Ataques Cara a Cara de Ingeniería Social

Un tema es enviar mensajes de correo electrónico o conversar con alguien de manera virtual durante un ataque te ingeniería social, pero otro tema es un encuentro cara a cara, o incluso hablar por el teléfono. Cuando se trabaja en línea, se puede hacer el intento, para luego sentarse y ver si se obtiene algún resultado. Cuando se está cara a cara, nunca se sabe aquello lo cual la otra persona dirá, simplemente se debe estar preparado para cualquier cosa, incluyendo lo peor. Para satisfactoriamente montar una ataque de ingeniería social cara a cara, se debe no únicamente mirar la parte a jugar, sino también parecer estar confortable, como si se estuviese teniendo una conversación relajada con un amigo.

Idealmente se desea tener una actitud para poner a la gente a gusto. Esto es más fácil de decir a hacer; caminar a través de un tablón de madera es fácil cuando este está sobre el suelo, pero si se pone este 40 metros en el aire, esto es bastante difícil, no porque las acciones físicas sean diferentes, sino porque la mente es ahora consciente del riesgo de caer. Para el cuerpo es lo mismo. En ingeniería social, se puede experimentar muchas emociones diferentes, desde el miedo hasta la alegría. Para alcanzar el objetivo, se está mintiendo y engañando a personas quienes probablemente están siendo amables e incluso de ayuda. Esto puede ser extremadamente estresante.

Si se parece nervioso, se será menos convincente. Es más probable las personas pregunten cuando se parece estar fuera de lugar o incómodo; esto implicará ser notado por todas las razones equivocadas. Mantener la calma mientra se intenta engañar a alguien podría no parecer natural o fácil, dependiendo de la personalidad y experiencia de vida. Esto sin embargo puede ser aprendido. La métrica más utilizada para determinar cuanto calmado se está es el ritmo cardíaco. Durante un encuentro cara a cara con la victima o victimas, es probable se experimente un aumento en la adrenalina. Esto se debe a una respuesta natural de la mente, la cual percibe un posible conflicto o confrontación. Esto elevará el ritmo cardíaco y generará un sudor de palmas de manos o rostro, lo cual se percibirá como un estado nervioso. El verse nervioso es algo malo para un ingeniero social quien está intentando convencer alguien sobre la normalidad en todo.

Con el fin de gestionar consistentemente esta respuesta, se debe empezar conocimiento el ritmo cardíaco en reposo. Una manera fácil para determinar esto es comprar un monitor barato de frecuencia cardíaca. La forma más sencilla para determinar el ritmo cardíaco en reposo es tomar el pulso cuando se despierta en la mañana. Cuando se está conversando con la victima cara a cara, se requerirá estar dentro de un 20% del ritmo cardíaco en reposo para verse cómodo. Esto significa el ritmo cardíaco en reposo es de 65 latidos por minuto, este no debe superar los 80 latidos por minuto, o se parecerá nervioso. Frecuentemente un ingeniero social sin experiencia tendrá una frecuencia cardíaca de 120 latidos por minutos o más durante un intento cara a cara. Esto es especialmente cierto en pruebas de penetración físicas

Se puede aprender a manejar el ritmo cardíaco utilizando técnicas básicas de relajación como la meditación, acupresión, y reflexología. Se debe encontrar la técnica adecuada y practicarla antes de ejecutar un ataque de ingeniería social. Se puede intentar también volver a entrenar o desensibilizar la respuesta instintiva de conflicto. Se puede intentar un ejercicio. Cuando se camine en público y encuentre personas, se debe mirarlos directamente a los ojos y mantener el contacto visual, hasta ellos lo rompan o se muevan lejos. No se debe mirar como un psicópata, pero se debe intentar no sonreir o mirar amenazadoramente, sólo tener contacto visual. El ritmo cardíaco probablemente se eleve en las primeras pruebas, pero con el transcurrir del tiempo esto se tornará más sencillo, y el cuerpo no responderá tan fuertemente a ello. Se debe tener en mente, este tipo de contacto visual es es la postura primordial de dominación humana, y podría generar una respuesta indeseable. Se hay un enfrentamiento, simplemente y con una disculpa se debe explicar se pensó era una persona conocida, pero no se estaba seguro. Con el tiempo se ganará más control sobre las respuestas y reacciones al conflicto. Siendo capaz de mantener la calma y actuar naturalmente cuando se confronte con un objetivo o se sea confrontado.

También se debe practicar cualquiera de los componentes discretos del plan de ataque varias veces antes de la ejecución. Mientras más veces se repita algo, más probable se esté confortable diciéndolo una vez más Es aconsejable tener un guión base desde el cual trabajar, y luego desviarse según lo requieran las circunstancias. Ensayar como un equipo también ayuda. Cuantas más posibles desviaciones se piense con antelación, más relajado y preparado se estará cuando llegue el momento de conocer al objetivo cara a cara.

Además de ensayar todo aquello a decir, ensayar aquello lo cual se tendrá, como una computadora en una bolsa por ejemplo, o podría ser un refrigerio. Se debe pesar como se lo tendrá. Un error común de principiante, es no saber que hacer con las manos. Parece algo en lo cual no se debería pensar, pero cuando no se tiene consciencia de ello, frecuentemente se olvida que hacer con las manos, y los movimientos torpes puede hacer lucir nervioso. Si se duda, se debe asegurarse de tener cosas, o simplemente pensar en una postura deseaba frente a un espejo y encontrar posiciones adecuadas.

Otra respuesta nerviosa común provocada por el instinto de lucha es la salivación excesiva. Esto puede hacer parecer nervioso mientras se está intentando hablar, pero puede ser fácilmente remediado con goma de mascar, una menta, un caramelo, o cualquier cosa para mantener la salivación mas o menos constante durante el estresante encuentro con el objetivo.

Fuentes:

http://www.triangleinfosecon.com/wordpress/wp-content/uploads/2016/11/So...
https://www.social-engineer.org/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Informática Forense & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1