Introducción
En un mundo de información
instantánea, de oportunidades y amenazas, las organizaciones y los seres
humanos, viven expuestos a toda clase de estímulos y condiciones de
interacción, que exigen una vista balanceada de expresiones y declaraciones que
permitan informar lo que se requiere y mantener en reserva aquello que es
necesario.
En una sociedad
hipercomunicada y con sobrecarga de información, intentar “controlar” la
información para que no fluya, es una teoría efímera que no es posible
alcanzar, toda vez que lo natural del ser humano es comunicarse, encontrarse
con el otro y sobre manera compartir. Por tanto, se precisa cambiar el modelo
de protección de la información clave de las personas y empresas, superando las
ideas exclusivas de restricción y castigo, por otras que vinculen a las
personas y sus propios intereses, motivando una reflexión por impactos y
transformado comportamientos específicos, haciendo estos últimos más
resistentes y alertas a los cambios o situaciones adversas.
Así las cosas, las empresas
deben evitar caer en la falacia de las medidas de seguridad exteriores o
informáticas como técnicas o herramientas como la forma más idónea de evitar
brechas de seguridad y asegurar los activos de la firma. En este sentido, como anota Carleson (2013,
pág.68) “(…) si sólo confías en cerrojos
y programas cortafuegos, ten claro que sigues a merced de todo aquel que esté
en posesión de una llave y/o de la palabra clave de acceso, y que tu empresa
sólo tendrá la seguridad que decida tener tu empleado más
inmoral/descontento/descuidado/endeudado (elige la vulnerabilidad que más te
guste). (…)”
Lo anterior, confirma una vez
más que son las personas el punto decisivo para que un esquema de seguridad de
la información transforme un concepto de protección, en una práctica de
operación que, entendiendo la realidad de la organización y sus procesos, es
capaz de tomar decisiones prudentes, aún en situaciones críticas, para aumentar
la capacidad de defensa de los activos claves del negocio.
En consecuencia, desarrollar
y aumentar la fortaleza de las prácticas de seguridad y control sobre la
información en los individuos, desde la interacción práctica y no desde el
discurso gastado de las “pérdidas y sanciones”, es una exigencia que se debe
materializar en los programa de entrenamiento o inducción empresariales, con el
fin de motivar una cultura de debido cuidado y prudencia sobre la información
estratégica de la empresa y sus impactos en su sector de negocio.
Así las cosas, cada persona
en una organización debe reconocer sus propio marco de referencia sobre la
protección de la información, darse la oportunidad para repensarlo en el
contexto de la empresa para cual trabaja y crear un nuevo comportamiento que,
no solamente se ajuste a los mandatos corporativos, sino que se incorpore en su
persona, como capacidad inherente para desarrollar un “mínimo de paranoia bien
administrada”, que le permite ser un buen escucha de su entorno y tomar las
acciones que correspondan en el momento que se requieran.
Reconociendo al enemigo
Desarrollar habilidades para
comprender y valorar lo que ocurre en el entorno de las operaciones y
actuaciones dentro y fuera de la organización, demanda una serie de acciones
que las personas deben conocer y aplicar con el fin de balancear su normal
actuar con el estado de alerta base requerido para identificar situaciones
potencialmente adversas.
Lo anterior, no pretende que
las personas en las organizaciones estén con “delirio de persecución” de manera
permanente, sino que desarrollen su sentido de alerta y autocuidado,
fundamental para el aseguramiento de su protección personal y ahora, como
condición extendida para proteger la información a la que tiene acceso con
ocasión de su posición, cargo o función.
En el mundo dinámico y
agresivo de los negocios actuales, la información es el activo fundamental que
siempre está sobre la mesa y que al final del juego, es el que marca la
diferencia para desequilibrar, doblegar o comprometer la ventaja competitiva de
las empresas. Así las cosas, las organizaciones saben que deben desarrollar
estrategias para equilibrar la necesidad de compartir y proteger aún en los
entornos más agrestes como en los más confiables.
Para ello, el contenedor o
portador de la misma, los seres humanos, deben entrenarse para someterse a las
más exigentes pruebas de “vulnerabilidades”, con el fin de asegurar que sus
prácticas de protección actuales, son capaces de disuadir las técnicas propias
de la ingeniería social (en el ámbito personal) y aquellas del dominio técnico
(pruebas informáticas de vulneración), no para que el intruso no logre su
cometido, sino para que se demore más en lograr su objetivo.
