Los Psicólogos VS La teoría de Kevin Mitnick y ‘The Art of Deception’

Este interesante articulo fue escrito hace un tiempo por Andrés Eduardo Alba para ser publicado en una revista de seguridad informática, Andres es consultor especializado en seguridad informática, especialista en ingeniería social y persuasión. Psicólogo de la Universidad de la Sabana. Actualmente trabaja en el desarrollo de soluciones contra la ingeniería social y es autor de tecnología de defensa contra ataques de ingeniería social patentada en los Estados Unidos de América.

El siguiente articulo presenta la posición de un Psicólogo en contra de la llamada Ingeniería Social de Kevin Mitnick y sus profundos vacíos desde el punto vista profesional de esta rama, al llamar "planteamiento absolutamente inútil", no siendo mas, los dejo con el resumen y posterior articulo sobre este apasionante tema y de antemano gracias a Andrés Eduardo Alba por su aporte.

RESUMEN

Desde que el conocido hacker Kevin Mitnick publicó su libro ‘The Art of Deception’, dicho texto se ha utilizado por ingenieros para la educación del usuario, como solución al problema de la ingeniería social. Desde hace mucho tiempo, quienes trabajan en psicología en problemas relacionados, afirman que la educación, tal y como está planteada por este autor, es absolutamente inútil, e incluso nociva. Sorprendentemente, ningún psicólogo experto en el campo de la persuasión se ha ocupado de refutar este abordaje tradicional y deficiente. Este artículo pretende demostrar de una manera científica por qué esto es así, y formular la cuestión de manera coherente.  

Palabras Claves--. Hackers, ingeniería social, persuasión, influencia social.     

I.  Introducción

En su libro “The Art of Deception”, el famoso hacker Kevin Mitnick nos plantea una metodología para defendernos de los ataques de ingeniería social. La palabra clave de esta metodología es “educar”, y a lo largo de su libro lo hace de la siguiente manera: nos introduce al tema, luego nos presenta un caso con una técnica de ingeniería social a modo de ejemplo, nos aclara el vocabulario utilizado en el caso, luego lo analiza y nos explica como aplicó la técnica, y finalmente nos hace unos comentarios que complementan sus explicaciones; este método funciona asumiendo que la solución al problema es  “dictar clases” sobre ingeniería social, explicando con argumentos válidos el problema, y dando ejemplos. Esto ha producido que todas las personas o instituciones que quieren defenderse de la ingeniería social, hayan adoptado una estrategia de enseñanza intelectual del problema.

La enseñanza intelectual, tiene grandes limitaciones a la hora de proteger contra un ataque que utiliza técnicas de persuasión. Hay ataques que son tan conocidos o emplean estas técnicas de manera tan deficiente, que la enseñanza intelectual nos puede proteger contra ellos, pero este tipo de ataques no son los que realizan los hackers más peligrosos, los cuales conocen muy bien las vulnerabilidades psicológicas de las personas y emplean estrategias de persuasión y engaño para manipularlas y obtener lo que quieren; de hecho, los ataques más nocivos se hacen de esta manera y es por esto que la educación enseñada por Mitnick es inútil en las situaciones más críticas.

II.  Casos en los que las Personas son Vulnerables a la Manipulación

Las personas son más vulnerables a la manipulación de lo que creen, y en estos casos, aún cuando estas conocen y entienden las consecuencias negativas de sus acciones, siguen comportándose de forma nociva. Es el caso por ejemplo de las adicciones, las que han sido combatidas por campañas educativas con resultados positivos mínimos. En este caso las personas pueden conocer y entender perfectamente las razones por las cuáles es destructivo lo que hacen, y aún así, seguir con su conducta. Tomemos por ejemplo el caso del cigarrillo; es muy conocido por todos que el fumador empieza su conducta por influencia de publicidad de las tabacaleras o de sus pares, amigos o familiares, y esta influencia es efectiva sin importar las campañas educativas de prevención a las que esta haya atendido. En otros casos la manipulación es más clara, como en el caso de las relaciones de pareja destructivas o las adicciones que no implican sustancias, como las relacionadas a  los videojuegos o a las compras. 

III.  Las Vulnerabilidades de los Usuarios.

En el caso de la ingeniería social, los hackers ejercen cierta presión psicológica sobre sus víctimas haciendo uso de lo que en psicología se conoce como heurísticas. Para entender que son y como funcionan las heurísticas debemos analizar el experimento que hizo el reconocido etólogo, Dr. Michael Wilson Fox. En este experimento descubrió que las madres pavo, suelen tener comportamientos maternales muy protectores con sus crías, ya que son muy agresivas ante cualquier depredador que las amenace, especialmente ante sus enemigos naturales los hurones. El propósito de Fox era averiguar si las pavas pueden ser engañadas fácilmente, pues estas madres reconocen a sus crías por la forma característica como pían. Por lo tanto creó un hurón de peluche el cuál las pavas atacaban con solo verlo, pero al incorporarle una grabadora con el sonido de pío de los polluelos, ellas lo adoptaban como a su hijo, cuidándolo, y alimentándolo. La explicación de esto, es que las madres pavo están programadas para reaccionar de manera maternal al escuchar el pío de las crías, esta programación es lo que se llama un patrón de acción fijo (PAF). Esto es muy importante entenderlo, pues en los seres humanos, las heurísticas se comportan como los patrones de acción fijo en los animales.

