“Sólo hay dos cosas infinitas: el universo y la estupidez humana. Y no estoy tan seguro de la primera…”.
Albert Einstein
Introducción
La primera vez, hace muchos años, cuando escuché el término “ingeniería social”, en la acepción que lo usamos en seguridad de la información, me pareció un poco contradictorio debido a mi concepción de la “ingeniería” como algo sistémico, estructurado y procedural, en contra de lo “social” que es tan dinámico, variado y en muchos casos no estructurado si consideramos lo diverso y multifacético de las personas, dada su educación, su formación, el contexto en el que viven y las experiencias que desarrollan o las condiciones de vida que enfrentan, disfrutan o padecen. Luego de una investigación somera de los antecedentes, me di cuenta de lo limitado de mi visión y de mi conocimiento acerca de los diversos ámbitos en que este término se ha aplicado en la historia, mucho antes de que la seguridad de la información lo adoptara.
Antecedentes
Ingeniería social es un término empleado en ciencias políticas en un doble sentido, uno refiere a esfuerzos para influir actitudes, relaciones o acciones sociales en la población de un país o región, y el otro una manera de implementar programas de modificaciones sociales.
A pesar de las connotaciones negativas que el término tiene hoy, hay que notar que todo esfuerzo de una organización social o civil con el objetivo de cambiar el comportamiento puede calificarse como ingeniería social. Si pensamos en el ámbito de la política veremos que el término es definitivamente aplicable; en EE.UU. los políticos conservadores han acusado a sus oponentes de realizar ingeniería social debido a su promoción de la corrección política, dado que esta intenta definir los lenguajes aceptables o inaceptables. Ambos, el conservadurismo y la derecha, han sido acusados de ingeniería social, en tanto que promocionan conductas sociales “de orden” derivadas de consideraciones morales o religiosas.
Origen y evolución del término
El uso de la expresión se inició en 1894 con un ensayo del empresario y filántropo holandés J.C. Van Marken, difundido en Francia por Émile Cheysson (uno de los integrantes del Musée Social), pero recibió su mayor impulso en EE.UU. a través del libro “Social Engineering” del reformista social W.H. Tolman, conocido en aquella época por “ayudar a los pobres”. La idea central es que no había en las empresas una función social (algo así como los departamentos de recursos humanos de hoy), por lo que el ingeniero social tenía una función de mediador para resolver los conflictos como intermediador racional entre el capital y el trabajo. En esta acepción, el ingeniero social debía contar con habilidades sociales, en contraste con el uso posterior del término, basado en la metáfora de la máquina que se convierte en el núcleo del concepto peyorativo actual, popularizado a partir de 1911[1].
Se sugiere que el origen del término está en el concepto filantrópico de los pensadores liberales de la segunda mitad del siglo XIX como los “intermediarios racionales” entre el capital y el trabajo. Para las décadas 30 y 40 del siglo XX el término había caído en desuso[2].
A partir de esta especialización, se generaliza el concepto de que la ingeniería social puede ser una técnica o método para lograr una variedad de resultados, es decir, deja de ser un instrumento para resolver problemas sociales y se transforma en uno para manipular a la población. Es evidente en este punto que la propaganda puede ser considerada ingeniería social, así como las campañas políticas y la religión, dado que buscan lograr un comportamiento específico en las masas. En 1945 Karl Popper reintroduce el término con la acepción de implementación de métodos críticos y racionales de la ingeniería y ciencia a los problemas sociales[3].
Presentación del problema – ingeniería social y seguridad – marco legal
Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Uno de los fines más comunes para lo que se usa la ingeniería social es para el robo de dinero, ya sea a través de la página de un banco, de un cajero automático (ATM) o por teléfono, dependiendo de las funcionalidades de estos servicios en los bancos o empresas financieras. El delito que se constituye en este caso es robo de identidad y no en todos los países existe legislación específica o está legislado como delito informático.
