6 tácticas de persuasión utilizadas en ataques de ingeniería social


Los equipos de seguridad de TI deben educar a los empleados sobre las técnicas psicológicas que los ciberdelincuentes utilizan a menudo en los ataques de ingeniería social.

ingeniería-social.jpg

Imagen: iStockphoto / Chainarong Prasertthai

Estás caminando por la calle y notas que una persona mira hacia el cielo es probable que sigas adelante. Al día siguiente, estás paseando al perro y ves a cuatro personas mirando hacia arriba. Lo más probable es que se detenga y mire hacia arriba. ¿Por qué? Descúbrelo por leyendo este extracto de La sabiduría de las multitudes.

Siguiente ejemplo: está viajando. La primera noche que ve la tarjetita doblada en el baño pidiéndole que reutilice las toallas, ayuda a proteger el medio ambiente. Tal vez prestes atención a la nota, o tal vez no.

Unos días después, se encuentra en un estado diferente y en un hotel nuevo. Al entrar al baño, ve una pequeña tarjeta doblada identical. Este se lee un poco diferente: «Por favor, únase a los innumerables otros que están ayudando a salvar nuestro medio ambiente al reutilizar las toallas». ¿Por qué es más possible que reutilice las toallas después de leer este letrero? Este artículo de NPR lo explica.

Estos son dos ejemplos de cómo se puede utilizar la psicología para influir en los seres humanos. ¿Recuerda el mensaje «reutilice las tarjetas de toallas»? El cambio a la segunda versión resultó en un aumento del 26% en la participación de los huéspedes.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Las sutilezas de las interacciones en línea

Este tipo de respuesta automatizada no pasa desapercibida para los ciberdelincuentes, ni tampoco para Chris Poulin, quien period estratega de X-Force de IBM, cuando escribió su comentario de IBM Protection Intelligence. 6 elementos psicológicos detrás de sofisticados ataques cibernéticos, que analiza cómo los ciberdelincuentes aprovechan los rasgos humanos para mejorar sus probabilidades de un ataque exitoso.

Poulin cree que no podemos interpretar las sutilezas de las interacciones en línea de la misma manera que analizamos la comunicación no verbal, como el lenguaje corporal y las microexpresiones, y cómo respondemos a elementos culturales y paralingüísticos.

«A pesar de estos matices críticos en las comunicaciones, otorgamos confianza a personalidades en línea que nunca hemos conocido, y que pueden estar fallecidas o ser completamente ficticias», escribe Poulin. «Los usuarios ignoran su mejor juicio a favor de construir una gran red, con el estado que la acompaña, y la promesa de obtener acceso a oportunidades que claramente son demasiado buenas para ser verdad».

Los seis principios de la persuasión

La confianza, según Poulin, permite que otros nos influyan. La pieza interesante es que lo contrario también es cierto: la influencia hábil puede generar confianza.

Poulin se refiere a continuación a Robert Cialdini y su libro más vendido, Influencia: la psicología de la persuasión, en el que Cialdini profundiza en los diversos elementos que permiten a las personas, incluidos los ciberdelincuentes, influir en otros.

Reciprocidad: Todos conocemos este. Alguien nos da un regalo y nos sentimos obligados a devolverle algo a esa persona.

Cialdini ofrece un ejemplo interesante: los camareros y las camareras suelen dejar un pequeño obsequio con la cuenta, tal vez una menta o una galleta de la fortuna. El pequeño regalo marca la diferencia. Los comensales a los que se les dio una menta al ultimate de su comida generalmente aumentaron las propinas en aproximadamente un 3%. ¿Qué es aún más impresionante? Si el camarero proporciona una menta, comienza a alejarse de la mesa, hace una pausa, se da la vuelta y ofrece a cada persona otra menta mientras dice lo agradable que fue atenderlos, «las propinas se disparan por las nubes», escribe Cialdini. En ese escenario, según Cialdini, las propinas ven «un aumento del 23%, influenciado no por lo que se dio, sino por cómo se dio. Por lo tanto, la clave para utilizar el principio de reciprocidad es ser el primero en dar y asegurar que lo que das es personalizado e inesperado «.

Esta táctica la utilizan a menudo los ingenieros sociales que intentan establecer una conexión con sus víctimas ofreciendo primero información o un regalo.

Escasez: Todos conocemos esta estratagema. Si no podemos tenerlo, lo queremos aún más. «Los estafadores han sabido de esta estratagema psicológica desde hace siglos … y todavía caemos en muchas de las mismas estafas después de siglos de victimización», comenta Poulin. «Tampoco ha mejorado en línea».

Autoridad: La gente tiende a seguir el ejemplo de expertos creíbles. Muchos ciberdelincuentes entienden que es importante dejar en claro que son autoridades creíbles y conocedoras de sus víctimas antes de intentar influir en ellas.

Poulin dice que esta estafa se usa ampliamente en ingeniería social. También sugiere precaución si se invoca la autoridad de otra persona, y agrega que probablemente será difícil contactar a esa persona por razones obvias.

Consistencia: A las personas les gusta ser coherentes con las cosas que han dicho o hecho anteriormente. Cialdini cita un estudio interesante en el que los investigadores encontraron muy pocas personas que estarían dispuestas a erigir una tabla de madera antiestética en su jardín para apoyar una campaña «Conduzca con seguridad».

Sin embargo, a solo unas cuadras de distancia, los propietarios estaban más que dispuestos. ¿La diferencia? Cialdini explicó que 10 días antes estos propietarios habían acordado colocar una pequeña postal en la ventana del frente de sus casas, indicando su apoyo a la campaña «Conduzca con seguridad», y eso marcó la diferencia.

Cuando se trata de ingeniería social, escribe Poulin: «Una vez que un contacto se compromete con una conexión, se ve en apuros para dejar de ser amigo o romper ese vínculo y continuará interactuando y asistiendo a esa persona».

Gusto: La ciencia nos dice que hay tres factores esenciales para agradar:

  1. Nos gustan las personas que son similares a nosotros.
  2. Nos gusta la gente que nos hace cumplidos.
  3. Nos gustan las personas que cooperan con nosotros para lograr objetivos mutuos.

«Las personas tienden a confiar en aquellos que les atraen, tanto física como emocionalmente», sugiere Poulin. Este es un principio basic que funciona bien y tiene potentes implicaciones que los ciberdelincuentes están más que dispuestos a explotar.

Consenso: El ejemplo antes mencionado de reutilización de toallas es un consenso en acción, en distinct, el uso de «innumerables otros». Los ciberdelincuentes también comprenden que las primeras conexiones son las más importantes una vez que están en la mano, es más probable que otros en posiciones u organizaciones similares sigan su ejemplo.

Educar a los usuarios sobre las tácticas de ingeniería social

Los seis principios de persuasión de Cialdini son simples pero efectivos. Los ciberdelincuentes que los emplean tienen una ventaja considerable cuando se trata de persuadir a sus víctimas para que muerdan el anzuelo u ofrezcan información que normalmente no harían.

Poulin está de acuerdo en que los ataques que utilizan cualquiera de los principios anteriores son efectivos, y agrega: «Predigo que aún no han alcanzado el tope en términos de sofisticación hay mucho margen de mejora utilizando los seis principios».

Ahora que conoce las técnicas psicológicas comunes que se utilizan en los ataques de ingeniería social, puede compartir esta información con los usuarios y asegurarse de que su equipo de TI esté alerta y listo para defenderse de dichos ataques. Para obtener más información, lea los siguientes recursos de TechRepublic.

Ver también



Enlace a la noticia primary