, y también creó el popular evento Social Engineering Capture the Flag (SECTF). Es un ponente y formador muy codiciado que incluso ha instruido al Pentágono en estos temas. Está en Twitter como @humanhacker.

SOBRE LA EDITORA TÉCNICA

MICHELE FINCHER es responsable de seguridad de la información en una empresa química de especialidad. Cuenta con más de 20 años de experiencia como científica conductual, investigadora y profesional de la seguridad de la información. Su especialidad es entender la psicología que hay detrás de una toma de decisiones segura, en particular respecto al área de la ingeniería social.

Michele ha sido formadora y oradora sobre distintos temas técnicos y conductuales para las fuerzas del orden, la comunidad de la inteligencia y el sector privado en foros como Black Hat Briefings, RSA, SourceCon, SC Congress, Interop y Techno Security.

Michele es licenciada en Ingeniería de factores humanos por la US Air Force Academy y tiene un máster en Asesoramiento de la Universidad de Auburn. Cuenta asimismo con la certificación profesional en el área de la seguridad CISSP.

ÍNDICE DE CONTENIDOS

Agradecimientos

Sobre el autor

Sobre La editora técnica

Prólogo

Prefacio

1. Un vistazo al nuevo mundo de la ingeniería social profesional

¿Qué ha cambiado?

¿Por qué debería leer este libro?

Una panorámica de la ingeniería social

La pirámide IS

¿Qué incluye este libro?

Resumen

2. ¿Ve lo mismo que yo?

Un ejemplo real de recogida de OSINT

Herramientas básicas

Resumen

3. Perfilar a las personas a través de la comunicación (o usar las propias palabras contra uno)

La aproximación

¡Que pase DISC!

Resumen

4. Ser quien quiera ser

Los principios de los pretextos

Resumen

5. Sé cómo conseguir gustarle

La mentalidad de la tribu

Desarrollar la sintonía como ingeniero social

La máquina de la sintonía

Resumen

6. Bajo influencias

Principio uno: Reciprocidad

Principio dos: Obligación

Principio tres: Concesión

Principio cuatro: Escasez

Principio cinco: Autoridad

Principio seis: Coherencia y compromiso

Principio siete: Gustación

Principio ocho: Demostración social

Influencia frente a manipulación

Resumen

7. Crear su arte

Las reglas dinámicas del encuadre

La elicitación

Resumen

8. Veo lo que no dice

La comunicación no verbal es esencial

Nos pertenecen todas sus referencias

Entender lo básico de la comunicación no verbal

Comodidad frente a incomodidad

Resumen

9. La piratería humana

Victimización con igualdad de oportunidades

Los principios del pentesting

Phishing

Vishing

SMiShing

Suplantación

Informes

Preguntas principales para un IS que hace pruebas de penetración

Resumen

10. ¿Cuenta con un PDMP?

Paso 1: Aprender a identificar los ataques de ingeniería social

Paso 2: Desarrollar políticas prácticas y realistas

Paso 3: Realizar comprobaciones regulares y reales

Paso 4: Implementar programas de concienciación de seguridad aplicables

Juntar todas las piezas

Hay que estar siempre actualizado

Aprenda de los errores de sus semejantes

Crear una cultura consciente de la seguridad

Resumen

11. ¿Y ahora qué?

Habilidades blandas para ser ingeniero social

Habilidades técnicas

Educación

Perspectivas de trabajo

El futuro de la ingeniería social

Créditos

PRÓLOGO

Cuando empecé Apple Computers en 1976 con Steve Jobs, no podía imaginar dónde llevaría el mundo aquella invención. Quería hacer algo de lo que nunca se había oído hablar: crear un ordenador personal. Uno que cualquier persona pudiese usar, disfrutar y aprovechar. Con un lapso de unos 40 años, esa visión es una realidad.

Con miles de millones de ordenadores personales por el mundo, smartphones, dispositivos inteligentes y tecnología incrustada en cualquier aspecto de nuestras vidas, es importante dar un paso atrás para ver cómo mantenemos la seguridad mientras innovamos, crecemos y trabajamos con la siguiente generación.

Adoro trabajar con los jóvenes actuales, inspirarles para innovar y crecer. Me encanta ver cómo fluyen de ellos las ideas cuando piensan en formas nuevas y creativas de usar la tecnología. Y me gusta realmente ver cómo esta tecnología puede mejorar la vida de la gente.

Dicho esto, necesitamos pensar seriamente en cómo asegurar el futuro. En 2004, cuando di la lección inaugural de la HOPE Conference, dije que buena parte de la piratería es jugar con otros para conseguir que hagan cosas raras. Mi amigo Kevin Mitnick lleva años dominando esto en un área de seguridad llamada ingeniería social.

El libro de Chris capta la esencia de la ingeniería social, la define y le da forma para que todos podamos entenderla. Ha reescrito el libro definiendo los principios nucleares de cómo nosotros, como humanos, tomamos decisiones y cómo esos mismos procesos pueden manipularse.

La piratería existe desde hace mucho tiempo y la piratería humana es tan vieja como los humanos. Este libro nos prepara, protege y educa para reconocer los riesgos derivados de la ingeniería social, defendernos y mitigarlos.

—Steve «Woz» Wozniak

PREFACIO

«Ingeniería social»... Recuerdo cuando buscar ese término te llevaba a vídeos para conseguir hamburguesas gratis o citas con chicas. Ahora parece casi una palabra cotidiana. Justo el otro día escuché a una amiga de la familia, que no se mueve en esta industria para nada, hablar de una estafa por correo electrónico. Decía: «¡Bueno, es un ejemplo estupendo de ingeniería social!».

Me quedé desconcertado unos segundos, pero aquí estamos, ocho años después de tomar la decisión de crear una empresa centrada únicamente en la ingeniería social; ahora es una industria en estado avanzado y una palabra cotidiana.

Si está a punto de empezar a leer este libro, puede ser fácil malinterpretar mis intenciones. Es posible que crea que no me importa armar a los malos o prepararlos para actos perversos; nada más lejos de la realidad.

Cuando escribí mi primer libro, hubo mucha gente que, durante las entrevistas, se enfadaba conmigo y me decía que estaba dando armas a los malvados ingenieros sociales. Sentía lo mismo que siento ahora: uno no puede defenderse de la ingeniería social si no conoce todas las facetas de su uso. La ingeniería social es una herramienta, como un martillo, una pala, un cuchillo o incluso una pistola. Cada una tiene una finalidad, que puede ser construir, salvar, alimentar o sobrevivir; y cada una puede usarse también para mutilar, matar, destruir y arruinar. Para entender cómo se usa la ingeniería social para construir, alimentar, sobrevivir o salvar, hay que entender también los otros usos. Sobre todo si el objetivo es defenderse. Defenderse uno mismo y a otros de un uso malicioso de la ingeniería social requiere adentrarse en el lado oscuro para hacerse una idea clara de cómo se usa.