Esta circunstancia es complicada, pero a mi entender es más complicado y angustiante para la víctima poder demostrar que efectivamente sufrió un robo de identidad y que todo el dinero que le falta en su cuenta no lo tomó, o que los varios préstamos que tramitaron en su nombre no los realizó. Este tipo de crímenes han sido posibles dada la característica de anonimato que brinda Internet y porque, en términos generales y a mi entender, las páginas Web que las entidades financieras ponen a disposición de las personas físicas no brindan las suficientes medidas de seguridad, como podrían ser las técnicas de autenticación de varios factores (MFA–multi factor authentication), así como medidas de concientización explícitas y presenciales, más allá de los simples “tips de seguridad” que encontramos en las páginas Web a las cuales por supuesto el usuario promedio no ingresa.
Desde el punto de vista del banco o institución financiera es también todo un desafío las investigaciones y diligencias que deben seguir para llegar a concluir que efectivamente la persona fue víctima de un delito y que no está mintiendo, considerando que en estas situaciones hay aspectos psicológicos a analizar como el comportamiento financiero de la persona, el perfil de relacionamiento o vinculación con el banco además de los temas de correlaciones en el comportamiento, es decir, de cuántas extracciones se trata, qué frecuencia tienen, de qué monto, dónde estaba la persona cuando las extracciones se produjeron, si hizo gastos importantes al mismo tiempo que las extracciones y que no coinciden con su perfil, etcétera. En algunas situaciones los clientes que fueron víctimas pueden llegar a sentir “que son culpables hasta que demuestren lo contrario”, aunque en términos generales los bancos se hacen cargo y devuelven el dinero a los clientes luego de las debidas investigaciones. Otro aspecto también importante y que agrega complejidad es si las autoridades policiales de los diferentes países están capacitadas en conocimientos específicos (computación forense y otros) como para gestionar los delitos informáticos.
Por qué el promedio de las personas puede caer ante estos ataques, es una explicación que dejaremos para la sección psicológica de este artículo. El proceso es gradual y consta de varios pasos con una estrategia bien definida; lo siguiente a la obtención de información es conocer el perfil de la víctima y definir cuál es el medio más eficiente para apoderarse de sus datos sensitivos, para hacerse pasar por ella.
El aspecto psicológico
Siguiendo con el tema, investigamos qué aportes puede hacer la psicología.
Son varios los perfiles que encuadran bien con el de la víctima, pero para no extendernos nos referiremos al más común y el que más aparece: el complejo de superhéroe ¿Quién al ver que alguien pide ayuda no ha estado tentado a ayudar? Estadísticamente sería 70% de la población mundial, porque el ser humano originariamente nace bueno, el 30% restante son los sociópatas o psicopáticos. (EE.UU.-DSM4 Manual diagnóstico y estadísticas de trastornos mentales).
¿Qué se siente cuando se ayuda?, primero el agradecimiento de la persona, con frases como “Dios lo bendiga”, “me salvó el día”, “no hay gente como usted en estos tiempos”, etcétera. Esto actúa como un fuerte reforzador para que la conducta de ayudar se repita ¿Por qué un bombero entra a un gran incendio a salvar a alguien? ¿Por el sueldo? No, porque al salvarlo además del agradecimiento de la víctima y la familia recibe aplausos y reconocimiento social, humano y de sus superiores. El que más lo gratifica es el social y humano y lo refuerzan los titulares de la prensa (“¡Bombero héroe salva anciana!”).
Desde niños aprendemos que ayudar es bueno, y lo es a veces. Cuando estamos frente a delitos informáticos, es diferente.
El victimario sabe que si pide ayuda y hay tres personas, por lo menos dos se ofrecerán. Y dicho victimario sí es un sociópata. Sus características son parecer inofensivo, indefenso, preocupado, deprimido. En realidad es frío, calculador, mitómano y siempre sabe lo que hace: sabe diferenciar el bien del mal, pero no le importa (España-CTIO, Clasificación estadística internacional de enfermedades y problemas de salud).
Si de alguna manera lo detienen, cosa improbable ya que siempre tiene un plan “b”, “c,” “d,” etcétera, es capaz de engañar al mejor juez o psiquiatra y psicólogo, ya que es un gran simulador.