Los ingenieros sociales
cuentan con diferentes estrategias para motivar la extracción de información de
sus objetivos, algunas pasivas otras activas. Las pasivas buscan identificar y recolectar información
disponible en los medios de comunicación, en el internet, en conversaciones o
publicaciones que hablen sobre la organización o particularmente sobre la(s)
persona(s) claves. (HADNAGY 2014, pág.30) Con estos datos, establecen un perfil
base de la(s) persona(s) claves para comenzar a obtener la información
requerida de la empresa y empezar a armar el rompecabezas con los diferentes
elementos recabados y entender la dinámica de las relaciones de la(s)
persona(s) seleccionadas, para establecer los puentes requeridos para llegar a
su objetivo final.
Basado en lo anterior, se da
paso a las técnicas activas como son el pretexto
(pretexting), la provocación (elicitation)
y la simpatía (rapport). (idem, pág.29-31) La combinación de estas tres establece
el puente requerido para sintonizar con el objetivo establecido y desarrollar
un marco psicológico confiable que permita abrir la posibilidad para un flujo
de información personal y corporativa, con amabilidad y elegancia.
El pretexto es una técnica que demanda conocimiento de la persona
objetivo, para establecer un contexto creíble de acción y operación de aquel
que pretende entrar en contacto con la persona seleccionada. Esta persona puede
ser desde un desconocido o alguien cercano que busca por lo general un “gancho
adecuado” para desarrollar una aproximación clave que termine en una
conversación inicial con vocación de contacto futuro.
Abordar a una persona
específica con un fin concreto, exige un pretexto bien fundado y racional que
permita, con mucha sutilidad y tacto, establecer una afinidad para seguir
conversando y un motivo para seguir en contacto. (CARLESON 2013, pág.34) No se
trata de agobiar a la persona objetivo, sino de proporcionarle los elementos
necesarios y suficientes que perfeccionen la conexión y acrecienten el vínculo
que se crea.
La provocación consiste en “(…) formular
preguntas de carácter benigno y no sospechosas que acaben revelando información
que probablemente no obtendríamos de haber preguntado directamente. (…)”
(Idem, pág.37). Esto supone que el atacante es entrenado en el “cómo” y “qué”
preguntar, con el fin de no mostrarse demasiado vago o prudente en su discurso
o ser excesivamente descarado o agresivo.
Esta técnica generalmente se
usa en reuniones de gremios, conferencias o seminarios sectoriales, bares o
situaciones cotidianas de encuentros, donde se identifica no solamente partes
de la información requerida, sino la red de contactos y personas claves que
hacen parte de la ecuación que se debe completar para tener la vista completa
de los datos que se persiguen o quieren conocer por parte del tercero no
autorizado.
Finalmente y no menos
importante la simpatía, que siendo
una habilidad importante y natural en las relaciones humanas, es posible
utilizarla para crear un entorno de confianza y apertura que genere una
oportunidad para el atacante, sin que la persona objetivo lo note. Múltiples
formas se tienen previstas para que esto ocurra, dentro de las cuales se
anotan: (CARLESON 2013, pág.43-44)
- Revelar información personal en tono coloquial que invite al diálogo.
- Establecer temas trampolines (deportes, el tiempo, alguna situación particular que sea de dominio general) con el fin de hacer transición al tópico relevante.
- Referenciar a una persona –de confianza o reconocida- y comentar un hecho concreto para lograr mayor confianza de la persona objetivo.
Si bien no agotamos los
elementos y variedad de estrategias disponibles por los “ingenieros sociales”
para lograr su cometido, si detallamos las más utilizadas por estos para
discernir y explotar las vulnerabilidades de una persona objetivo, para generar
la motivación suficiente, y que de manera libre y espontánea revele aquello que
es fundamental para la operación que se ha planteado por el tercero interesado.
Contraatacando al enemigo
Anota Carleson (2013, pág.61)
“(…) la mejor defensa es tener un sentido
muy agudo de la percepción y practicar la habilidad de intuir el engaño.
(…)”. Nótese que no se habla de proteger o detener la situación que se
presenta, sino de tener la capacidad de “percibir o intuir” el marco conceptual
que se está creando alrededor para lograr motivar el flujo de la información
que la tercera parte requiere.
En este sentido, los
interesados en la información de la empresa o de una persona particular, se
preparan muy bien para adelantar las acciones pertinentes con el fin de lograr
su objetivo. Lucen como personas naturales, que con argumentos y planes
establecidos en sus conversaciones, configuran un escenario de diálogo
confortable y amistoso que conforma el primer paso en su estrategia de
extracción de información.