Hace poco, estaba hablando con AJ Cook sobre su trabajo en Mentes criminales y me comentaba que, a menudo, se reúne con agentes federales de verdad que trabajan en casos de asesinos en serie para prepararse para interpretar a JJ en la serie. La misma idea se aplica a este libro.

Cuando lo lea, hágalo con una mentalidad abierta. Me he esforzado por plasmar en estas páginas el conocimiento, la experiencia y la sabiduría práctica que he adquirido en la última década. Siempre habrá algún error o algo que no le guste o le parezca que no está del todo claro. Podemos hablarlo; póngase en contacto conmigo y cuéntemelo. Estoy en Twitter (@humanhacker) y también puede escribirme un correo desde alguno de mis sitios web: www.social-engineer.org y www.social-engineer.com.

Cuando hago mis seminarios de cinco días, siempre pido a los participantes que no me traten como a un instructor infalible. Si tienen conocimientos, pensamientos o incluso sensaciones que contradigan lo que estoy diciendo, quiero que lo comenten conmigo. Me encanta aprender y expandir mi comprensión de estos temas. Hago extensiva esa petición aquí.

Por último, quiero darle las gracias. Gracias por pasar parte de su valioso tiempo conmigo en las páginas de este libro. Gracias por ayudarme a mejorar con los años. Gracias por cualquier comentario, idea, crítica o consejo.

Espero sinceramente que disfrute este libro.

—Christopher Hadnagy

1

Un vistazo al nuevo mundo de la ingeniería social profesional

«Supongo que la seguridad es el éxito y la clave del éxito es un paladar fino».

—Gordon Ramsay

Tengo grabado a fuego el recuerdo de la pantalla del ordenador cuando empecé a escribir el primer párrafo de la edición anterior de este libro. Corría el año 2010. Me dan ganas de decir que en aquellos tiempos escribir un libro era un trabajo ímprobo, con una máquina de escribir, pero tampoco quiero exagerar.

En esa época, al buscar «ingeniería social» en Internet, salían unas cuantas páginas sobre Kevin Mitnick, una leyenda de la ingeniería social, y algún vídeo sobre cómo quedar con chicas o conseguir hamburguesas gratis en McDonald’s. Años después, el término ingeniería social se usa casi como una palabra cotidiana. En los últimos tres o cuatro años, he visto ingeniería social en seguridad, política, educación, psicología, contextos militares y cualquier otra aplicación que pueda imaginar.

Es inevitable preguntarse el porqué de esta transición. Un colega me dijo una vez: «Es culpa tuya, Chris». Creo que lo decía como algo malo, pero sentí cierto orgullo con aquella afirmación. Sin embargo, no creo que sea el único responsable de la casi ubicuidad del término ingeniería social (IS). Creo que ahora lo usa todo quisque porque no solo es el vector de ataque más fácil (como lo era hace siete años), sino que también supone la mayoría de las cargas útiles para los atacantes.

El coste de lanzar un ataque con IS es bajo. Incluso el riesgo es bajo. Y el beneficio potencial es enorme. Mi equipo ha estado recopilando noticias sobre ataques con IS y escrutando la web en busca de estadísticas. Puedo asegurar que, en los últimos cinco años, más del 80 % de las brechas de seguridad han tenido un componente de ingeniería social.

El informe de IBM sobre el coste de una brecha de datos de 2022 dice que el coste medio fue de 4,35 millones de dólares. Cuando el potencial de beneficios es tan grande, no cuesta ver por qué un atacante querría usar la ingeniería social.

TRUCO: En 2022, el informe de IBM llevaba 17 años elaborándose. Puede consultar el actual en https://www-03.ibm.com/security/data-breach/ o escribir «Cost of Data Breach Study» en cualquier buscador para localizar y descargar el informe completo.

También recuerdo una de mis primeras entrevistas después de publicar el libro en 2010, en la que me preguntaron: «¿No le preocupa estar armando a los malos?». Pero para mí, la IS es como cualquier otro tipo nuevo de arma.

Para poder explicar esto mejor, pienso en la historia de la llegada de Bruce Lee a América en los años sesenta. Había muchos prejuicios raciales y hacía algo que nadie más hacía: enseñar jeet kune do (una antigua arte marcial china) a gente de cualquier raza, color o nación. Luchaba en la universidad con compañeros que creían saber mucho de pelear. Pero dejaba fuera de combate a todos sus oponentes. Al final, algunos de esos adversarios terminaron siendo amigos o discípulos de Bruce.

Moraleja: la gente tuvo que adaptarse a un nuevo tipo de lucha porque, de no hacerlo, serían siempre derrotados. ¿Cabía la posibilidad de que un aprendiz de Bruce Lee utilizase sus nuevas habilidades para lastimar a otras personas o hacer el mal? Sí, pero Bruce consideraba que era necesario educar a la gente para que pudiera protegerse.

Entonces, mi respuesta a la pregunta «¿No le preocupa estar armando a los malos?» es la misma que hace años: no puedo controlar cómo usa el lector esta información. Puede leer este libro y salir a atacar a la gente para robarles el dinero. O puede leer este libro y aprender a defender lo que está bien. La elección es suya, pero los buenos necesitan a alguien que les ayude a aprender.

Aprender a defenderse de este nuevo estilo de ataque requiere más que aprender a encajar unos golpes. Igual que el jeet kune do, exige un equilibrio entre aprender a atacar, aprender a defenderse y saber cuándo hacer cada cosa. Al aprender a ser ingeniero social, hay que ser capaz de pensar como los malos, recordando que somos los buenos. Tirando de analogía, la fuerza debe ser poderosa en nosotros, pero sin arrastrarnos al lado oscuro.

Es posible que se esté preguntando esto: «si mi respuesta no ha cambiado, ¿por qué necesitamos una segunda edición del libro?» Bien, deje que se lo explique.

¿Qué ha cambiado?

Esta pregunta es fundamental en la ingeniería social. La respuesta superficial es «no mucho». Podemos remontarnos muy atrás y encontrar anécdotas de ingeniería social. Por ejemplo, una de las primeras historias documentadas que encuentro está en la Biblia, en el libro del Génesis, y se supone que sucedió alrededor del año 1800 antes de Cristo. Jacob quería la bendición que iba a recibir su hermano Esaú. A sabiendas de que su padre, Isaac, no veía bien y dependía de otros sentidos para saber con quién estaba hablando, Jacob se puso la ropa de Esaú y preparó la comida como la habría preparado él. Y aquí viene lo mejor: Esaú era conocido por ser extremadamente peludo, mientras que Jacob no lo era, así que ató la piel de dos cabritillos a los brazos y la nuca. Cuando Isaac extendió los brazos hacia su hijo, dependía de los sentidos del olfato, el tacto y el gusto para saber que estaba con Esaú en vez de con Jacob. Según el relato en el Génesis, ¡el ataque de ingeniería social de Jacob funcionó!

