Elicitación: la técnica cordial para robar información sigilosa
De nada sirve mirar en el diccionario: el concepto de elicitación en el contexto de la seguridad de la información es bastante desconocido aun, incluso en América Latina. Aunque el verbo “elicitar” todavía no esté oficialmente incorporado al vocabulario del idioma español, el Diccionario panhispánico de dudas de la RAE refiere que es una “adaptación innecesaria del verbo inglés elicit [...] que corresponde a los verbos españoles provocar, suscitar u obtener, según los casos” (https://www.rae.es/dpd/elicitar). Así, como el propio diccionario lo constata, se hace un poco difícil comprender a qué se refiere el concepto de “elicitación” partiendo solo de esa definición.
Dentro del área de seguridad de la información, “elicitación” no es otra cosa que la técnica de extraer información sigilosa o privilegiada de alguien por medio de una conversación que, a priori, parece ser solo una charla educada y cordial. Este diálogo se puede entablar en línea o por teléfono, pero un ingeniero social habilidoso siempre preferirá un diálogo presencial, cara a cara, pues le dará la posibilidad de ser más incisivo.
El ataque es tan preocupante que el Departamento Federal de Investigación de Estados Unidos (FBI) elaboró una cartilla para advertir a organizaciones, privadas o públicas, con respecto a los riesgos implicados. A fin de cuentas, las técnicas de elicitación se pueden usar incluso para violar secretos industriales y espiar planes o proyectos militares de una nación extranjera rival.
Una conversación comprometedora
Imagina que estás en un coworking, por ejemplo y, de repente, una persona te aborda mostrándose ejemplarmente educada. Se presenta como un colaborador recién contratado que aun no conoce a los compañeros de oficina. Entonces, te pide que lo ayudes a familiarizarse con el ambiente.
El diálogo parece fluir tranquilamente y, cuando te das cuenta, estás respondiendo una serie de preguntas aparentemente inocentes: ¿dónde queda la sala de reuniones?; ¿cuántas personas componen el directorio?; ¿todos los ambientes están equipados con cámaras? Al proporcionar esa información, podrías, sin querer, estar dando datos cruciales que se podrían usar para planear una estafa contra la empresa.
Y es exactamente así que funciona la técnica de elicitación: la víctima difícilmente nota que está sufriendo una “extracción de información” y proporcionando inteligencia confidencial de manera voluntaria.
Esto sucede porque, en la elicitación, la ingeniería social se aprovecha al máximo y la conversación fluye tan naturalmente que algunas preguntas y comentarios aparentemente inofensivos pueden ser valiosos para el atacante. Este usará técnicas de persuasión y mantendrá un diálogo envolvente, ganándose tu confianza siendo educado, solícito y, además, un buen oyente. El ingeniero te adulará, te pedirá ayuda con algo, te pedirá tu opinión sobre algún tema y discutirá una cuestión solo para obtener tu versión de los hechos.
Según el FBI, existen varias técnicas que pueden usar los “extractores” de información durante una jugada de elicitación. Aquí te presentamos algunas de ellas:
-
Conocimiento asumido: crear empatía fingiendo tener conocimientos en común con el blanco.
-
Cebo confidencial: fingir que está compartiendo una información secreta con la esperanza de recibir otra información secreta a cambio.
-
Negación de lo obvio: decir algo equivocado, a propósito, para que la víctima lo corrija con una información verdadera y sigilosa.
¡Hasta tú seguramente las hayas usado alguna vez!
Aunque esos escenarios puedan parecer locuras que solo pasan en las películas de Hollywood, es muy probable que ya hayas usado técnicas de elicitación, ¡aunque fuera por un buen motivo!
Cuando, por ejemplo, estamos preparando una fiesta sorpresa para alguien, es común que apliquemos las estrategias de elicitación para sacarle información al agasajado. Tú haces preguntas aparentemente inocentes y mantienes charlas aleatorias para descubrir qué le gusta comer a la persona, qué regalos le encantaría que le dieran y cómo está su agenda de horarios para la celebración.
Desviarse de intentos de extracción de información por elicitación puede ser una tarea difícil, pero intenta entrenar tu pensamiento crítico para no responder cualquier pregunta sin antes pensar en las consecuencias. Si crees que estás siendo una víctima de ese tipo de estafa, desalienta al atacante ignorando cuestionamientos incisivos, respondiendo una pregunta con otra pregunta, ofreciendo respuestas genéricas o simplemente diciendo que no sabes o que no puedes discutir el tema de que se trate.