sábado, 28 de junio de 2014

Endureciendo el cortafuegos humano. El arte de la contrainteligencia social



Introducción
En un mundo de información instantánea, de oportunidades y amenazas, las organizaciones y los seres humanos, viven expuestos a toda clase de estímulos y condiciones de interacción, que exigen una vista balanceada de expresiones y declaraciones que permitan informar lo que se requiere y mantener en reserva aquello que es necesario.

En una sociedad hipercomunicada y con sobrecarga de información, intentar “controlar” la información para que no fluya, es una teoría efímera que no es posible alcanzar, toda vez que lo natural del ser humano es comunicarse, encontrarse con el otro y sobre manera compartir. Por tanto, se precisa cambiar el modelo de protección de la información clave de las personas y empresas, superando las ideas exclusivas de restricción y castigo, por otras que vinculen a las personas y sus propios intereses, motivando una reflexión por impactos y transformado comportamientos específicos, haciendo estos últimos más resistentes y alertas a los cambios o situaciones adversas.

Así las cosas, las empresas deben evitar caer en la falacia de las medidas de seguridad exteriores o informáticas como técnicas o herramientas como la forma más idónea de evitar brechas de seguridad y asegurar los activos de la firma.  En este sentido, como anota Carleson (2013, pág.68) “(…) si sólo confías en cerrojos y programas cortafuegos, ten claro que sigues a merced de todo aquel que esté en posesión de una llave y/o de la palabra clave de acceso, y que tu empresa sólo tendrá la seguridad que decida tener tu empleado más inmoral/descontento/descuidado/endeudado (elige la vulnerabilidad que más te guste). (…)”

Lo anterior, confirma una vez más que son las personas el punto decisivo para que un esquema de seguridad de la información transforme un concepto de protección, en una práctica de operación que, entendiendo la realidad de la organización y sus procesos, es capaz de tomar decisiones prudentes, aún en situaciones críticas, para aumentar la capacidad de defensa de los activos claves del negocio.

En consecuencia, desarrollar y aumentar la fortaleza de las prácticas de seguridad y control sobre la información en los individuos, desde la interacción práctica y no desde el discurso gastado de las “pérdidas y sanciones”, es una exigencia que se debe materializar en los programa de entrenamiento o inducción empresariales, con el fin de motivar una cultura de debido cuidado y prudencia sobre la información estratégica de la empresa y sus impactos en su sector de negocio.

Así las cosas, cada persona en una organización debe reconocer sus propio marco de referencia sobre la protección de la información, darse la oportunidad para repensarlo en el contexto de la empresa para cual trabaja y crear un nuevo comportamiento que, no solamente se ajuste a los mandatos corporativos, sino que se incorpore en su persona, como capacidad inherente para desarrollar un “mínimo de paranoia bien administrada”, que le permite ser un buen escucha de su entorno y tomar las acciones que correspondan en el momento que se requieran.

Reconociendo al enemigo
Desarrollar habilidades para comprender y valorar lo que ocurre en el entorno de las operaciones y actuaciones dentro y fuera de la organización, demanda una serie de acciones que las personas deben conocer y aplicar con el fin de balancear su normal actuar con el estado de alerta base requerido para identificar situaciones potencialmente adversas.

Lo anterior, no pretende que las personas en las organizaciones estén con “delirio de persecución” de manera permanente, sino que desarrollen su sentido de alerta y autocuidado, fundamental para el aseguramiento de su protección personal y ahora, como condición extendida para proteger la información a la que tiene acceso con ocasión de su posición, cargo o función.

En el mundo dinámico y agresivo de los negocios actuales, la información es el activo fundamental que siempre está sobre la mesa y que al final del juego, es el que marca la diferencia para desequilibrar, doblegar o comprometer la ventaja competitiva de las empresas. Así las cosas, las organizaciones saben que deben desarrollar estrategias para equilibrar la necesidad de compartir y proteger aún en los entornos más agrestes como en los más confiables.

Para ello, el contenedor o portador de la misma, los seres humanos, deben entrenarse para someterse a las más exigentes pruebas de “vulnerabilidades”, con el fin de asegurar que sus prácticas de protección actuales, son capaces de disuadir las técnicas propias de la ingeniería social (en el ámbito personal) y aquellas del dominio técnico (pruebas informáticas de vulneración), no para que el intruso no logre su cometido, sino para que se demore más en lograr su objetivo.