Desde los albores de la historia registrada, vemos una historia tras otra de humanos engañando, embaucando, timando o estafando a otros. En la superficie, puede que no se observe una gran novedad en la ingeniería social, pero eso no significa que no cambie nada nunca.

Tenemos un ejemplo en el vishing. Recuerdo la primera vez que utilicé esa palabra. La gente me miraba como si estuviese hablando en klingon. En serio, podría haber dicho igual laH yIlo ‘ ghogh HablI ‘ HIv (seguro que los trekkies lo aprecian). Pero en 2015, la palabra vishing entró en el diccionario Oxford de inglés.

TRUCO: El klingon es un lenguaje ficticio, pero existe un instituto real (www.kli.org) dedicado a enseñarlo, traducirlo y hablarlo. También existen varios traductores en línea. Hasta la fecha, no tengo constancia de que nadie haya usando la ingeniería social contra otra persona en klingon.

¿Por qué es importante que vishing aparezca en un diccionario? Porque viene a demostrar cuánto han afectado al mundo los vectores de ingeniería social. Palabras que antes parecían ser un lenguaje «inventado» forman ya parte de nuestro vocabulario cotidiano.

Y no es solo el vocabulario lo que se está volviendo común. Ahora hay servicios especializados en ayudar a los malos a ser más malos. Por ejemplo, una vez, trabajando para un cliente, me topé con un servicio que se especializaba en hacer correcciones ortotipográficas de correos electrónicos de phishing. Esa empresa ofrecía corrección de textos en inglés todos los días, a cualquier hora. Si mezclamos eso con la cultura BYOD (bring your own device, trae tu propio dispositivo) y el hecho de que la mayoría de los dispositivos móviles son minisuperordenadores, y añadimos un poco de adicción moderna a las redes sociales, tenemos el caldo de cultivo perfecto para un nuevo panorama de ataque al estilo de la ingeniería social. Además del panorama, yo también he cambiado. Cuando escribí la primera edición de este libro, elegí el título Ingeniería social: el arte del hacking personal porque me parecía que lo que describía en el libro era como el arte. El arte es subjetivo, significa cosas diferentes para cada persona. Se puede aplicar de manera diferente y puede usarse, verse, disfrutarse u odiarse por muy distintas razones. Esta segunda edición se titula Ingeniería social: la ciencia de la piratería humana. El diccionario Merriam-Webster define la ciencia como «el estado de saber: conocimiento que se distingue de la ignorancia o la incomprensión».

Hace 13 años, buena parte de lo que hacía era una novedad en el mundo de la seguridad e iba aprendiendo sobre la marcha. Ahora estoy en un «estado de saber» gracias a la suma de años de experiencia a mi currículo.

Espero que esa experiencia haga este libro más relevante para el lector, tanto si es un experto en seguridad que quiere entender la ingeniería social, un entusiasta que busca ampliar horizontes o un formador que desea comprender los problemas para incluirlos en sus clases. Da igual por qué esté leyendo este libro, tengo la esperanza de que al pensar en estos temas a un nivel más científico, pueda confiarle esta información de una manera mucho más útil y completa.

¿Por qué debería leer este libro?

Creo que este primer capítulo debe seguir el mismo patrón que en la primera edición, así que voy a dedicar un poco de tiempo a explicar por qué pienso que todo el mundo debería leer este libro.

Sí, me doy cuenta de que puedo ser parcial, pero sígame la corriente un poco.

¿Es usted humano? Vamos a suponer que, si está sentado con este libro, leyendo este párrafo, o es alguna forma de IA muy avanzada o es humano. Me atrevo incluso a ir más allá y afirmar que el 99,9999999 % de los lectores de este libro son humanos. La ingeniería social aprovecha la forma en la que los humanos están programados para tomar decisiones y explota las vulnerabilidades de esos procesos.

El objetivo de la ingeniería social es hacer que tomemos una decisión sin pensar. Cuanto más piensa uno, más probabilidades hay de que se dé cuenta de que está siendo manipulado, lo cual, naturalmente, es malo para el atacante. En los episodios 7 y 70 de The Social-Engineer Podcast, tuve el privilegio de entrevistar a la doctora Ellen Langer. Me habló de algo que denomina el modo alfa y beta.

El modo alfa es cuando un cerebro está funcionando a entre 8 y 13 cps (ciclos por segundo). Por lo general, se caracteriza por la «ensoñación», o lo que la doctora Langer llama «concentración relajada centrada».

El modo beta es cuando el cerebro va a entre 14 y 100 cps. Es cuando nuestro cerebro está alerta, observando y siendo consciente de lo que nos rodea.

REFERENCIA A SEPODCAST

Estas son las URL donde se encuentran los episodios de The Social-Engineer Podcast en los que entrevisté a la doctora Langer:

»El episodio 7 incluye mi primera entrevista con la doctora Langer, en la que comentamos su investigación y sus libros: www.social-engineer.org/podcast/episode-007-using- persuasion-on-the-mindless-masses/.

»El episodio 70 se grabó cinco años después de mi primera entrevista con la doctora Langer. Volvió al programa para contarnos lo que había aprendido con los años, lo que había cambiado y cómo habíamos avanzado: www.social-engineer.org/podcast/ep-070-thinking-with-out-a-box/.

¿Qué estado beneficia más a un ingeniero social? La respuesta obvia es el modo alfa, porque hay una disminución del pensamiento y la consciencia. Esto no tiene que ver solamente con las malas intenciones. La manipulación y otros tipos de influencia están dirigidos a hacer que actuemos sin pensar.

Por ejemplo, es muy probable que haya visto algún anuncio de este tipo: una cantante famosa aparece en la pantalla y suena una canción muy triste de fondo. La imagen cambia a escenas de gatitos y cachorros maltratados o abandonados. Los animales están sucios y parece que estuvieran a las puertas de la muerte. Ahora vuelve a salir la artista en pantalla; está rodeada de animales sanos a los que está dando todo su amor. ¿Cuál es el mensaje? Por solo unos euros, esos animales desnutridos y maltratados pueden convertirse en mascotas adorables, sanas, felices y entregadas. Las imágenes del anuncio se ilustran en la figura 1.1.