No le importa el daño que inflige o si hace sentir mal al otro, es más, se siente bien, y si son internados, lamentablemente no suelen ser curables. No existe aún fármaco para esta disfunción y no es considerado por DSMV (Manual diagnóstico y estadístico de los trastornos mentales) como una patología.
Así que empecemos a enseñar a nuestros niños que ayudar es bueno, pero no en una situación en la que haya que mostrar documentación o información sensible. Y ya que el sociópata puede ser muy violento si no logra su fin, es recomendable analizar todo pedido de ayuda cuando viene de un extraño muy amigable.
Lamentablemente nuestra sociedad ha evolucionado mucho en algunos aspectos, pero hay 30% de seres humanos que, creo, INVOLUCIONAN, ya que se despiertan y se duermen pensando cómo hacer el mal, para su propio beneficio[4].
Para no ser tan pesimistas, nos quedamos con 70% de la población que sí es buena pero deben saber que LOS HÉROES NO EXISTEN.
El aspecto legal
Diversos estudios internacionales han demostrado que el robo de identidad se ha convertido en el delito del milenio y es una de las actividades ilícitas de mayor crecimiento en los últimos años.
En lo que respecta a la regulación jurídica en materia de robo de identidad, distintos organismos internacionales han tomado la iniciativa de actuar sobre este tema. A continuación presentamos una breve reseña de documentos que fueron elaborados por diferentes organismos:
- Organización para la Cooperación y el Desarrollo Económicos (OCDE).
- En el año 1999 aprobó un conjunto de directrices tendentes a proteger el comercio electrónico, con medidas para la elaboración de estrategias de prevención del hurto de identidad.
- En 2008 publicó un estudio sobre el hurto de identidad en línea, el “scoping paper on online identity theft”, en el cual se analizaron las diferentes estafas relacionadas con el hurto de identidad a través de Internet, las cuestiones relacionadas con las víctimas y los ámbitos de aplicación de la ley.
- En el mismo 2008 publicó el documento “Policy Guidance on Online Identity Theft”, que establecía una perspectiva general de las diferentes estrategias para responder al hurto de identidad relacionado con Internet.
- Unión Europea.
- En mayo de 2007 indicó que “la cooperación policial y judicial en el seno de la Unión Europea se vería facilitada si el hurto de identidad se tipificara como delito en todos los estados miembros”.
- En julio de 2007 inició un estudio comparativo sobre las definiciones de la expresión “hurto de identidad” utilizadas en los estados miembros de la Unión Europea y sus consecuencias penales.
- Naciones Unidas.
- La convención de las Naciones Unidas contra la delincuencia organizada trasnacional constituye la base jurídica aplicable en materia de cooperación en los casos de fraude trasnacional vinculados en materia de robo de identidad.
- El Consejo Económico y Social de las Naciones Unidas, por Resolución 2004/26 estableció directrices sobre la variedad de delitos que suponen la falsificación de identidad.
- En el informe de 2007 de la oficina de Naciones Unidas contra la droga y el delito se dedicó un apartado al análisis del robo de identidad. Además en su informe de 2010 “The globalization of crime, a transnational organized crime threat assessment”, un apartado del mismo se vincula al robo de identidad.
- En el derecho comparado entre los países que han tipificado el delito de robo de identidad, se encuentran Canadá, Estados Unidos y Reino Unido.
- La ley federal de Canadá define el robo de identidad como “la obtención y posesión de información de la identidad de una persona con la intención de engañarla o realizar actos deshonestos o fraudulentos en su nombre”.
- A nivel federal, Estados Unidos define el robo de identidad como el que “a sabiendas, posea, transfiera o use, sin autoridad legal, un medio de identificación de otra persona con la intención de cometer, ayudar o instigar, cualquier tipo de actividad ilegal”.
- En el Reino Unido, el robo de identidad se encuentra definido por el Home Office Identity Fraud Steering Committee, como “el acto por el cual alguien obtiene información suficiente acerca de la identidad de otro para facilitar el fraude de identidad, con independencia de que la víctima esté viva o muerta”.
