Si nos podemos hacer un poco de tiempo, no hay nada como tumbarse mientras se lee un buen libro. Y si el libro ayuda a mejorar nuestras habilidades, mejor que mejor. Por este motivo, me gustaría recomendar “Social Engineering: The Art of Human Hacking”, un libro que si bien ya tiene casi 3 años, no ha perdido un ápice de su significado, ya que las personas (por suerte), no evolucionamos tan rápido como las tecnologías de la información.

Su autor, Christopher Hadnagy, es un reconocido experto en ingeniería social y seguridad física, ha estudiado acerca de las “microexpresiones” (¿a alguien le suena la serie de televisión Lie to me?) y es el desarrollador principal de social-engineer.

Tras leer el libro, he descubierto paralelismos entre el “pentest a humanos” y el “pentest a sistemas”: en ambos existe una fase de recopilación de información, en la que el auditor utiliza tanto información digital como física, incluyendo la interacción con el objetivo, así como en sus desperdicios. Las siguientes fases de un pentest adicional, se podrían englobar en lo que denomina elicitación: consiste en averiguar, con la información de que se dispone, como se comporta el objetivo, de manera que el pentester sea capaz de conducir a la persona hacia un lugar u otro.

Personalmente las secciones que más me han gustado son aquellas que explican los conceptos psicológicos detrás del comportamiento humano, la creación de pretextos para poder justificar cualquier inconveniente que se produzca a lo largo del engaño, o las “microexpresiones”, apoyadas en fotos tomadas a personajes más o menos conocidos expresando diversas emociones.

La única complicación del libro, es la dificultad de poner en práctica los conocimientos adquiridos: si bien para mejorar nuestras habilidades como pentesters podemos utilizar cualquier máquina virtual descargada desde Internet, nunca suele ser una buena idea engañar a tus amigos o compañeros de trabajo.