¿Están los productores del anuncio manipulándonos por motivos egoístas? No exactamente. Lo que han aprendido es que, si activan nuestras emociones, es más probable que donemos o hagamos la acción deseada. La tasa de éxito es mucho mayor que si solo apelasen al conocimiento o la lógica. Cuantas más emociones se activen, menos racionalmente pensamos. Cuanto menos racionalmente pensemos, más deprisa decidiremos basándonos únicamente en las emociones despertadas.

Volviendo al punto de partida: si es humano, este libro puede ayudarle a entender los tipos de ataque existentes. Puede aprender cómo los malos usan su humanidad contra usted y cómo defenderse de estos ataques para que sus seres queridos no se conviertan en víctimas. Empecemos con una panorámica de la ingeniería social.

Figura 1.1. ¿Cómo se siente al ver esto?

Créditos de la imagen: Amazon Community Animal Rescue, www.flickr.com/photos/amazoncares/2345707195.

Una panorámica de la ingeniería social

Siempre que hablo de la ingeniería social empiezo con una definición que llevo usando más de diez años. La he modificado muy poco con el tiempo.

Pero antes de darle esa definición de ingeniería social, necesito comentar algo muy importante: la ingeniería social (IS) no es políticamente correcta. Es una verdad difícil de aceptar para muchas personas, pero es así: la IS se aprovecha de que existan sesgos de género, raciales, de edad y de estatus (además de combinaciones entre ellos).

Por ejemplo, imagine que precisa infiltrarse en el edificio de un cliente. Para ello, debe desarrollar un pretexto que le permita acceder con facilidad. Su equipo está formado por unos cuantos tipos de persona diferentes. Si determina que el mejor pretexto para la tarea es hacerse pasar por conserje, ¿cuál de los siguientes miembros del equipo sería la mejor opción?

»Hombre rubio, blanco, de 40 años.

»Mujer asiática de 43 años.

»Mujer latina de 27 años.

Si decide que el mejor pretexto es trabajar en la cocina, ¿cuál de estos miembros del equipo encajaría mejor?

»Hombre rubio, blanco, de 40 años.

»Mujer asiática de 43 años.

»Mujer latina de 27 años.

La cuestión es que un ingeniero social hábil en cualesquiera de las categorías podría probar suerte y conseguirlo. ¿Pero cuál conllevaría pensar menos? Recuerde, el pensamiento es el peor enemigo de la ingeniería social.

Con esto en mente, vamos con la definición de ingeniería social:

La ingeniería social es cualquier acto que influye en una persona para que realice una acción que puede ir o no a su favor.

¿Por qué doy una definición tan amplia y general? Porque creo que la ingeniería social no siempre es negativa.

Hubo una época en la que podías decir que eras un hacker sin que la gente normal saliese huyendo despavorida, desconectando todo dispositivo electrónico a su paso. Ser un hacker significaba ser alguien que necesitaba saber cómo funcionaba algo. El hacker no se conformaba con saber lo básico; esa persona quería descubrir los entresijos de algo. Una vez descubiertos, indagaba si había alguna manera de puentear, mejorar, explotar o alterar su propósito original.

Cuando empecé mi primer libro, quería asegurarme de definir la ingeniería social de una manera en la que no se relacione siempre con un artista de la estafa terrible o un tramposo o un timador. Los mismos principios que veo usar a los malos se pueden aplicar para fines buenos y quiero que la gente lo sepa.

A menudo me sirvo de este ejemplo: si alguien viene a mí y me dice «oye, Chris, quiero hacer una fiesta de princesas contigo; siéntate ahí para que te ponga una bufanda rosa y te pinte las uñas mientras hablamos de las princesas Disney», no solo me reiría de semejante ocurrencia sino que también retrocedería lentamente buscando la salida más próxima. Aun así, debo admitir que es posible que haya por ahí fotos de este tipo de evento.

¿Cómo es posible? Mi hija me pidió hacer una fiesta de princesas con ella. Antes de decir «no es comparable, ¡a ella la quieres!», lo cual, admito, tuvo mucho que ver con que aceptase, piense por un momento en los principios psicológicos que estaban en juego a la hora de tomar esa decisión. Para aceptar esa invitación, que hubiese rechazado en un nanosegundo —literalmente— si me la hubiese hecho cualquier otra persona, tuve que puentear mi proceso de toma de decisiones normal para decir que sí.

Dato inútil

Teniendo en cuenta que un nanosegundo es la milmillonésima parte de un segundo y que la persona media habla a una velocidad de 145 palabras por minuto, literalmente no podría «decir» la palabra en un nanosegundo. Por otra parte, la luz, que viaja a 300.000 km por segundo, puede viajar 0,3 metros en un nanosegundo.

Cuando uno entiende cómo se toman las decisiones, puede empezar a entender cómo un atacante malicioso es capaz de servirse de activadores emocionales, principios psicológicos y la aplicación del arte y la ciencia de la ingeniería social para conseguir que «realicemos una acción que no vaya a nuestro favor».

El doctor Paul Zak colaboró en el episodio 44 de The Social-Engineer Podcast. Es el autor del libro La molécula de la felicidad (Indicios, 2012). Tanto en ese libro como en nuestro podcast, el doctor Zak habla de su investigación sobre una hormona llamada oxitocina. Su investigación nos ayudó a ver lo estrechamente unida que está esa hormona a la confianza porque hizo un comentario muy relevante sobre cómo se libera a la sangre cuando sentimos que alguien confía en nosotros. Es muy importante entender este punto crucial: nuestro cerebro libera oxitocina no solo cuando confiamos en alguien, sino también cuando alguien confía en nosotros. Según la investigación del doctor Zak, este fenómeno se ha demostrado en persona, por teléfono, por Internet, e incluso cuando no vemos a la persona que está «confiando».

Referencia a SEpodcast

El episodio 44 de The Social-Engineer Podcast incluye conversaciones fascinantes con el doctor Zak sobre el trabajo de su vida. Puede escucharlo en www.social-engineer.org/podcast/ep-044-do-you-trust-me/.

Otra sustancia química que produce nuestro cerebro es la dopamina. Se trata de un neurotransmisor que el cerebro produce y libera en momentos de placer, felicidad y estimulación. Si mezclamos la oxitocina con la dopamina, tenemos un cóctel cerebral de ingeniería social que puede abrirnos todas las puertas.

El cerebro libera dopamina y oxitocina en momentos íntimos, pero también en conversaciones normales. Esas conversaciones están en el núcleo de la ingeniería social.

Creo que usamos estos mismos principios a diario (muchas veces sin darnos cuenta) con nuestros cónyuges, jefes, compañeros de trabajo, párrocos, terapeutas, personal de servicios y con cualquier otra persona que conozcamos. En consecuencia, es necesario para todo el mundo entender la ingeniería social y cómo comunicarse con los humanos.

