Por Charles Falciglia*
El término tiene varios significados, pero en el contexto de la industria de servicios financieros su significado es claro: la ingeniería social es la manipulación de un individuo por parte de otro para obtener algo en su provecho. Dicho de manera simple, es cuando se trata de jugar con la compasión o simplemente se trata de engañarlo.
Con la llegada de la regulación sobre Señales de Alerta de Robo de Identidad y Diferencias en los Domicilios, que entró en vigencia el 1 de noviembre de 2008 (en Estados Unidos), la ingeniería social se ha colocado a la vanguardia como una de las amenazas consideradas asociadas con el robo de información financiera personal.
Obstáculos inherentes
La ingeniería social ha estado presente desde el comienzo y ha sido practicada por todos en un momento u otro. La mayoría de la gente, sin embargo, no la emplea para actividades delictivas, sino para algún tipo de satisfacción emocional o para obtener un beneficio económico legal. En otras palabras, quieren obtener una ventaja para sí mismos.
Capacitar a sus empleados para resistir y reconocer la ingeniería social puede ser una tarea casi imposible, dado que en muchos casos ni siquiera la van a considerar como una ingeniería social, sino como un “servicio al cliente.
Las políticas y procedimientos diseñados para impedir que un empleado tome una decisión potencialmente perjudicial es exactamente lo que el ingeniero social está tratando de convencer al empleado para que los evite.
La ingeniería social puede tener éxito por varias razones. Algunas compañías otorgan poder a sus empleados para que tomen decisiones y decidan excepciones por sí mismo. Algunos empleados carecen de un conocimiento completo de la política de la compañía o ni siquiera saben que hay una. Un empleado descontento o contumaz puede ser el mejor amigo de un ingeniero social.
El personal que considera que la política de la compañía es insensata tampoco ayuda. Agregue empleados jóvenes, inexpertos, sin información sobre la cultura actual amigable para con el cliente y tendrá una receta para el desastre.
El mayor problema con la ingeniería social es que el empleado es generalmente está en contacto directo con la persona que trata de engañarlo.
El objetivo del perpetrador es obtener información, un beneficio inmediato o encontrar un potencial punto débil en el futuro. Ellos quieren lograr esto tan rápido e indiscriminadamente como sea posible.
El tiempo no es un aliado ni del ingeniero social ni de la institución financiera. Los reportes de la oficina de soporte o apoyo solo pueden reflejar la violación a la política de la institución después que es demasiado tarde, si es que lo detectan.
Hace poco, me encontré en una situación con dos importantes bancos, a los cuales obviamente no identificaré, en los cuales ocurrieron ciertos incidentes que mostraron claramente qué es la ingeniería social y las líneas difusas que un empleado puede enfrentar.
La estrategia
Necesitaba obtener algunas monedas extranjeras porque iba a viajar al exterior y fui al banco A para obtenerlas. La suma que necesitaba equivalía solo a unos cientos de dólares, básicamente eso puede ser calificado como una suma que no genera amenazas. Me dirigí al gerente de la sucursal para hacer la transacción simplemente porque él estaba disponible, no porque el banco A limitara esas transacciones para que las hiciera únicamente él. Después de consultar el tipo de cambio y determinar la suma con el arancel por procesamiento que cobra el banco, empecé a entregarle el dinero en efectivo. Él pareció sorprendido. Rápidamente me preguntó si yo era cliente, y sí lo era, pero yo no tenía el tipo de cuenta —cuenta corriente o de ahorros, para ser preciso— que el banco A requiere para realizar la transacción. El banco en el cual tengo la cuenta corriente no tiene servicios de cambio de moneda extranjera, lo que me llevó a dirigirme al banco A para hacerlo.
Yo podía ver que esa situación se estaba convirtiendo en un gran problema. A pesar de haber presentado una suave protesta, el gerente de la sucursal no iba a ceder y pude darme cuenta que no iba a sucumbir ante ninguna ingeniería social que yo pudiera pensar. Un ingeniero social habilidoso siempre está interpretando el tono de voz y el lenguaje corporal, sabiendo cuándo retirarse y cuándo insistir. De hecho, el gerente de la sucursal amablemente me explicó la razón de la política, la cual, por supuesto, era crear un rastro en papel de la transacción con, entre otras cosas, antilavado de dinero (ALD).