Los ingenieros sociales cuentan con diferentes estrategias para motivar la extracción de información de sus objetivos, algunas pasivas otras activas. Las pasivas buscan identificar y recolectar información disponible en los medios de comunicación, en el internet, en conversaciones o publicaciones que hablen sobre la organización o particularmente sobre la(s) persona(s) claves. (HADNAGY 2014, pág.30) Con estos datos, establecen un perfil base de la(s) persona(s) claves para comenzar a obtener la información requerida de la empresa y empezar a armar el rompecabezas con los diferentes elementos recabados y entender la dinámica de las relaciones de la(s) persona(s) seleccionadas, para establecer los puentes requeridos para llegar a su objetivo final.

Basado en lo anterior, se da paso a las técnicas activas como son el pretexto (pretexting), la provocación (elicitation) y la simpatía (rapport). (idem, pág.29-31) La combinación de estas tres establece el puente requerido para sintonizar con el objetivo establecido y desarrollar un marco psicológico confiable que permita abrir la posibilidad para un flujo de información personal y corporativa, con amabilidad y elegancia.

El pretexto es una técnica que demanda conocimiento de la persona objetivo, para establecer un contexto creíble de acción y operación de aquel que pretende entrar en contacto con la persona seleccionada. Esta persona puede ser desde un desconocido o alguien cercano que busca por lo general un “gancho adecuado” para desarrollar una aproximación clave que termine en una conversación inicial con vocación de contacto futuro.

Abordar a una persona específica con un fin concreto, exige un pretexto bien fundado y racional que permita, con mucha sutilidad y tacto, establecer una afinidad para seguir conversando y un motivo para seguir en contacto. (CARLESON 2013, pág.34) No se trata de agobiar a la persona objetivo, sino de proporcionarle los elementos necesarios y suficientes que perfeccionen la conexión y acrecienten el vínculo que se crea.

La provocación consiste en “(…) formular preguntas de carácter benigno y no sospechosas que acaben revelando información que probablemente no obtendríamos de haber preguntado directamente. (…)” (Idem, pág.37). Esto supone que el atacante es entrenado en el “cómo” y “qué” preguntar, con el fin de no mostrarse demasiado vago o prudente en su discurso o ser excesivamente descarado o agresivo.

Esta técnica generalmente se usa en reuniones de gremios, conferencias o seminarios sectoriales, bares o situaciones cotidianas de encuentros, donde se identifica no solamente partes de la información requerida, sino la red de contactos y personas claves que hacen parte de la ecuación que se debe completar para tener la vista completa de los datos que se persiguen o quieren conocer por parte del tercero no autorizado.

Finalmente y no menos importante la simpatía, que siendo una habilidad importante y natural en las relaciones humanas, es posible utilizarla para crear un entorno de confianza y apertura que genere una oportunidad para el atacante, sin que la persona objetivo lo note. Múltiples formas se tienen previstas para que esto ocurra, dentro de las cuales se anotan: (CARLESON 2013, pág.43-44)

  • Revelar información personal en tono coloquial que invite al diálogo.
  • Establecer temas trampolines (deportes, el tiempo, alguna situación particular que sea de dominio general) con el fin de hacer transición al tópico relevante.
  • Referenciar a una persona –de confianza o reconocida- y comentar un hecho concreto para lograr mayor confianza de la persona objetivo.

Si bien no agotamos los elementos y variedad de estrategias disponibles por los “ingenieros sociales” para lograr su cometido, si detallamos las más utilizadas por estos para discernir y explotar las vulnerabilidades de una persona objetivo, para generar la motivación suficiente, y que de manera libre y espontánea revele aquello que es fundamental para la operación que se ha planteado por el tercero interesado.

Contraatacando al enemigo
Anota Carleson (2013, pág.61) “(…) la mejor defensa es tener un sentido muy agudo de la percepción y practicar la habilidad de intuir el engaño. (…)”. Nótese que no se habla de proteger o detener la situación que se presenta, sino de tener la capacidad de “percibir o intuir” el marco conceptual que se está creando alrededor para lograr motivar el flujo de la información que la tercera parte requiere.

En este sentido, los interesados en la información de la empresa o de una persona particular, se preparan muy bien para adelantar las acciones pertinentes con el fin de lograr su objetivo. Lucen como personas naturales, que con argumentos y planes establecidos en sus conversaciones, configuran un escenario de diálogo confortable y amistoso que conforma el primer paso en su estrategia de extracción de información. 