En un mundo en el que la tecnología ha facilitado la comunicación con emoticonos o menos de 280 caracteres, se ha vuelto más difícil aprender a usar las habilidades conversacionales, y mucho más darse cuenta de cuándo se están utilizando esas habilidades contra nosotros. Yendo un paso más allá, las redes sociales han creado una sociedad en la que contar a todo el mundo todo sobre nosotros es aceptable e incluso se promueve.

Cuando hablo de la ingeniería social desde una perspectiva maliciosa, la descompongo en cuatro vectores:

»SMiShing: Sí, eso existe y significa SMS phishing, o phishing a través de mensajes de texto. Cuando asaltaron Wells Fargo en 2016, recibí el ataque de SMiShing que muestra la figura 1.2.

Figura 1.2. Este ataque de SMiShing engañó a mucha gente.

Lo gracioso es que ni siquiera soy usuario de Wells Fargo, pero aun así recibí el ataque. (Y no, no voy a decirle qué banco uso, ¡buen intento!).

Con un simple clic, estos ataques iban dirigidos a robar credenciales, cargar malware en el dispositivo móvil o ambas cosas.

»Vishing: Como ya he mencionado, esto es phishing de voz. Es un vector que ha aumentado drásticamente desde 2016. Es fácil, barato y muy rentable para el atacante. También es casi imposible localizar y atrapar al atacante que hace llamadas fraudulentas desde el extranjero.

»Phishing: El tema del que más se habla en el mundo de la ingeniería social. De hecho, la editora técnica de este libro, Michele, y yo escribimos un libro sobre esto, titulado Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails (Wiley, 2016) . (Sí, acabo de citar uno de mis libros sin pudor alguno). Se ha utilizado phishing para cerrar fábricas, piratear al DNC, irrumpir en la Casa Blanca y en cientos de empresas importantes y robar millones de dólares con distintas estafas. El phishing es, de lejos, el más peligroso de los cuatro vectores principales.

»Suplantación: Lo sé, deberíamos incluir aquí alguna otra cosa acabada en ishing, pero he pensado que era mejor poner esto porque es diferente. Sin embargo, su posición en esta lista no implica en ningún caso que debamos preocuparnos por este vector menos que por los otros. En los últimos 12 meses, hemos recabado cientos de historias de suplantaciones de policías, agentes federales y compañeros de trabajo para cometer delitos horribles. En abril de 2017 salió una noticia sobre un hombre que se hacía pasar por policía y cómo le pillaron. Traficaba con pornografía infantil y utilizaba la suplantación para lucrarse.

Cualquier ataque de ingeniería social sobre el que lea puede encajar en una de estas cuatro categorías. Más recientemente, estamos encontrando lo que denominamos «ataque combinado», en el cual los ingenieros sociales maliciosos utilizan una combinación de vectores para conseguir sus objetivos.

Cuando analizo estos ataques, empiezo a ver patrones que no solo identifican los tipos de herramientas y procesos utilizados, sino que también pueden ayudar a un experto en seguridad a definir con mayor claridad cómo se realizan estos ataques y emplear los resultados para educar y proteger. Llamo a esto la pirámide IS.

La pirámide IS

Voy a ir directamente a la pirámide antes de explicar por qué la inventé y qué significa cada sección. Está ilustrada en la figura 1.3.

Como verá, la pirámide se divide en varias secciones y enfoca la ingeniería social desde la perspectiva de un profesional, esto es, no de alguien que usa la IS con perversas intenciones, sino de alguien que lo hace para ayudar a clientes.

Voy a definir cada sección de la pirámide y más adelante en el libro abordaré con más detalle cada capa.

Figura 1.3. La pirámide IS.

OSINT

OSINT, u Open Source Intelligence (inteligencia de código abierto), es la savia de cualquier acción de ingeniería social. También es la pieza a la que deberíamos dedicar más tiempo. Por este motivo, ocupa el primer lugar, y el más grande. Hay una parte de este escalón de la que raramente se habla: la documentación. ¿Cómo documenta, archiva y cataloga toda la información que encuentra? En el próximo capítulo desarrollaré este factor clave.

Desarrollo de pretextos

Basándose en los hallazgos de la fase OSINT, el siguiente paso lógico es empezar a desarrollar pretextos. Es una pieza crucial que se encara mejor teniendo en mente la OSINT. Durante esta fase, vemos qué cambios o añadidos hay que hacer para garantizar el éxito. También es cuando queda claro qué atrezo y/o herramientas se necesitan.

Plan de ataque

Tener un pretexto listo no implica estar preparado. El siguiente paso es planificar respondiendo estas preguntas:

»¿Cuál es el plan? ¿Qué es lo que intentamos conseguir? ¿Qué quiere el cliente? Estas preguntas ayudan a desarrollar la siguiente pieza.

»¿Cuándo es el mejor momento para lanzar el ataque?

»¿Quién necesita estar disponible de inmediato para apoyo o asistencia?

Lanzamiento del ataque

Ahora llega lo divertido: lanzar los ataques. Con los preparativos hechos en el plan de ataque, estamos listos para avanzar a todo gas. Es importante estar preparado, pero no ceñirse tanto a un guion que nos impida ser dinámicos. Estoy muy a favor de contar con un plan por escrito y creo que puede ahorrar muchos quebraderos de cabeza después. Pero temo que si guionizamos todas las palabras o acciones que consideramos necesarias, podemos tener problemas si ocurre algo inesperado. Nuestro cerebro se da cuenta de que no hay nada en el guion para ayudarnos y empezamos a tartamudear, ponernos nerviosos y mostrar miedo. Es algo que puede realmente arruinar nuestras probabilidades de éxito. En vez de guionizar, sugiero hacer un esquema que marque una ruta que seguir, al tiempo que deja libertad creativa.

Informes

¡Espere! No se salte esta sección. Vuelva y léala. Sí, hacer informes no es divertido, pero piénselo así: el cliente le ha pagado X para realizar unos servicios y es muy probable que tenga muchísimo éxito en esos ataques. Pero el cliente no le paga solo para parecer guay. Lo hace para entender qué puede hacer para resolver el problema. Por esa razón, la fase de informes está en la cúspide de la pirámide, es el pináculo sobre el que descansa el resto.

Si se siguen, las cinco fases de esta pirámide conducen al éxito como ingeniero social, pero también como profesional que ofrece servicios de ingeniería social a sus clientes. Lo cierto es que todos los ingenieros sociales maliciosos del mundo siguen estos pasos, salvo el de los informes.

