Elicitacion

Elicitación: el lado invisible de la ingeniería social que todo administrador de sistemas debe conocer

Publicada el por Tomas Pardellas

En ciberseguridad solemos pensar en firewalls, contraseñas robustas y actualizaciones al día. Sin embargo, hay una técnica que sigue siendo sorprendentemente eficaz porque no ataca máquinas, sino personas: la elicitación.

Se trata del arte de obtener información de alguien sin que se dé cuenta de la importancia de lo que está revelando. No implica mentiras descaradas ni amenazas; a menudo, basta con una conversación informal. Y para quienes trabajamos administrando sistemas o con acceso a datos sensibles, esto supone un riesgo real.

¿Qué es exactamente la elicitación?

La elicitación es una técnica de comunicación diseñada para que una persona comparta información sin sentirse presionada. Funciona apelando a la cortesía, la curiosidad o incluso al orgullo del interlocutor.

Por ejemplo, un atacante podría iniciar una conversación inocente:

“¡Vaya, qué complicado debe ser gestionar servidores tan grandes! ¿Qué sistema operativo usan para mantenerlos tan estables?”

A simple vista parece una frase de interés genuino. Pero si la respuesta incluye detalles sobre configuraciones, proveedores o políticas internas, esa información ya tiene valor para alguien con malas intenciones.

¿Por qué es peligrosa para administradores y personal con acceso crítico?

Los administradores de sistemas son guardianes de datos, redes y aplicaciones críticas. La información que manejan —horarios de mantenimiento, arquitectura de red, versiones de software, procedimientos de acceso— puede ser oro para un atacante.
Y lo más preocupante: esa información rara vez se protege con la misma cautela que una contraseña, porque solemos pensar que “no es tan importante”.

La realidad es que los ataques más efectivos no siempre empiezan con un exploit sofisticado, sino con un dato aparentemente irrelevante compartido en la conversación equivocada.

Cómo utilizan los atacantes la elicitación

Los atacantes combinan la elicitación con la ingeniería social para crear una cadena de información. Este es un ejemplo ficticio, pero muy realista:

  1. Fase 1: conversación casual
    En una conferencia, un “colega” pregunta:
    “¿Es verdad que migrasteis todo a la nube? Debe ser un reto con tanta carga de trabajo…”
    La víctima confirma y menciona de pasada qué proveedor usan.
  2. Fase 2: obtención de datos técnicos
    Días después, otro contacto comenta:
    “He oído que AWS ha cambiado algunas políticas. ¿Ya actualizasteis vuestras instancias?”
    La víctima, sin pensarlo, menciona que siguen con una versión anterior por problemas de compatibilidad.
  3. Fase 3: ataque dirigido
    Con el proveedor y la versión del sistema, el atacante prepara un ataque sobre vulnerabilidades conocidas. Lo único que necesitó fueron dos conversaciones amistosas.

Por qué somos tan vulnerables

  • Educación y cortesía: nos incomoda decir “no puedo hablar de eso”.
  • Ego profesional: nos gusta compartir logros y demostrar que sabemos.
  • Confianza en entornos profesionales: asumimos que compañeros de sector “hablan nuestro mismo idioma”.

Y así, sin darnos cuenta, abrimos pequeñas puertas que, juntas, forman un acceso completo.

Cómo protegerse de la elicitación

La buena noticia es que podemos entrenarnos para detectar y bloquear intentos de elicitación sin parecer bruscos. Estas son algunas recomendaciones prácticas:

1. Desarrolla una alerta interna

Antes de responder, pregúntate: ¿por qué necesita saber esto? Si no está claro, responde de manera vaga.

2. Controla la información “pública”

La arquitectura de tu red, tus procedimientos internos y las versiones de tu software no son temas para compartir fuera de tu equipo directo.

3. Ten frases de salida preparadas

Frases como:

  • “No puedo hablar de eso, pero te cuento otra cosa…”
  • “No sabría decirte ahora mismo.”
  • “Eso es información interna, mejor no entrar en detalles.”
    permiten mantener la conversación sin revelar datos sensibles.

4. Forma a tu equipo

Todos los que manejan información crítica, no solo los administradores, deberían conocer estas técnicas. Una sola persona que baje la guardia puede comprometer a todo el sistema.

5. Recuerda: la ingeniería social no discrimina

No importa cuán seguro sea tu sistema si el atacante puede entrar por la puerta que dejamos abierta en una conversación descuidada.

Elicitación y cultura de seguridad

Adoptar una cultura de seguridad significa asumir que la información es un activo tan valioso como las contraseñas o el hardware. Esto no significa vivir paranoico, sino incorporar hábitos simples:

  • Pensar antes de responder.
  • Compartir datos técnicos solo con quien realmente lo necesita.
  • Entrenar la capacidad de detectar curiosidad poco natural.

Cuando estos hábitos se convierten en reflejos, reducimos significativamente el riesgo de que la ingeniería social triunfe.

Reflexión final

La seguridad no está solo en el código ni en los sistemas; está, sobre todo, en las personas que los manejan.
La elicitación funciona porque explota nuestra naturaleza social: nos gusta hablar, ayudar y demostrar que sabemos. Pero, como administradores y custodios de datos sensibles, debemos recordar que cada palabra cuenta.

La próxima vez que alguien te haga una pregunta demasiado curiosa sobre tu trabajo, recuerda: el mejor dato que puedes proteger es el que no compartes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies