Este interesante articulo fue escrito hace un tiempo por Andrés Eduardo Alba para ser publicado en una revista de seguridad informática, Andres es consultor
especializado en seguridad informática, especialista en ingeniería social y
persuasión. Psicólogo de la Universidad
de la Sabana. Actualmente trabaja en el desarrollo de soluciones contra la
ingeniería social y es autor de tecnología de defensa contra ataques de
ingeniería social patentada en los Estados Unidos de América.
El siguiente articulo presenta la posición de un Psicólogo en contra de la llamada Ingeniería Social de Kevin Mitnick y sus profundos vacíos desde el punto vista profesional de esta rama, al llamar "planteamiento absolutamente inútil", no siendo mas, los dejo con el resumen y posterior articulo sobre este apasionante tema y de antemano gracias a Andrés Eduardo Alba por su aporte.
RESUMEN
Desde que el conocido hacker Kevin Mitnick
publicó su libro ‘The Art of Deception’, dicho texto se ha utilizado por
ingenieros para la educación del usuario, como solución al problema de la
ingeniería social. Desde hace mucho tiempo, quienes trabajan en psicología en
problemas relacionados, afirman que la educación, tal y como está planteada por
este autor, es absolutamente inútil, e incluso nociva. Sorprendentemente,
ningún psicólogo experto en el campo de la persuasión se ha ocupado de refutar
este abordaje tradicional y deficiente. Este artículo pretende demostrar de una
manera científica por qué esto es así, y formular la cuestión de manera
coherente.
Palabras
Claves--. Hackers, ingeniería social, persuasión, influencia social.
I. Introducción
En su libro “The Art of Deception”, el famoso hacker Kevin Mitnick nos
plantea una metodología para defendernos de los ataques de ingeniería social.
La palabra clave de esta metodología es “educar”, y a lo largo de su libro lo
hace de la siguiente manera: nos introduce al tema, luego nos presenta un caso
con una técnica de ingeniería social a modo de ejemplo, nos aclara el vocabulario
utilizado en el caso, luego lo analiza y nos explica como aplicó la técnica, y
finalmente nos hace unos comentarios que complementan sus explicaciones; este
método funciona asumiendo que la solución al problema es “dictar clases”
sobre ingeniería social, explicando con argumentos válidos el problema, y dando
ejemplos. Esto ha producido que todas las personas o instituciones que quieren
defenderse de la ingeniería social, hayan adoptado una estrategia de enseñanza intelectual del problema.
La enseñanza intelectual, tiene grandes limitaciones a la hora de
proteger contra un ataque que utiliza técnicas de persuasión. Hay ataques que
son tan conocidos o emplean estas técnicas de manera tan deficiente, que la
enseñanza intelectual nos puede proteger contra ellos, pero este tipo de
ataques no son los que realizan los hackers más peligrosos, los cuales conocen
muy bien las vulnerabilidades psicológicas de las personas y emplean
estrategias de persuasión y engaño para manipularlas y obtener lo que quieren;
de hecho, los ataques más nocivos se hacen de esta manera y es por esto que la
educación enseñada por Mitnick es inútil en las situaciones más críticas.
II. Casos en los que las Personas son Vulnerables a
la Manipulación
Las personas son más vulnerables a la manipulación de lo que creen, y en
estos casos, aún cuando estas conocen y entienden las consecuencias negativas
de sus acciones, siguen comportándose de forma nociva. Es el caso por ejemplo
de las adicciones, las que han sido combatidas por campañas educativas con
resultados positivos mínimos. En este caso las personas pueden conocer y
entender perfectamente las razones por las cuáles es destructivo lo que hacen,
y aún así, seguir con su conducta. Tomemos por ejemplo el caso del cigarrillo;
es muy conocido por todos que el fumador empieza su conducta por influencia de publicidad
de las tabacaleras o de sus pares, amigos o familiares, y esta influencia es
efectiva sin importar las campañas educativas de prevención a las que esta haya
atendido. En otros casos la manipulación es más clara, como en el caso de las
relaciones de pareja destructivas o las adicciones que no implican sustancias,
como las relacionadas a los videojuegos
o a las compras.
III. Las Vulnerabilidades de los Usuarios.
En el caso de la ingeniería social, los hackers ejercen cierta presión
psicológica sobre sus víctimas haciendo uso de lo que en psicología se conoce
como heurísticas. Para entender que son y como funcionan las heurísticas
debemos analizar el experimento que hizo el reconocido etólogo, Dr. Michael
Wilson Fox. En este experimento descubrió que las madres pavo, suelen tener
comportamientos maternales muy protectores con sus crías, ya que son muy
agresivas ante cualquier depredador que las amenace, especialmente ante sus
enemigos naturales los hurones. El propósito de Fox era averiguar si las pavas
pueden ser engañadas fácilmente, pues estas madres reconocen a sus crías por la
forma característica como pían. Por lo tanto creó un hurón de peluche el cuál
las pavas atacaban con solo verlo, pero al incorporarle una grabadora con el
sonido de pío de los polluelos, ellas lo adoptaban como a su hijo, cuidándolo,
y alimentándolo. La explicación de esto, es que las madres pavo están
programadas para reaccionar de manera maternal al escuchar el pío de las crías,
esta programación es lo que se llama un patrón de acción fijo (PAF). Esto es
muy importante entenderlo, pues en los seres humanos, las heurísticas se
comportan como los patrones de acción fijo en los animales.