En 2015, Dark Reading informó de un ataque que implicaba esta misma pirámide. (Puede leer el artículo «CareerBuilder Attack Sends Malware-Rigged Resumes to Businesses» en www.darkreading.com/vulnerabilities—-threats/careerbuilderattack-sends-malware-rigged- resumes-to-businesses/d/d-id/1320236?).

1.Los atacantes investigaron el ataque a unos cuantos objetivos y mientras trabajaban en la fase OSINT, descubrieron que sus objetivos utilizaban un popular sitio llamado CareerBuilder.

2.Una vez completada la fase OSINT, los atacantes empezaron a desarrollar pretextos, lo que les condujo a planear un pretexto como buscador de empleo que quiere ser contratado en cualquier puesto ofrecido por sus objetivos. Se dieron cuenta de que las herramientas que necesitaban eran archivos codificados maliciosamente y unos currículos realistas.

3.Empezaron a planear los ataques, respondiendo algunas de las preguntas anteriores.

4.Después, lanzaron los ataques cargando sus documentos maliciosos no en el objetivo sino en el sitio web CareerBuilder. Las empresas que ofrecían los trabajos recibían una notificación por correo electrónico indicando que había un nuevo candidato y ese correo contenía los adjuntos del atacante.

5.No siguieron con una fase de informes procesables, pero hay algunos informes procesables gracias a unos investigadores de Proofpoint.

Este ataque tuvo éxito porque la víctima recibía un adjunto de una fuente reputada y de confianza (CareerBuilder). En consecuencia, lo abría sin pensar, y ese es exactamente el objetivo del ingeniero social malicioso: conseguir que su víctima haga una acción que no le beneficia sin pensar en los posibles peligros implicados.

¿Qué incluye este libro?

Cuando empecé a planificar este libro, quería asegurarme de mantener el esquema de la primera edición para que quienes se beneficiaron de aquellas páginas pudieran beneficiarse también de estas. Al mismo tiempo, quería cambiarlo y actualizarlo para cubrir nuevos ataques y cuestiones que no llegué a explicar en el anterior.

Quería asegurarme de seguir todos los consejos de admiradores, investigadores, lectores y críticos con la esperanza de hacer esta edición mucho mejor que la primera. Voy a esbozar el formato del libro para que sepa qué esperar.

Siguiendo la ruta de la pirámide, el capítulo 2 , «¿Ve lo mismo que yo?», habla sobre la OSINT y cubre algunas de las técnicas atemporales empleadas. Me reprimo de sumergirme demasiado en herramientas reales, aunque menciono unas cuantas que han estado en mi caja de herramientas estos últimos años.

En el capítulo 3, «¿Perfilar a las personas a través de la comunicación?», examino un tema que apenas se trató en la primera edición. Profundizo en herramientas avanzadas de perfilado y modelado de la comunicación.

El capítulo 4 , «Ser quien quiera ser», es donde empezamos a entrar en los pretextos. Es un tema del que no mucha gente habla fuera del contexto de la ingeniería social. Comparto consejos, trucos y muchas de las experiencias (éxitos y fracasos) que he tenido a lo largo del tiempo.

En el capítulo 5 , «Sé cómo hacerle como yo», recojo información sobre distintos podcasts, boletines y conversaciones con pesos pesados de este mundo, como Robin Dreeke, y aplico los principios de la compenetración a la ingeniería social. Robin Dreeke es el director de la Unidad de Análisis de Conducta del FBI y un buen amigo mío. Es experto en crear compenetración y confianza y ha definido los pasos para hacer ambas cosas.

El capítulo 6 , «Bajo influencias», aplica al campo de la ingeniería social el trabajo de Robert Cialdini, líder en el estudio de la influencia. El capítulo aborda los principios que desarrolló en los años de su investigación y muestra cómo pueden usarlos (y los usan) los ingenieros sociales.

El capítulo 7, «Crear su arte», define la estratagema y la elicitación y explica un poco cómo cualquiera puede dominar ambas técnicas.

En el capítulo 8, «Veo lo que no dice», volvemos a uno de mis temas favoritos: la comunicación no verbal. Profundizo mucho en este tema en mi libro Unmasking the Social Engineer: The Human Element of Security (Wiley, 2014), pero este capítulo es una guía para principiantes que deseen iniciarse en el mundo de la comunicación no verbal.

En el capítulo 9, «La piratería humana», aplico los ocho capítulos anteriores a cinco tipos diferentes de ataques de ingeniería social. Este capítulo muestra lo importante que es para un ingeniero social profesional aplicar los principios de este libro.

Al acercarnos al final, el capítulo 10, «¿Cuenta con un PDMP?», cubre la prevención y la mitigación. En un libro sobre ingeniería social profesional, es muy adecuado que este capítulo cubra los cuatro pasos para aprender a combatir todos los ataques de ingeniería social.

Luego, como pasa con todo lo bueno, este libro debe terminar, así que el capítulo 11, «¿Y ahora qué?», pone el colofón.

Voy a prometerle algo:

»Prometo no citar la Wikipedia como fuente valiosa, sobre todo al mencionar la investigación (he aprendido de mis errores).

»Prometo contarle muchas historias basadas en mis experiencias en los últimos años. A veces cuento una historia desde varios ángulos para que asimile mejor algunos puntos, pero procuraré mezclar estas historias para que no se aburra.

»Cuando utilice la investigación o el trabajo de algunas de las mentes maestras de sus campos, me aseguraré de dar las referencias para que pueda profundizar más en los temas que quiera.

»Al igual que con el primer libro que escribí, estoy abierto a contactos, comentarios, sugerencias y críticas.

Lo único que le pido es que lea el libro bajo la óptica con la que lo he escrito. Si es nuevo en esto, el libro puede ayudarle a aprender lo que necesita para ser ingeniero social profesional. Si ya tiene experiencia, espero que mis historias, consejos y trucos ofrezcan nuevas herramientas para su arsenal. Si es entusiasta, espero que lea esto con el mismo entusiasmo que sentía yo al escribirlo. Y si es escéptico, léalo en el pensamiento de que no pretendo ser el elegido ni el mesías de la IS; soy solo un apasionado de la ingeniería social con muchos años de experiencia que quiero compartir para intentar que el mundo sea un poco más seguro.

Resumen

Ningún libro que escriba puede estar completo sin una analogía culinaria, así que allá va. Como en cualquier gran comida, hay mucha planificación, una receta estupenda que requiere ingredientes frescos y luego una ejecución artística y científica. La ingeniería social, aunque es simple en esencia, no es una receta para principiantes. Implica entender cómo tomamos las decisiones los humanos, qué nos motiva, cómo controlar nuestras propias emociones mientras explotamos esos mismos procesos en los demás.

