Ciencias sociales, Inteligencia y eSports (III) – Ingeniería Social

Seguimos otra semana más con la importancia de las ciencias sociales en inteligencia. En esta ocasión nos alejamos un poco del caso de los posts anteriores, para poneros en el otro lado del análisis de inteligencia, el de “los malos”, que no podemos olvidar, en ocasiones también realizan grandes labores de inteligencia, e incluso van un par de pasos por delante de quienes tratan de evitar que actúen.

Aplicado al sector del gaming y los eSports que venimos tratando en las últimas semanas, podemos observar cómo se puede utilizar el análisis de inteligencia de forma maliciosa a través de un concepto que, si bien nace en el contexto de la seguridad informática, se basa enteramente en la psicología: la ingeniería social.

¿Qué es la ingeniería social?

Como muchos otros términos, se ha definido la ingeniería social de muchas formas, a cuál más artística, haciendo referencia a la “manipulación mental” o al “human hacking”. Desde el punto de vista de la psicología, no es más que una aplicación más de la persuasión o el cambio de actitudes, es decir, modificar las actitudes de una persona hacia a algo para tratar de influir en su conducta al respecto de ese algo. Es algo que hacemos constantemente, aunque no siempre con buenos resultados: cuando con 15 años le decíamos a nuestra madre que si nos podíamos quedar hasta tarde porque todos nuestros amigos lo hacían o cuando les decimos a los niños que si no se portan bien, Los Reyes Magos no les van a traer regalos.

Dependiendo del contexto y el público a quien vaya dirigido el mensaje, hay infinitas maneras de influir en sus actitudes. Podemos recurrir a mensajes más racionales o emocionales, al humor, al miedo, o a principios como los que proponía Robert Cialdini como la urgencia o la escasez. Estos últimos se aplican con gran frecuencia en los casos de phishing.

En general, desde la psicología se propone que para que un cambio de actitudes sea “profundo”, que permanezca en el tiempo, es necesario que haya un esfuerzo por parte de la persona de realizar un análisis de la información que se le proporciona que concluya en ese cambio de actitudes, y que, por el contrario, el cambio será más superficial y no se mantendrá en el tiempo si este esfuerzo no se produce. Sin embargo, “gracias” a la tecnología, no se necesita más que ese cambio superficial, que sólo tiene que durar lo suficiente para pulsar sobre un enlace o introducir un correo electrónico.

¿Cómo se aplica a los videojuegos?

El cambio de actitudes puede tener fines positivos o negativos. La ingeniería social en general se suele asociar más a la parte negativa, por lo que nos centraremos en la misma. De los cientos de aplicaciones que podrían tener la ingeniería social en el mundo del gaming, hay dos que destacan por su frecuencia.

La primera de ellas, y la más obvia, es el phishing, es decir, hacerse pasar por una persona, empresa, servicio etc. Con el objetivo de ganarse la confianza de otra persona. Algunos de los ejemplos aplicado en los videojuegos son: páginas falsas que pretenden parecerse a las oficiales prometiendo recompensas in-game tras rellenar cuestionarios con información personal, aplicaciones móviles que prometen trucos para otros juegos y en realidad instalan programas maliciosos en los dispositivos o mensajes que indican al usuario que su cuenta se ha bloqueado y los llevan a una página web falsa donde debe introducir sus credenciales. Según Wired, muchos de los vídeos de gaming más vistos de youtube estarían relacionados con este tipo de prácticas.

Cuanto más creíble sea la réplica de las fuentes oficiales, o la apariencia del mensaje, mayor probabilidad de éxito tendrá el ataque. Una de las técnicas más convincentes es la personalización del mensaje, el spear fishing, donde el mensaje se hace a medida para cada persona incluyendo información que le hace pensar que la comunicación es legítima. Esta información se puede obtener, o bien de ocasiones anteriores en que ese usuario se haya visto comprometida, o, con más frecuencia, a través de OSINT, investigando sus redes sociales o su propio perfil dentro del juego.

La segunda de ellas, en muchas ocasiones más cuestionable desde el punto de vista ético que del legal, haría referencia a ciertas prácticas enfocadas a mantener el «engagement» de los jugadores. A animarlos a seguir jugando, o gastando dinero. Es el caso de las cajas de recompensas, de los eventos especiales, las recompensas diarias o los pases de temporada. Ninguna de estas cosas es intrínsicamente negativa, pero con frecuencia se abusa de su uso con técnicas de ingeniería social.

En este tipo de prácticas se suele recurrir a varios de los principios de Cialdini citados anteriormente: urgencia (recompensas que sólo están disponibles por tiempo limitado), escasez (número limitado de unidades) y prueba social (las personas del círculo social de los jugadores también lo hacen). Combinados, han demostrado ser eficaces hasta el punto de que se ha llegado a comparar las cajas de recompensa con la adicción al juego, como ocurre con los juegos de azar o las apuestas deportivas.

Conclusión

Las técnicas propias del análisis de inteligencia no sólo se utilizan para apoyar la toma de decisiones en gobiernos y empresas, sino que también puede emplearse con fines menos éticos o incluso ilegales. Haciendo uso de investigación en fuentes abiertas (OSINT) y con el apoyo de técnicas de ingeniería social es posible obtener información personal, credenciales, datos bancarios.

En el contexto de los videojuegos, la ingeniería social cobra una especial importancia, dado que un porcentaje importante de los jugadores son menores de edad, y no sólo actores maliciosos pueden acceder a sus datos, sino que las propias compañías que desarrollan los videojuegos, se aprovechan de los mismos mecanismos para incentivar un mayor uso de los juegos, rozando en ocasiones problemas de adicción, o para aumentar las ganancias a través de microtransacciones.

Por último, por muchos mecanismos de seguridad o regulaciones que intenten aplicarse a cualquiera de ambas problemáticas, el desconocimeinto o la falta de concienciación al respecto siempre permitirán que se encuentre un vacío en el que poder actuar. En palabras de Frank Abagnale, en quién se basa la famosa película «Atrápame si puedes», y con amplia experiencia en el campo de la persuasión:

There is no technology today that cannot be defeated by social engineering

Frank Abagnale

 

Marta Mallavibarrena