Muchas personas dirían que los seres humanos son más complejos que los
pavos o que cualquier animal y que por eso estas cosas no se encuentran en los
humanos cuyo comportamiento siempre obedece a su voluntad racional, pero la
psicología experimental ha encontrado muchos ejemplos que ponen en duda esta
afirmación, descubriendo las heurísticas como resultado. Tomemos uno de los
ejemplos más clásicos, los experimentos de obediencia de Stanley Milgram. Este
psicólogo quiso resolver el enigma de porqué el pueblo alemán había accedido a
matar a tantos judíos en la segunda guerra. Ideó un experimento donde las
personas debían enseñar una tarea de memoria a un sujeto; si el sujeto no
recordaba bien lo enseñado, debía castigársele con una descarga eléctrica y
aumentar el voltaje para la siguiente ocasión que se equivocara. Sin embargo el
sujeto al que se le enseñaba era un actor y las descargas eran ficticias, pero
se les hacía creer a los profesores que le enseñaban, que estas eran muy
reales. El actor no respondía bien a las preguntas de memoria por que el
objetivo real del experimento era
encontrar hasta donde las personas normales le harían caso a una autoridad, en
este caso al científico que dirigía el experimento, por lo que este siempre le
ordenaba al profesor seguir y aumentar la fuerza de las descargas sin importar
la reacción del alumno al que se le estaba enseñando.
Antes del experimento, Milgram le preguntó a varios grupos de personas
(entre ellos estudiantes de educación, profesionales, psiquiatras entre otros),
¿que esperaban que pasara en el experimento? y ¿cuándo creían que los profesores
pararían de administrar descargas correctivas? Según ellos el 100% de las personas pararían
antes de castigar con descargas muy fuertes al alumno que se equivocara, y solo
un 1% de personas mentalmente enfermas o psicópatas administrarían descargas
hasta matar a los estudiantes. En la práctica casi todas las personas normales
aumentaron el castigo hasta lo máximo, aún si creían que las descargas eran
mortales. De hecho cuando el actor se equivocaba una y otra vez, llegaba el
punto en el que empezaba a gritar que le dolía, y luego de varios castigos más,
gritaba diciendo que tenía problemas cardiacos; después de muchos castigos
dejaba de gritar como si estuviera inconsciente y los profesores nunca paraban
de administrarle descargas porque era lo que el científico les ordenaba. Este
experimento se ha repetido varias veces en varios países y con varios tipos de
personas, hombres y mujeres de distintas carreras y edades en rol de profesor,
obteniendo los mismos resultados.
IV. Aplicación a la Ingeniería Social
Podemos concluir que los seres humanos tienen heurísticas que pueden
desactivar el análisis intelectual e incluso moral. Estas funcionan como los
PAF y se activan ante cierta característica o circunstancia, en el caso de los
experimentos de Milgram, ante la autoridad del científico jefe del experimento,
y activan una programación específica, en este caso la obediencia. Otra característica
de estas es que desencadenan emociones, es por esta razón que las heurísticas
pueden bloquear el pensamiento racional y hacer que la persona se comporte de
manera predecible. Un ejemplo aplicado a la ingeniería social sería el
siguiente: un hacker suplanta a un subalterno de un gerente de una empresa, se contacta con una persona de desarrollo de
productos, le dice que el gerente necesita con urgencia el nuevo prototipo que
la empresa acabó de desarrollar, y le pide que lo envíe a una dirección que el
mismo le da. Si su historia es convincente, el hacker habrá activado una
heurística en la mente de la persona de desarrollo: hay que obedecer la
autoridad; y le habrá causado una emoción que bloquea su pensamiento racional:
miedo al castigo del gerente. De hecho, Rodolfo Llinas nos explica en su libro
“El cerebro y el mito del Yo” que las emociones son un tipo de PAF en los seres
humanos, de ahí su poder sobre el comportamiento.
No siempre las heurísticas nos hacen hacer cosas equivocadas, de hecho
existen por una buena razón, por ejemplo cuando no hay tiempo para pensar
mucho, o cuando no se tiene información suficiente, el pensamiento heurístico
funciona muy bien. Cuando un médico le ordena a su paciente que se tome una
pastilla para estar mejor, el paciente obedece a la autoridad ya que esta forma
de actuar le da la solución más eficiente, por que no tiene que estudiar
medicina a profundidad para curarse. Las emociones que acompañan esta
heurística tampoco son nocivas, ya que el miedo a las consecuencias de
desobedecer al médico ayuda a garantizar que haga lo correcto.
Pero un hacker que conozca bien las heurísticas y sepa como aplicarlas
convincentemente, bloqueará el pensamiento racional de cualquier persona, y
todo conocimiento intelectual y educación que haya adquirido siguiendo el
método de protección de Kevin Mitnick, será inútil, y la dejará vulnerable a la
manipulación.
v. Conclusiones
Este artículo es una breve explicación del tema de pensamiento heurístico y
del por qué las soluciones que se aplican en casi todas partes contra la
ingeniería social que no lo toman en cuenta, son inservibles contra hackers
experimentados y muy hábiles. No solo son inútiles, sino que pueden crear una
falsa seguridad que hace que las personas y las instituciones sean aún más
vulnerables a los ataques de este tipo