Como quiera que no se
pretende motivar un escenario de paranoia en las conversaciones que tenemos con
otras personas, si es importante advertir elementos en las mismas que permitan
descifrar el contexto en el cual se plantean y las técnicas utilizadas, para
validar el fin de éstas. Cabe aclarar que el objetivo de este texto, no es promover
la desconfianza entre las personas, sino motivar una capacidad interior para
estar alerta y revelar aquello que se puede esconder en un encuentro
premeditado o casual.
En este tenor, se requiere
fundamentar un conjunto de prácticas básicas que permitan a las personas y las
organizaciones, enfrentar los “ataques de ingeniería social” que se elaboren
para obtener la información clave de la empresa y desestimar las pretensiones
de los atacantes frente a individuos entrenados para identificar y actuar frente
situaciones elaboradas con propósitos indeterminados.
La ex agente de la CIA
Carleson establece una serie de consejos, sobre este particular, para
desestimar los esfuerzos de los atacantes y aumentar nuestra resistencia a este
tipo de actividades que podríamos denominar de “espionaje” de información.
Las recomendaciones son: (Adaptado
de: CARLESON 2013, pág.63-65)
1. Viaje sólo con los datos que necesite para el viaje
El computador/ tableta/
Celular Inteligente no debe tener información personal, información sobre
contraseñas, ni ningún tipo de información confidencial o sensible. Utilice
mecanismos de protección básicos disponibles como son dispositivos de acceso
biométrico, discos duros cifrados, programa de cifrado de información. Recuerde
que mientras esté de viaje es más susceptible para ser caer víctima de ladrones
de datos, por tanto planifique con tiempo y evite ser una estadística más.
2. Tenga cuidado con los lugares de acceso público a
internet
Usted no controla la
seguridad la red que está disponible en los centros de negocio de los hoteles,
cibercafés o puntos de acceso públicos con Wifi, por tanto, se encuentra ante
un ambiente hostil y debe tener todas las precauciones si las quieres utilizar.
3. Destruya lo que no use
Muchas personas se dedican a
buscar en los contenedores de basura aquello que le es de interés, si tritura o
destruye los documentos borradores o preliminares que tiene no podrán alcanzar
su propósito.
4. Sea consciente de su huella pública
Actúe con diligencia frente a
su propia identidad en internet. Realice con frecuencia búsquedas de su nombre
en internet donde identifique documentos, imágenes, comentarios, direcciones,
redes sociales, blogs y datos en general que le permitan conocer que dicen esos
elementos de usted. En la medida que mayor detalle ofrezca de su vida en
internet, más fácil será para el atacante diseñar su perfil y estrategia de
aproximación.
5. No se deje impresionar por la familiaridad o los
títulos académicos
Cuando sea abordado por un tercero
conocido o desconocido trate de identificar sus motivaciones, las acciones que
emprende para conectar con usted. Manténgase alerta y siga con atención la
conversación y las razones para formularle preguntas aparentemente normales.
6. Confíe en sus instintos
De manera complementaria con
lo anterior, si detecta que algo raro se percibe en la conversación, actúe en
consecuencia. Distraiga y evada a su interlocutor o márchese si es necesario. Si la persona insiste en
preguntar, puede ser un maleducado o le están sondeando. Cualquiera sea el
caso, lo más prudente es ponerle fin a la conversación.
7. No se deje retar
Los seres humanos somos
competitivos por naturaleza. En este sentido resulta tentador mostrar los
conocimientos que tenemos de la industria o de algún tema particular, lo que
abre la posibilidad de que el interlocutor maneje el discurso adecuado para que
la información que requiere se revele. Procure identificar este juego por demás
peligroso y desvíe la atención hacia temáticas menos relevantes.
8. No consuma bebidas alcohólicas
Las bebidas con radicales OH
debilitan la capacidad de reacción y anima el diálogo de las personas. Anota
Carleson (idem, pág.65-66) “(…) por mucho
que creas que controlas la situación siempre y cuando no estés borracho y
alterado, créeme: aunque la influencia del alcohol sea mínima, te convertirá en
un objetivo mucho más fácil. (…) ”
9. Mantenga un bajo perfil
Si le gustan la ropa de alto
costo, vehículos de alta gama y asistir a sitios distinguidos, sabrá que estos
establecen un patrón de comportamiento que será manejado por el tercero y
tratará de abordarlo con sus propias conductas. Sea discreto, busque lo
cotidiano, funcional, sencillo y estético así estará en cualquier lugar como
parte del escenario y no como protagonista del mismo.