Estuve tentado de decirle lo que hago y ofrecerle algunas alternativas, como el seguir los procedimientos ALD del banco para los rescates de los bonos de ahorro de aquellos que no son cliente (la estrategia de ingeniería social que se me vino a la cabeza en ese momento), pero pude darme cuenta que ya había tomado la decisión. Tuve la sensación de que él estaba por decir, “Bueno, entonces usted debería entenderme, señor”. Entonces, jugué el rolde John Q. Público, le agradecí y me fui.
Al día siguiente, fui al banco B a probar nuevamente. Cuando le pregunté a la cajera cómo hacía para obtener monedas extranjeras, ella me señaló a una joven señora al otro lado de la línea de cajeros. No sé si ella era otra cajera, la jefa de cajeros o alguien de más jerarquía que simplemente estaba allí, pero tuve la impresión de que no tenía nada que ver con monedas extranjeras.
Decidí tomar un rumbo distinto, dándome cuenta inmediatamente que ella parecía ser más accesible que el gerente de la sucursal del banco A. Le dije que trabajaba para un banco y conocía las políticas de la mayoría de los bancos y entendía que algunas veces las políticas requieren que el cliente tenga una cuenta de depósito. Pero como cliente, yo había obtenido un préstamo.
Seguí hablando sobre que un cliente de préstamo es tan cliente como cualquiera que tenga una cuenta corriente o una cuenta de ahorros, aún mejor, ya que le estaba pagando una tasa de interés al banco. Mientras le planteaba mi caso, hice algunos comentarios con énfasis y humor en algunas frases.
Ella escuchó amablemente, afirmando y negando con cada comentario (una estrategia estándar de servicio al cliente antes de comunicar las malas noticias), finalmente estuvo de acuerdo conmigo en todo. Ella verificó que yo había obtenido el préstamo (yo había llevado los documentos del préstamo, por las dudas) y 48 horas después tenía mi dinero extranjero en efectivo.
¿Distintas filosofías?
Cuando me retiré del banco ese día, comencé a debatir en mi mente lo que había sucedido desde una perspectiva ALD. Los lavadores de dinero también son ingenieros sociales. El banco A no violó la política ni hizo ninguna excepción. Dejó de ganar un arancel (realmente no muy grande) y desde el punto de vista del servicio al cliente de alguna manera me perjudicó. Conociendo el negocio, realmente no estaba enojado, y probablemente la mayoría de la gente no estaría molesta como para llegar al punto de cerrar su cuenta. En defensa del banco A, yo no era un cliente que había obtenido un préstamo, lo que puede haber influido en la decisión del gerente de la sucursal.
El banco B presto un excelente servicio al cliente, pero, ¿no dejó una grieta en la puerta? No hay ningún registro de la transacción en ningún resumen de cuenta vinculado a mí. Para ser justo con el banco B, ellos pueden aplicar procedimientos para identificar la transacción si se lo solicitan las autoridades de fiscalización legal, pero puede ser que no sea así. La transacción podría ser aislada en algún oscuro libro mayor general, los documentos de seguridad destinados al fondo de una caja de cartón en algún remoto depósito.
Varios días después, habiendo decidido que la suma obtenida podía ser insuficiente, decidí ir por lo seguro y compré varios cientos de dólares más. Esta vez no hubo ningún problema. La empleada del banco B se acordaba de mí y entendió totalmente que la gente a veces duda y cambia de opinión, lo que por supuesto, le dije. ¿La grieta en la puerta de servicios al cliente se abrió un poquito más? ¿Cuánto más se podría abrir?
*Charles Falciglia, CAMS, American Bank of New Jersey, Bloomfield, NJ, EE.UU., [email protected]. Publicado por privera vez en Acams Today Vol 7 No. 6. (“Ingeniería Social”) y en Lavadodinero.com / 18-12-08
NOTA: Prohibida la reproducción total o parcial de este artículo sin la debida autorización de Lavadodinero.com.
