Los seis principios de la influencia que utilizan los cibercriminales para hackear tu cerebro

lunes, 1 de octubre de 2018

"Los aficionados hackean sistemas, los profesionales hackean gente", decía Bruce Schneier. ¿Alguna vez has dicho "sí" a una petición de un desconocido a pesar de que realmente no te apetecía decir "sí"? ¿O te has sentido empujado a comprar algo que no necesitabas y te has arrepentido a los pocos instantes? ¿Te gustaría saber cómo te manipulan estas personas para que actúes como ellas quieren, incluso en tu propio perjuicio?

¿Sí? Entonces sigue leyendo y descubrirás cuáles son los seis principios de la influencia que utilizan los atacantes, el malware y los mejores timos de internet para que digas "sí" cuando deberías decir "no".

Fuente:pixabay.com

Personas: El eslabón más débil de la cadena de la seguridad de la organización
Según escribe Kevin Mitnick, uno de los hackers más famosos de la historia, en su libro The Art of Deception: "La ingeniería social utiliza influencia y persuasión para engañar a la gente manipulándola o convenciéndola de que el ingeniero social es alguien que en realidad no es. Como resultado, el ingeniero social es capaz de aprovecharse de la gente para obtener información con o sin la ayuda de la tecnología". Como deja claro Mitnick, y él sabía mucho de eso, la ingeniería social va de "hackear personas". ¿Por qué molestarte en hackear sistemas informáticos bien protegidos si puedes volverte contra las personas que los operan? Y si para hackear sistemas informáticos hay que saber de sistemas operativos, protocolos de comunicación y lenguajes de programación, para hackear personas habrá que saber de cómo funciona el cerebro. A pesar de que el funcionamiento del cerebro es más complejo que el de ningún ordenador, podemos atisbar en su interior y a través de experimentos conductuales tratar de inferir algunas de sus reglas de comportamiento.

Precisamente eso mismo ha estado haciendo durante décadas el Dr. Robert Cialdini, el investigador más popular en el ámbito de la influencia y persuasión, autor de la biblia sobre el tema" Influence: The Psychology of Persuasion". En su libro explora en detalle cuáles son las tendencias de la naturaleza humana que explotan los atacantes para conseguir que sus víctimas acepten sus peticiones sin sospechar que están siendo engañadas. Cialdini ha identificado los siguientes seis principios:
  1. Reciprocidad
  2. Compromiso y consistencia
  3. Prueba social
  4. Preferencia
  5. Autoridad
  6. Escasez
1. Reciprocidad: Tú me rascas, yo te rasco
1.1 Principio: A cambio de un servicio, incluso no solicitado, uno siente la necesidad de devolverlo.

Este sentido de la reciprocidad está inscrito en todas las sociedades. Devolver un favor constituye una regla básica de la conducta humana. Se considera de hecho la base de la civilización.

Un pequeño favor inicial, aunque no lo hayas pedido, puede generar mayores favores de vuelta porque nos sentimos obligados:
  • Aborrecemos estar en deuda: por eso solemos llevar una botella de vino cuando nos invitan a cenar o pretendemos pagar la siguiente ronda si nos invitan a la primera. Cuando nos dan muestras gratuitas de un producto en los supermercados nos sentimos más inclinados luego a comprarlo.
  • Rechazamos socialmente la ingratitud: no gusta el que pide y no da, lo vemos como un gorrón. Cuando alguien nos ha ayudado con la maleta o nos ha limpiado el parabrisas, aun sin haberlo solicitado, tendemos a darle una propina. Si hemos disfrutado de una demo gratis, nos sentimos más inclinados a comprar el producto.
  • Conduce fácilmente a la trampa de las pequeñas concesiones: si alguien nos invita frecuentemente a pequeñas cosas o nos hace pequeños favores, aunque nunca los hayamos solicitado ni los deseemos, no podemos evitar decir "sí" cuando más adelante nos pide a cambio un favor, por grande que éste sea.
1.2 Ataque: Un empleado recibe una llamada de alguien que se identifica del departamento de IT, informándole de que su ordenador está infectado por un virus que ha saltado todas las protecciones. Le guía a través de unos pasos para supuestamente desinfectarlo. Cuando termina, le solicita que reinicie todas sus contraseñas e incluso le sugiere cómo deben ser de complicadas y le da ideas para recordarlas. Claro, la víctima no puede negarse a compartirlas, después de todo lo que esta persona ha hecho por ella.

1.3 Defensa: Identifica siempre la intención de un favor o petición.

2. Compromiso y consistencia: Yo nunca falto a mi palabra
2.1 Principio: Tomada una decisión, se actúa de forma coherente con el compromiso contraído.