Como quiera que no se pretende motivar un escenario de paranoia en las conversaciones que tenemos con otras personas, si es importante advertir elementos en las mismas que permitan descifrar el contexto en el cual se plantean y las técnicas utilizadas, para validar el fin de éstas. Cabe aclarar que el objetivo de este texto, no es promover la desconfianza entre las personas, sino motivar una capacidad interior para estar alerta y revelar aquello que se puede esconder en un encuentro premeditado o casual.

En este tenor, se requiere fundamentar un conjunto de prácticas básicas que permitan a las personas y las organizaciones, enfrentar los “ataques de ingeniería social” que se elaboren para obtener la información clave de la empresa y desestimar las pretensiones de los atacantes frente a individuos entrenados para identificar y actuar frente situaciones elaboradas con propósitos indeterminados. 

La ex agente de la CIA Carleson establece una serie de consejos, sobre este particular, para desestimar los esfuerzos de los atacantes y aumentar nuestra resistencia a este tipo de actividades que podríamos denominar de “espionaje” de información.

Las recomendaciones son: (Adaptado de: CARLESON 2013, pág.63-65)

1. Viaje sólo con los datos que necesite para el viaje
El computador/ tableta/ Celular Inteligente no debe tener información personal, información sobre contraseñas, ni ningún tipo de información confidencial o sensible. Utilice mecanismos de protección básicos disponibles como son dispositivos de acceso biométrico, discos duros cifrados, programa de cifrado de información. Recuerde que mientras esté de viaje es más susceptible para ser caer víctima de ladrones de datos, por tanto planifique con tiempo y evite ser una estadística más.

2. Tenga cuidado con los lugares de acceso público a internet
Usted no controla la seguridad la red que está disponible en los centros de negocio de los hoteles, cibercafés o puntos de acceso públicos con Wifi, por tanto, se encuentra ante un ambiente hostil y debe tener todas las precauciones si las quieres utilizar.

3. Destruya lo que no use
Muchas personas se dedican a buscar en los contenedores de basura aquello que le es de interés, si tritura o destruye los documentos borradores o preliminares que tiene no podrán alcanzar su propósito.

4. Sea consciente de su huella pública
Actúe con diligencia frente a su propia identidad en internet. Realice con frecuencia búsquedas de su nombre en internet donde identifique documentos, imágenes, comentarios, direcciones, redes sociales, blogs y datos en general que le permitan conocer que dicen esos elementos de usted. En la medida que mayor detalle ofrezca de su vida en internet, más fácil será para el atacante diseñar su perfil y estrategia de aproximación.

5. No se deje impresionar por la familiaridad o los títulos académicos
Cuando sea abordado por un tercero conocido o desconocido trate de identificar sus motivaciones, las acciones que emprende para conectar con usted. Manténgase alerta y siga con atención la conversación y las razones para formularle preguntas aparentemente normales.

6. Confíe en sus instintos
De manera complementaria con lo anterior, si detecta que algo raro se percibe en la conversación, actúe en consecuencia. Distraiga y evada a su interlocutor o márchese  si es necesario. Si la persona insiste en preguntar, puede ser un maleducado o le están sondeando. Cualquiera sea el caso, lo más prudente es ponerle fin a la conversación.

7. No se deje retar
Los seres humanos somos competitivos por naturaleza. En este sentido resulta tentador mostrar los conocimientos que tenemos de la industria o de algún tema particular, lo que abre la posibilidad de que el interlocutor maneje el discurso adecuado para que la información que requiere se revele. Procure identificar este juego por demás peligroso y desvíe la atención hacia temáticas menos relevantes.

8. No consuma bebidas alcohólicas
Las bebidas con radicales OH debilitan la capacidad de reacción y anima el diálogo de las personas. Anota Carleson (idem, pág.65-66) “(…) por mucho que creas que controlas la situación siempre y cuando no estés borracho y alterado, créeme: aunque la influencia del alcohol sea mínima, te convertirá en un objetivo mucho más fácil. (…) ”

9. Mantenga un bajo perfil
Si le gustan la ropa de alto costo, vehículos de alta gama y asistir a sitios distinguidos, sabrá que estos establecen un patrón de comportamiento que será manejado por el tercero y tratará de abordarlo con sus propias conductas. Sea discreto, busque lo cotidiano, funcional, sencillo y estético así estará en cualquier lugar como parte del escenario y no como protagonista del mismo.