10. Cuide sus conversaciones en entornos públicos
De alguna forma siempre vamos
a estar expuestos a conversar y compartir en lugares de acceso público o sitios
cerrados. Si es una reunión de negocios trate de conversar lo menos posible
sobre aspectos claves de lo que lleva allí y motive un cambio de temática
relacionada que mantenga la atención de su interlocutor. Sugiera que es posible
conversar sobre el tema particular en un ambiente más privado, lo cual
resultará conveniente para las partes. Si insiste que se hable de temas que
comprometen información clave, evada la pregunta e indique que debe regresar a
su hotel/oficina para atender un imprevisto.
Reflexiones finales
La amenaza de la filtración
de información es una realidad evidente y son muchos los casos que tenemos
tanto por fallas informáticas como por fallas del “cortafuegos humano”. Como
quiera que los seres humanos somos “eminentemente sociales”, es clave desarrollar
la habilidad para resistir los embates de los “ataques sociales”, los cuales se
manifiestan sin mayores anuncios e instrumentos, para pasar desapercibidos y
así conquistar su objetivo.
La ingeniería social y sus
diferentes estrategias y técnicas establecen un reto personal y corporativo
para identificar aquellos aspectos que son vulnerables de las personas claves
de las organizaciones y motivar el flujo de información clave, de una forma
elegante y sin presiones. Esto supone conocer muy bien la gestión de la
información en la empresa para conocer las redes de contactos donde esta fluye
y analizar los puntos menos asegurados, donde es posible hacer un menor
esfuerzo y extraer la mayor información sin quedar en evidencia.
De otra parte, es necesario
activar la habilidad para detectar de manera instintiva la presencia de tendencias
amenazadoras, a partir del conocimiento en profundidad de un sector de negocio,
de la voz de los detractores, de la información que se proporciona en los
medios sociales y de la atención a los cambios que se presentan por muy sutiles
que estos sean. Dentro de los aspectos a tener en cuenta están: (Adaptado de
CARLESON 2013, pág.74)
- ¿Dónde van a trabajar los empleados que dejan la empresa?
- ¿Qué dice el público de la empresa?
- ¿Con quién trabajan ahora los clientes que pierdes?
- ¿Cómo se dispone el material informático defectuoso o que ha cumplido su ciclo de vida?
- ¿De dónde proceden los nuevos empleados?
Cada persona u organización
desarrolla sus actividades para prosperar y lograr diferenciarse en su sector
donde participa. En este sentido define y construye habilidades y ventajas
competitivas que exigen a la competencia para crear una nueva forma de hacer
negocios, entender una problemática o transformar la forma de hacer las cosas
en un dominio particular. Habida cuenta de lo anterior, lo que diferencia y
hace especial a una persona/empresa en
el sector donde se opera, se convierte en una vulnerabilidad. Por lo tanto, su
competencia o terceros interesados intentarán comprender sus carencias, y “(…) si ven que la empresa/persona las tiene cubiertas,
serán vulnerables. (…)” (adaptado de CARLESON 2013, pág.80)
Esto supone que las
empresas/persona deben comprender la raíz de su ventaja competitiva y
protegerla estratégicamente, por lo menos en tres dominios concretos: las
personas que intervienen, los procesos que la desarrollan y la tecnología que
se utiliza. Así las cosas, no es posible subestimar ninguno de los componentes
mencionados, pues todos ellos están vinculados entre sí por el flujo de la
información que hace la diferencia y la forma como ésta es tratada.
Recuerde que los interesados
en la información clave de las organizaciones “(…) identifican a aquellos individuos que hacen, crean o cambian cosas
intangibles o cuantificables (…)” (idem, pág.98) en nuevas propuestas o
modelos, pues saben que allí está parte de la respuesta para desequilibrar a
una empresa o una persona. Por tanto debemos, además de implementar los
mecanismos tecnológicos de protección de información disponibles, aumentar la
resistencia de los “cortafuegos humanos” en las organizaciones, para actuar de manera
conocida y anticipada, aún se adviertan consecuencias inesperadas bien sean
positivas o negativas durante la aplicación de ésta iniciativa.
Referencias
CARLESON, J. C. (2013) Trabaja como un espía. Lecciones de una ex
agente de la CIA para aplicar en los negocios. Ed. Gestión 2000. Grupo Planeta.
HADNAGY, C. (2014) Unmasking the social engineer. The human element of security. John
Wiley & Sons.
Excelente cobertura de un tema crucial y frecuentemente menospreciado
ResponderEliminar:-)
Un muy buen trabajo, muy bien explicado y con abundante información. Muchas gracias.
ResponderEliminarMuy buena la información, siempre son cosas que gusta de leer para seguir mejorando
ResponderEliminarExcelente
ResponderEliminar