El tema de este libro sigue siendo tan relevante como cuando salió la primera edición, tal vez incluso más ahora. En los últimos años he visto el ascenso de muchas personas como ingenieros sociales profesionales. También he visto a muchos ingenieros sociales maliciosos ascender y caer.

Frente a unos ataques tan dependientes del elemento humano, es crucial que todos los profesionales de la seguridad entiendan la ingeniería social. Pero hay mucho más. Recuerdo cuando empecé a trabajar de cocinero (en una vida anterior, hace mucho tiempo); mi mentor me daba ingredientes y me hacía probar un poco de cada uno. ¿Por qué?

Decía que no podía saber lo que significa «saber» si no entendía realmente a qué sabía cada elemento. Si uno sabe que la receta requiere un poco de guindilla y la quiere más picante, entiende que puede añadir un poco más. Entender que un ingrediente determinado es ya salado puede hacer que ajustemos la sal de la receta para que no sepa demasiado sazonada. Lo va pillando.

Incluso aunque no pertenezca a la industria de la seguridad, es importante que entienda a qué «saben» estos ingredientes para poder protegerse. ¿Qué significa compenetrarse con alguien y cómo puede usarse eso para que soltemos dinero? (Lo veremos en el capítulo 5). ¿Cómo hace la influencia, espolvoreada en una conversación con elicitación, que alguien dé una contraseña por teléfono? (Lo veremos en los capítulos 6 y 7).

Cada uno de estos ingredientes puede ayudarle a descubrir el «sabor». Cuando los conozca, podrá reconocer si alguien trata de usarlos con usted y estará más seguro. Podrá notar que algo no va bien y adoptar acciones defensivas.

¿Ha visto alguna vez un concurso de cocina con Gordon Ramsay? Cuando prueba un plato que no le gusta, identifica el problema específico: «este plato tiene demasiada pimienta o han usado demasiado aceite». Un novato, por su parte, diría «pica mucho o está muy grasiento». ¿Significan lo mismo las dos descripciones? Yo creo que no. Mi objetivo es ayudarle a convertirse en un Gordon Ramsay de la IS, pero menos malhablado.

Dicho esto, entremos de lleno en el primer capítulo y hablemos de la OSINT.

2

¿Ve lo mismo que yo?

«Recuerda que el fracaso es un suceso, no una persona».

—Zig Ziglar

OSINT viene de Open Source Intelligence, inteligencia de código abierto, y es la savia de la ingeniería social. La información es el punto de inicio y de apoyo de cualquier compromiso. Al ser la OSINT tan importante para nosotros como ingenieros sociales, resulta vital entender las distintas maneras en las que puede obtener inteligencia sobre sus objetivos.

Al margen de cómo obtenga la OSINT, necesita una idea clara de lo que está buscando. Puede parecer fácil, pero no lo es tanto. No se puede decir sencillamente «quiero toda la información sobre el objetivo». Cada tipo de información tiene un valor diferente y lo que es valioso puede cambiar en función del tipo de ataque que se quiera lanzar.

Un ejemplo real de recogida de OSINT

Deje que le dé un poco de perspectiva. Según el sitio www.worldwidewebsize.com, hay más de cuatro mil millones de sitios web indizados. La cuenta no incluye nada que no esté indizado, sitios de la red oscura o la red profunda, etc. El tráfico anual de Internet a nivel mundial alcanza los 1,3 zettabytes (es decir, 1.300.000.000.000.000.000.000 de bytes). Una fuente apunta que Internet puede contener un total de 10 yottabytes de datos. (10 yottabytes son 10.000.000.000.000.000.000.000.000 de bytes.)

Dato curioso: El yottabyte, que sorprendentemente va después del zettabyte, se llama así por Yoda, el personaje de Star Wars. Hay unas cuantas categorías de números incluso más grandes y con nombres más extraños que esta, como por ejemplo, shilentnobyte y domegemegrottebyte.

¿Pero por qué debería importarnos mínimamente entender la cantidad de tráfico en Internet? Bueno, si, por ejemplo, queremos hacer un spear phishing, la finalidad podría ser buscar aficiones personales, cosas que gustan y no gustan al objetivo o que encuentra valiosas. Pero si queremos usar el vishing, posiblemente nos convenga tener detalles del trabajo del objetivo, su papel en la organización y de qué tipo de recursos internos o externos esperaría una llamada esa persona. Si el objetivo es introducirse en sus instalaciones, necesitaríamos saber si la víctima se reúne con alguien y quién podría ser ese alguien.

Tenemos más de cuatro mil millones de sitios web potenciales que escudriñar en busca de datos útiles, así que antes de empezar a escarbar, es importante planificar la acción OSINT.

Para ayudarle a establecer algunos parámetros de búsqueda, utilice las listas de preguntas de la tabla 2.1.

Tabla 2.1. Ejemplo de preguntas OSNIT.

Tipo de organización

Preguntas para hacer

Empresa

¿Cómo usa la empresa Internet?

¿Cómo usa la empresa las redes sociales?

¿Tiene la empresa implementadas políticas sobre lo que su gente sube a Internet?

¿Con cuántos vendedores cuenta la empresa?

¿Qué vendedores usa la empresa?

¿Cómo acepta pagos la empresa?

¿Cómo realiza pagos la empresa?

¿Tiene la empresa centros de llamadas?

¿Dónde están la sede central, los centros de llamadas y las sucursales?

¿Permite la empresa que los empleados usen sus propios dispositivos?

¿Está la empresa en una ubicación o en varias?

¿Está disponible el organigrama?

Particular

¿Qué redes sociales usa esa persona?

¿Qué aficiones tiene?

¿Adónde va de vacaciones?

¿Cuáles son los restaurantes favoritos de esa persona?

¿Cuál es su historial familiar (enfermedades, negocios, etc.)?

¿Qué nivel de educación tiene la persona?

¿Qué estudió?

¿Qué función tiene en el trabajo?

¿Trabaja desde casa?

¿Por cuenta propia?

¿Ante quién responde?

¿Hay otros sitios que mencionen a la persona (tal vez da conferencias, escribe en foros o pertenece a un club)?

¿Es propietaria esa persona de una casa? Si es así, ¿qué obligaciones fiscales, cargas, etc. tiene la propiedad?

¿Cómo se llaman los miembros de su familia (además de cualesquiera de los datos mencionados anteriormente sobre esas personas)?

Naturalmente, las preguntas de la tabla solo rozan la superficie. Puede añadir otras sobre tipos de ordenadores usados, agenda de los empleados, idiomas, tipo de antivirus, etc.