Muchas personas dirían que los seres humanos son más complejos que los pavos o que cualquier animal y que por eso estas cosas no se encuentran en los humanos cuyo comportamiento siempre obedece a su voluntad racional, pero la psicología experimental ha encontrado muchos ejemplos que ponen en duda esta afirmación, descubriendo las heurísticas como resultado. Tomemos uno de los ejemplos más clásicos, los experimentos de obediencia de Stanley Milgram. Este psicólogo quiso resolver el enigma de porqué el pueblo alemán había accedido a matar a tantos judíos en la segunda guerra. Ideó un experimento donde las personas debían enseñar una tarea de memoria a un sujeto; si el sujeto no recordaba bien lo enseñado, debía castigársele con una descarga eléctrica y aumentar el voltaje para la siguiente ocasión que se equivocara. Sin embargo el sujeto al que se le enseñaba era un actor y las descargas eran ficticias, pero se les hacía creer a los profesores que le enseñaban, que estas eran muy reales. El actor no respondía bien a las preguntas de memoria por que el objetivo  real del experimento era encontrar hasta donde las personas normales le harían caso a una autoridad, en este caso al científico que dirigía el experimento, por lo que este siempre le ordenaba al profesor seguir y aumentar la fuerza de las descargas sin importar la reacción del alumno al que se le estaba enseñando.

Antes del experimento, Milgram le preguntó a varios grupos de personas (entre ellos estudiantes de educación, profesionales, psiquiatras entre otros), ¿que esperaban que pasara en el experimento? y ¿cuándo creían que los profesores pararían de administrar descargas correctivas?  Según ellos el 100% de las personas pararían antes de castigar con descargas muy fuertes al alumno que se equivocara, y solo un 1% de personas mentalmente enfermas o psicópatas administrarían descargas hasta matar a los estudiantes. En la práctica casi todas las personas normales aumentaron el castigo hasta lo máximo, aún si creían que las descargas eran mortales. De hecho cuando el actor se equivocaba una y otra vez, llegaba el punto en el que empezaba a gritar que le dolía, y luego de varios castigos más, gritaba diciendo que tenía problemas cardiacos; después de muchos castigos dejaba de gritar como si estuviera inconsciente y los profesores nunca paraban de administrarle descargas porque era lo que el científico les ordenaba. Este experimento se ha repetido varias veces en varios países y con varios tipos de personas, hombres y mujeres de distintas carreras y edades en rol de profesor, obteniendo los mismos resultados. 

IV.  Aplicación a la Ingeniería Social

Podemos concluir que los seres humanos tienen heurísticas que pueden desactivar el análisis intelectual e incluso moral. Estas funcionan como los PAF y se activan ante cierta característica o circunstancia, en el caso de los experimentos de Milgram, ante la autoridad del científico jefe del experimento, y activan una programación específica, en este caso la obediencia. Otra característica de estas es que desencadenan emociones, es por esta razón que las heurísticas pueden bloquear el pensamiento racional y hacer que la persona se comporte de manera predecible. Un ejemplo aplicado a la ingeniería social sería el siguiente: un hacker suplanta a un subalterno de un gerente de una empresa,  se contacta con una persona de desarrollo de productos, le dice que el gerente necesita con urgencia el nuevo prototipo que la empresa acabó de desarrollar, y le pide que lo envíe a una dirección que el mismo le da. Si su historia es convincente, el hacker habrá activado una heurística en la mente de la persona de desarrollo: hay que obedecer la autoridad; y le habrá causado una emoción que bloquea su pensamiento racional: miedo al castigo del gerente. De hecho, Rodolfo Llinas nos explica en su libro “El cerebro y el mito del Yo” que las emociones son un tipo de PAF en los seres humanos, de ahí su poder sobre el comportamiento.

No siempre las heurísticas nos hacen hacer cosas equivocadas, de hecho existen por una buena razón, por ejemplo cuando no hay tiempo para pensar mucho, o cuando no se tiene información suficiente, el pensamiento heurístico funciona muy bien. Cuando un médico le ordena a su paciente que se tome una pastilla para estar mejor, el paciente obedece a la autoridad ya que esta forma de actuar le da la solución más eficiente, por que no tiene que estudiar medicina a profundidad para curarse. Las emociones que acompañan esta heurística tampoco son nocivas, ya que el miedo a las consecuencias de desobedecer al médico ayuda a garantizar que haga lo correcto.

Pero un hacker que conozca bien las heurísticas y sepa como aplicarlas convincentemente, bloqueará el pensamiento racional de cualquier persona, y todo conocimiento intelectual y educación que haya adquirido siguiendo el método de protección de Kevin Mitnick, será inútil, y la dejará vulnerable a la manipulación. 

v. Conclusiones 

Este artículo es una breve explicación del tema de pensamiento heurístico y del por qué las soluciones que se aplican en casi todas partes contra la ingeniería social que no lo toman en cuenta, son inservibles contra hackers experimentados y muy hábiles. No solo son inútiles, sino que pueden crear una falsa seguridad que hace que las personas y las instituciones sean aún más vulnerables a los ataques de este tipo