Ahora que viene el verano, no hay nada como tumbarse al aire libre mientras se lee un buen libro. Y si el libro ayuda a mejorar nuestras habilidades, mejor que mejor. Por este motivo, me gustaría recomendaros “Social Engineering: The Art of Human Hacking”, un libro que si bien ya tiene casi 3 años, no ha perdido un ápice de su significado, ya que las personas (por suerte), no evolucionamos tan rápido como las tecnologías de la información.
Su autor, Christopher Hadnagy, es un reconocido experto en ingeniería social y seguridad física, ha estudiado acerca de las “microexpresiones” (¿a alguien le suena la serie de televisión Lie to me?) y es el desarrollador principal de social-engineer.
Tras leer el libro, he descubierto paralelismos entre el “pentest a humanos” y el “pentest a sistemas”: en ambos existe una fase de recopilación de información, en la que el auditor utiliza tanto información digital como física, incluyendo la interacción con el objetivo, así como en sus desperdicios. Las siguientes fases de un pentest adicional, se podrían englobar en lo que denomina elicitación: consiste en averiguar, con la información de que se dispone, como se comporta el objetivo, de manera que el pentester sea capaz de conducir a la persona hacia un lugar u otro.
Personalmente las secciones que más me han gustado son aquellas que explican los conceptos psicológicos detrás del comportamiento humano, la creación de pretextos para poder justificar cualquier inconveniente que se produzca a lo largo del engaño, o las “microexpresiones”, apoyadas en fotos tomadas a personajes más o menos conocidos expresando diversas emociones.
La única pega del libro, es la dificultad de poner en práctica los conocimientos adquiridos: si bien para mejorar nuestras habilidades como pentesters podemos utilizar cualquier máquina virtual descargada desde Internet, nunca suele ser una buena idea engañar a tus amigos o compañeros de trabajo.
El libro es interesante. Solo un apunte del review, Christopher Hadnagy se apoya en los estudios realizados (desde hace más de 30 años) por Paul Ekman, psicologo Americano especialista en emociones y del que parten la mayor parte de estudios actuales relacionados con las microexpresiones, la detección de mentiras, expresiones universales, etc. etc. La serie que comentas “Lie to me?” se basa precisamente en dichos estudios (recogidos muy bien en http://www.amazon.com/Telling-Lies-Marketplace-Politics-Marriage/dp/0393337456)
Saludos
Muy interesante, ya que son libros que se pueden aplicar a cosas que no son unicamente seguridad informática. Le echaré un vistazo.
Por lo que he visto Ekman es toda una eminencia y tiene otros libros como “El rostro de las emociones: signos que revelan significado más allá de las palabras”
Saludos
Existe una version del libro en español, el titulo en español es “Ingeniería social. El arte del hacking personal”
Espero ya pronto pedirlo ya que he seguido todos los articulos de Hadnagy desde su sitio http://www.social-engineer.org.
Saludos