- Si bien en Uruguay no se encuentra tipificado en el código penal el delito de robo de identidad, ante un hecho de ingeniería social, en el cual se engaña y manipula psicológicamente a la víctima para que revele datos personales que no brindaría en circunstancias normales, se debería aplicar el artículo 347 que tipifica la estafa: “el que con estratagemas o engaños artificiosos, indujere en error a alguna persona, para procurarse a sí mismo o a un tercero, un provecho injusto, será castigado con seis meses de prisión a cuatro años de penitenciaría.”
Conclusiones
Desde el punto de vista psicológico ya fue expresado anteriormente que no existe una cura para esta patología, por lo que de nuevo hay que educar y prevenir a la posible víctima.
Desde el punto de vista legal es clave una mejor legislación del delito informático y en especial del robo de identidad, fundamentalmente en los países latinoamericanos. También debe mejorarse la cooperación internacional para lograr acuerdos que permitan intercambiar conocimientos, prácticas y leyes que, una vez validada su efectividad, puedan ser tomadas como base por otros países que aún no tengan la legislación. Esto es vital, sobre todo teniendo en cuenta que estos delitos “cruzan las fronteras” ya que en muchos casos se valen de Internet.
Desde el punto de vista técnico lo que podemos decir de la ingeniería social es que es cada vez más complejo ya que no se utiliza sola sino en combinación con phishing y spoofing de sitios Web, spam y malware en general, lo que hace más difícil aún para un usuario medio detectar ciertos comportamientos que lo prevengan de caer en la trampa. Lamentablemente también se usa en actos tan terribles como la trata de personas, la pornografía infantil y el secuestro, lo que nos lleva a pensar una vez más que en ambas acepciones (la positiva y la negativa), algo que puede generar resultados tan extremadamente opuestos sólo puede ser “mitigado” con educación y concientización en principios, valores y seguridad, con fuertes castigos una vez que los delitos se constatan.
Finalmente, hay que indicar que lo anterior es una responsabilidad de todos, no sólo de los bancos y empresas, sino de las autoridades, si es que realmente queremos avanzar hacia una “sociedad de la información” donde los servicios ciudadanos sean digitales, así como de los profesionales en seguridad e instituciones como ISACA que tienen una misión de compromiso con la sociedad.
Referencias
- Bill S-4: An Act to amend the Criminal Code (identity theft and related misconduct), en http://www.lexology.com/library/detail.aspx?g=36d58195-58f3-43c2-9872-200ae899787e
- 18 U.S. Code § 1028 – Fraud and Related Activity in Connection with Identification Documents, Authentication Features, and Information, en http://www.law.cornell.edu/uscode/text/18/1028
- http://www.identitytheft.org.uk/identity-crime-definitions.aspx
- ISACA: Control Journal, ediciones 2012 y 2013.
- DSMV (Manual diagnóstico y estadístico de los trastornos mentales).
- CPU 2012 al 2014 – Revista de Coordinación de Psicología del Uruguay, Relaciones, Uruguay 2009 al 2014 – Publicación Semanal sobre psicología
[1] Wikipedia, definición de ingeniería social.
[2] Wikipedia, definición de ingeniería social.
[3] Wikipedia, definición de ingeniería social.
[4] CPU 2012 al 2014–Revista de Coordinación de Psicología del Uruguay, Relaciones, Uruguay 2009 al 2014 – Publicación semanal sobre psicología.
[…] El uso de la expresión se inició en 1894 con un ensayo del empresario y filántropo holandés J.C. Van Marken, difundido en Francia por Émile Cheysson (uno de los integrantes del Musée Social), pero recibió su mayor impulso en EE.UU. a través del libro “Social Engineering” del reformista social W.H. Tolman, conocido en aquella época por “ayudar a los pobres”. La idea central es que no había en las empresas una función social (algo así como los departamentos de recursos humanos de hoy), por lo que el ingeniero social tenía una función de mediador para resolver los conflictos como intermediador racional entre el capital y el trabajo. En esta acepción, el ingeniero social debía contar con habilidades sociales, en contraste con el uso posterior del término, basado en la metáfora de la máquina que se convierte en el núcleo del concepto peyorativo actual, popularizado a partir de 1911[1]. […]