La consistencia se ve como fuerza moral, como una cualidad elogiable. Cuando una persona da su palabra y se atiene a ella, la percibimos como íntegra y honesta. Una vez que nos hemos comprometido con algo, no queremos parecer inconsistentes ni indignos de confianza y tendemos a cumplir con nuestra palabra dada. De hecho, nuestro compromiso resulta más fuerte cuando es público y aparentemente de motivación interna, es decir, cuando creemos que ha salido de uno mismo sin que nadie nos haya influido en nuestra decisión.

Este compromiso conduce a comportamientos absurdos como terminar de ver una película en el cine porque "he pagado la entrada", acabar un libro porque "siempre acabo lo que empiezo" o en un restaurante comerte un plato que no era de tu agrado porque "lo he pedido".

2.2 Ataque: El atacante contacta con un recién incorporado a la organización informándole de la necesidad de aceptar las directivas y procedimientos de seguridad para acceder a los sistemas de información de la compañía. Cuando la víctima se ha comprometido a cumplir con todas las normas y a hacer todo lo que se le pida, ahora el atacante puede solicitarle cualquier cosa con la excusa de seguir un procedimiento de seguridad, que seguramente la víctima se lo concederá.

2.3 Defensa: Ante nuevas peticiones, da marcha atrás y analiza las previas.

3. Prueba social: Yo como Vicente, donde vaya la gente
3.1 Principio: Uno se siente inclinado a hacer lo que todo el mundo hace.

De alguna manera pensamos que, si todo el mundo lo hace, debe estar bien, especialmente si son semejantes a mí. ¿Por qué si no los libros incluyen reclamos del tipo "10 millones de lectores no pueden estar equivocados" o "150.000 ejemplares vendidos"? Esta regla de comportamiento la seguimos desde niños, imitando el comportamiento de nuestros padres, profesores y compañeros de clase y amigos. Por eso los individuos de un mismo grupo suelen comportarse de forma tan parecida. Como dice el refrán: "Dios los cría y ellos se juntan".

Esta conducta emerge con mayor fuerza en situaciones inciertas, donde no está claro cómo reaccionar. En este caso, se considera como normativo el comportamiento del grupo. De ahí que, si vamos por la calle y vemos a un grupo numeroso de personas mirando hacia el cielo, nosotros también lo hagamos. O si vamos por la carretera o por una ciudad desconocida y no sabemos dónde parar a comer, lo hagamos en el local donde más clientes veamos. O que prefiramos hacer un donativo en una hucha casi llena que en otra casi vacía.

Si quieres que alguien haga algo por ti, muéstrale la cantidad de gente que lo ha hecho antes. Lo usan los niños cuando presionan a sus padres para que les compren algo: "¡Soy el único de la clase que aún no lo tiene!".

3.2 Ataque: Recibes una llamada de una persona que afirma estar haciendo una encuesta y menciona el nombre de otras personas de tu departamento que ya han cooperado con él. Creyendo que la cooperación de otras personas valida la autenticidad de la petición, accedes a participar. El atacante pasa a hacer una serie de preguntas, entre las cuales puede pedirte nombres de usuario y contraseñas, direcciones internas de servidores, nombres de personas clave, etc.

3.3 Defensa: Verifica la evidencia proporcionada y no fundamentes el juicio exclusivamente en la conducta de los demás.

4. Preferencia o asociación positiva: Quién puede decirle que no
4.1 Principio: Se tiende a decir "sí" a gente que nos gusta y también a gente atractiva o similar.

Nos gustan las personas a las que les gustamos. Cuanto más te parezcas a su grupo, más familiar les resultes, más fácilmente te dirán que sí. Por eso, si estás solo en un país extranjero y te encuentras con un conocido de tu ciudad con quien nunca hablas, puede que lo saludes y hasta lo abraces con efusividad.

Por otro lado, cuanto más halagues a una persona, más fácilmente te dirá que sí. Incluso aunque sepa que los halagos no son sinceros. Pero es que no sabemos resistirnos a ellos. Por último, existe un efecto muy relacionado con la preferencia, bautizado como "efecto halo": asociamos todo tipo de características positivas a las personas atractivas. En otras palabras, percibimos a las personas atractivas como más inteligentes, amables y capacitadas. En definitiva, cuanto más atractivo te muestras, más persuasivo te vuelves.