Aquí va una historia que apareció en la prensa hace unos años. (Puede leer la noticia en https://gizmodo.com/this-is-almost-certainly-james-comey-s-twitteraccount-1793843641). Se centra en el exdirector del FBI James Comey. Una bloguera e investigadora quería ver si podría localizar las cuentas en redes sociales de James Comey. Debido a que Comey era el director del FBI, no era de dominio público si tenía cuentas en redes sociales, ni mucho menos cómo dar con ellas. Ahí es donde empieza esta historia sobre OSINT.

La figura 2.1 muestra el esquema completo de los pasos que dio la bloguera para llegar a la raíz del asunto. Eche un vistazo y después lo comentamos.

Figura 2.1. Increíble OSINT sobre un objetivo seguro.

Primero, la investigadora debió determinar qué quería descubrir: ¿tenía el director Comey cuentas en redes sociales? Si era así, ¿en cuáles?

Investigar esto usando solo Internet resultó muy difícil. En 2016, un sitio web hizo una lista con las principales 60 plataformas de redes sociales. Con tantas plataformas disponibles, cada una con sus reglas y métodos, podía ser muy complicado encontrar a un hombre.

Por suerte, una de las formas de OSINT más antiguas jugaba a favor de la investigadora: la escucha. En una aparición pública, el director Comey mencionó que tenía cuentas en Twitter e Instagram.

Esa declaración ayudó a la investigadora a reducir la búsqueda de más de 60 redes a solo dos. Dos es un número mucho más manejable en una búsqueda.

Tras no encontrar ninguna cuenta vinculada directamente con el director Comey, la investigadora localizó la cuenta de Twitter de Brien Comey, el hijo del director. Pudo confirmar la conexión de Brien Comey con el director cuando Brien felicitó a su padre por el ascenso a director del FBI.

Una de las cosas que puede hacer un usuario es vincular varias cuentas en redes sociales. En este caso, Brien había vinculado su cuenta en Instagram con su cuenta en Twitter. La investigadora comprobó la cuenta de Instagram, pero Brien la había cerrado al público, así que solo usuarios a quienes había dado permiso podían ver lo que publicaba.

La investigadora decidió enviar una solicitud a Brien para seguirle. Una de las características de Instagram es que mientras esperas a que un usuario acepte tu solicitud, te sugieren contactos de su círculo por si también quieres seguir a alguna de esas personas. Instagram sugirió unos cuantos usuarios que eran familiares de Brien (no se incluía al director Comey) y a uno llamado «reinholdniebuhr».

Si busca en Internet «Reinhold Niebuhr», enseguida descubrirá que era un teólogo y comentarista político. Sin embargo, falleció en 1971, así que dudo mucho que tenga una cuenta en Instagram. Pero investigando un poco más, la investigadora descubrió que Comey había escrito sobre Reinhold Niebuhr en la universidad.

Armada con esta información, la investigadora buscó en Twitter y encontró siete cuentas con ese nombre. De esas siete, solo una lo utilizaba públicamente con el nombre de usuario @ProjectExile7.

Al indagar un poco más, la investigadora descubrió que Project Exile era el nombre de un programa que Comey inició cuando era fiscal del estado en Richmond.

La investigadora hizo esas pesquisas sin cometer ninguna ilegalidad, sin piratear nada y buscando únicamente en fuentes de inteligencia de código abierto según iba siguiendo pistas.

Es un ejemplo perfecto de la combinación de OSNIT técnica y no técnica y una auténtica lección para cualquier ingeniero social. Esa es la base del resto del capítulo: los distintos tipos de OSINT y cómo utilizarlos como ingeniero social. Lo he dividido en dos secciones principales: OSINT no técnica y OSINT técnica.

Documentar o no documentar, esa es la cuestión

Antes de entrar de lleno en los tipos de OSINT, me gustaría hacer un pequeño inciso con mis reflexiones sobre la documentación.

La cuestión no es en realidad si documentar o no. La verdadera cuestión es qué se usa para documentarse y cuánto se documenta uno.

Piense en lo que decía al principio del capítulo: cuando buscamos entre 10 yottabytes de datos, encontramos mucha información sobre nuestros objetivos. Da igual lo listos que seamos, a menos que se tenga memoria fotográfica, es imposible recordar todos los detalles. E incluso la gente con memoria fotográfica no puede completar informes profesionales basándose solo en sus recuerdos.

No puedo decirle exactamente cómo debería documentarse porque hay demasiados factores que tener en cuenta. Por ejemplo, cuando emprendí esta vía profesional y hacía yo todo el trabajo, usaba aplicaciones de bloc de notas avanzadas que me permitían hacer una carpeta o nota nueva para cada cliente. Luego descomponía esa nota en secciones como «Personal», «Profesional», «Familia», «Redes sociales», etc. Cuando encontraba una OSINT, la documentaba en la sección apropiada, lo cual facilitaba la búsqueda de datos mientras escribía los informes. Usaba trucos como emplear determinados colores para cosas que utilizaba en ataques. Usaba un color para hallazgos moderados y otro para críticos.

Entonces mi equipo empezó a crecer y tenía a varias personas trabajando en un mismo proyecto, lo cual me hizo darme cuenta de que andar pasándose blocs de notas no era la mejor solución. Tenía que dar con otra que permitiese a los miembros del equipo compartir notas.

Al principio consideré opciones como Google Drive, aplicaciones de notas basadas en la nube y otras herramientas web.

Pero esas soluciones suponían unos cuantos problemas:

»Me encargaban obtener números de la seguridad social, datos bancarios y otros datos personales de la vida de personas. ¿Y si alguien piratease la solución que utilizaba? (Pasó en 2013, cuando violaron la seguridad de Evernote y hubo que cambiar más de 50 millones de contraseñas).

»No podía controlar la forma en que se accedía a esas soluciones ni cómo se gestionaban los datos.

»Al oír la palabra «nube» algunos clientes se estremecían y decían «¡No!».

Aquello me llevó a empezar a usar mis propios servidores. Conseguimos espacio en un alojamiento revisado y seguro. Creamos nuestro propio servidor VPN seguro e instalamos el software seleccionado en un servidor nuestro detrás de cortafuegos, enrutadores y nuestra VPN.

De ese modo yo controlaba cómo se almacenaban, gestionaban, copiaban, transmitían y aseguraban los datos. Esta solución me permitía dormir tranquilo por las noches porque confiaba en la manera en la que gestionábamos los datos de nuestros clientes.

Quizá usted tenga una solución diferente. Lo importante es que se tome en serio la forma de almacenar, gestionar, copiar, transmitir y asegurar cualquier dato que recoja sobre sus clientes.

OSINT no técnica

Considero OSINT no técnica cualquier cosa que no implique la interacción directa entre la ingeniería social y un ordenador. Se puede hacer shoulder surfing