10. Cuide sus conversaciones en entornos públicos
De alguna forma siempre vamos a estar expuestos a conversar y compartir en lugares de acceso público o sitios cerrados. Si es una reunión de negocios trate de conversar lo menos posible sobre aspectos claves de lo que lleva allí y motive un cambio de temática relacionada que mantenga la atención de su interlocutor. Sugiera que es posible conversar sobre el tema particular en un ambiente más privado, lo cual resultará conveniente para las partes. Si insiste que se hable de temas que comprometen información clave, evada la pregunta e indique que debe regresar a su hotel/oficina para atender un imprevisto.

Reflexiones finales
La amenaza de la filtración de información es una realidad evidente y son muchos los casos que tenemos tanto por fallas informáticas como por fallas del “cortafuegos humano”. Como quiera que los seres humanos somos “eminentemente sociales”, es clave desarrollar la habilidad para resistir los embates de los “ataques sociales”, los cuales se manifiestan sin mayores anuncios e instrumentos, para pasar desapercibidos y así conquistar su objetivo.

La ingeniería social y sus diferentes estrategias y técnicas establecen un reto personal y corporativo para identificar aquellos aspectos que son vulnerables de las personas claves de las organizaciones y motivar el flujo de información clave, de una forma elegante y sin presiones. Esto supone conocer muy bien la gestión de la información en la empresa para conocer las redes de contactos donde esta fluye y analizar los puntos menos asegurados, donde es posible hacer un menor esfuerzo y extraer la mayor información sin quedar en evidencia.

De otra parte, es necesario activar la habilidad para detectar de manera instintiva la presencia de tendencias amenazadoras, a partir del conocimiento en profundidad de un sector de negocio, de la voz de los detractores, de la información que se proporciona en los medios sociales y de la atención a los cambios que se presentan por muy sutiles que estos sean. Dentro de los aspectos a tener en cuenta están: (Adaptado de CARLESON 2013, pág.74)
  • ¿Dónde van a trabajar los empleados que dejan la empresa?
  • ¿Qué dice el público de la empresa?
  • ¿Con quién trabajan ahora los clientes que pierdes?
  • ¿Cómo se dispone el material informático defectuoso o que ha cumplido su ciclo de vida?
  • ¿De dónde proceden los nuevos empleados?
Cada persona u organización desarrolla sus actividades para prosperar y lograr diferenciarse en su sector donde participa. En este sentido define y construye habilidades y ventajas competitivas que exigen a la competencia para crear una nueva forma de hacer negocios, entender una problemática o transformar la forma de hacer las cosas en un dominio particular. Habida cuenta de lo anterior, lo que diferencia y hace especial  a una persona/empresa en el sector donde se opera, se convierte en una vulnerabilidad. Por lo tanto, su competencia o terceros interesados intentarán comprender sus carencias, y “(…) si ven que la empresa/persona las tiene cubiertas, serán vulnerables. (…)” (adaptado de CARLESON 2013, pág.80)

Esto supone que las empresas/persona deben comprender la raíz de su ventaja competitiva y protegerla estratégicamente, por lo menos en tres dominios concretos: las personas que intervienen, los procesos que la desarrollan y la tecnología que se utiliza. Así las cosas, no es posible subestimar ninguno de los componentes mencionados, pues todos ellos están vinculados entre sí por el flujo de la información que hace la diferencia y la forma como ésta es tratada. 

Recuerde que los interesados en la información clave de las organizaciones “(…) identifican a aquellos individuos que hacen, crean o cambian cosas intangibles o cuantificables (…)” (idem, pág.98) en nuevas propuestas o modelos, pues saben que allí está parte de la respuesta para desequilibrar a una empresa o una persona. Por tanto debemos, además de implementar los mecanismos tecnológicos de protección de información disponibles, aumentar la resistencia de los “cortafuegos humanos” en las organizaciones, para actuar de manera conocida y anticipada, aún se adviertan consecuencias inesperadas bien sean positivas o negativas durante la aplicación de ésta iniciativa.

Referencias
CARLESON, J. C. (2013) Trabaja como un espía. Lecciones de una ex agente de la CIA para aplicar en los negocios. Ed. Gestión 2000. Grupo Planeta.
HADNAGY, C. (2014) Unmasking the social engineer. The human element of security. John Wiley & Sons.