4.2 Ataque: El atacante finge compartir los mismos hobbies o intereses que la víctima. O bien, finge ser de la misma universidad o ciudad. O comparte el mismo gusto en series o en comida o en vinos. O utiliza el mismo lenguaje, jerga o distintivos que lo identifican como perteneciente a la misma «tribu». Busca encontrar un vínculo de conexión emocional con la víctima y lo explota para despertar en ella sentimientos positivos, que bajen su guardia para cuando llegue la petición.

4.3 Defensa: Disocia la petición del peticionario y analiza exclusivamente la oferta.

5. Autoridad: No lo digo yo, lo dijo Einstein
5.1 Principio: Se tiende a escuchar y seguir indicaciones de alguien en una posición de autoridad.
Nos fiamos de los expertos. Si está anunciado en televisión, tiene que ser bueno. Si nueve de cada diez dentistas recomiendan un chicle sin azúcar, entonces habrá que comer chicles sin azúcar. Si mi cardiólogo, que es una eminencia, me receta estatinas, ¿cómo no voy a tomarlas? Por supuesto, necesitamos delegar en expertos. El problema surge cuando un atacante explota nuestra buena fe en la autoridad, sirviéndose de sus:
  • Títulos: Si alguien afirma poseer el título X o Y, automáticamente le conferimos todo el saber supuestamente vinculado a dicho título.
  • Ropas: Los uniformes, insignias y otros accesorios nos hacen creer que la persona ostenta la autoridad asignada a quienes portan esa indumentaria.
  • Vehículos: Igualmente, los vehículos oficiales, con distintivos, con instrumentos de señalización visual o acústica, nos inclinan a creer que sus ocupantes poseen la autoridad que el vehículo confiere.
5.2 Ataque: El atacante finge pertenecer al departamento de TI o ser un ejecutivo de la compañía, cualquier estratagema que lo revista de autoridad y haga bajar las defensas de la víctima.

5.3 Defensa: Pregúntate: ¿Es esta persona un experto real? ¿Puedo fiarme?

6. Escasez: Con lo que me ha costado encontrarlo
6.1 Principio: Cuanto más escasea algo, más precioso se vuelve.

"¡Últimos días de función!", "¡Últimos artículos, promoción a punto de agotarse!", "Sólo tiene una hora, debe decidirse ahora mismo". Todas estas estrategias están ideadas para crear la sensación de escasez. Cuando un recurso escasea, se entiende que es valioso. Y cuanto más escaso es y por menos tiempo está disponible, más valioso se vuelve. Así se impide pensar con claridad, lo que conduce a tomar decisiones precipitadas de las que luego nos arrepentimos.

El recurso escaso será más atractivo si existe competencia luchando por obtenerlo: "nos los quitan de las manos", "primera edición agotada el primer día". Así se justifican las colas para comprar el último iPhone.

La raíz de este comportamiento radica en que se reacciona con mayor fuerza ante la pérdida que ante la ganancia: es más intensa la aversión a perder que el deseo de obtener una ganancia equivalente. Por eso prestamos mayor atención a un reclamo que nos promete «deja de perder 10 € en tu factura» que "gana 10 € en tu factura".

6.2 Ataque: El atacante envía mensajes de correo prometiendo que las primeras 50 personas en registrarse en el nuevo microsite de la compañía recibirán gratis entradas para el cine. Este gancho asegura que la víctima se registra inmediatamente en lugar de posponerlo. En el proceso de registro se le pide a la víctima su dirección de email y una contraseña. Como tanta gente utiliza la misma contraseña para todos los sitios de Internet, con esta argucia el atacante podrá hacerse con numerosas contraseñas válidas para sitios corporativos.  

6.3 Defensa: Disocia la situación de su supuesta escasez.

Conclusiones
Estos comportamientos seleccionados evolutivamente para sobrevivir en grupos sociales nos aconsejan correctamente la mayor parte del tiempo: son atajos de pensamiento o heurísticas, que nos liberan de tener que procesar montañas de información antes de tomar cualquier pequeña decisión. No se trata por tanto de renunciar a ellos, sino de pararnos a pensar antes de actuar ante peticiones fuera de lo común.

Defensa básica: En última instancia, la defensa se reduce a las dos siguientes reglas:
  1. Verificar la identidad: ¿es quien dice ser?
  2. Verificar la autoridad: ¿tiene necesidad de saber o está autorizada para hacer esta petición?
Sólo son dos, pero nada fáciles de poner en práctica. Todos los empleados de la compañía deberían estar educados para comprender el funcionamiento de los principios de la influencia y así poder analizar peticiones y ofertas.

Gonzalo Álvarez de Marañón
Innovación y Laboratorio de ElevenPaths

4 comentarios: