En pocas palabras, consiste en emplear el engaño, la picaresca y la sutileza para que otros usuarios revelen sus claves o datos personales de acceso a cualquier sistema.

"Ingeniería Social: Término usado entre los crackers para crackear, basado en lo relativo a redes, más que en lo relativo a software. El objetivo es engañar a la gente para que revele passwords u otra información que comprometa un sistema de seguridad. Los engaños clásicos suelen pasar por telefonear a alguien que tenga la información requerida y simular que se tienen problemas técnicos de acceso o que se tiene un empleado el cual no puede acceder al sistema en cuestión." (Texto extraído de "The Complete Social Engineering FAQ")

Para realizar llamadas de teléfono hay que tener "una mente malditamente rápida. Es necesario un teléfono. <...> El teléfono ha de ser de buena calidad, tratando de evitar los inalámbricos". Los "caza-passwords" utilizan varias técnicas al teléfono, como cambiar el tono de la voz. Una de las llamadas típicas es al administrador de la red del colegio o facultad, diciendo que se es un alumno que ha perdido su clave de acceso. Antes, lógicamente, hay que saber los datos personales de dicho alumno, que han de obtenerse de manera similar llamando al individuo. Incluso algunos crackers utilizan a chicas para solicitar claves, por aquello de la persuasión femenina. "Usa voces de mujer primero, ya que los tipos que gestionan sistemas informáticos raramente ven la luz del día. Deja trabajar a las mujeres. Esos tipos son fácilmente manipulables con voces de mujer".

Recuerdo una broma que se gastaba cuando adolescentes en el instituto y que consistía en llamar desde una cabina de teléfonos a un número al azar simulando ser personal de Telefónica. La broma consistía en avisar al usuario que existían problemas de sonido en la recepción de su señal, por lo que se le pedía amablemente si podía hablar fuerte por el teléfono, incluso gritar para comprobar la intensidad del sonido y así solucionar el problema. No se imagina uno lo que es capaz de hacer la gente hasta que no lo ve (en este caso lo oye).

Otra técnica empleada es el correo postal tradicional. El envío de cartas timbradas con logotipos falsificados de importantes empresas solicitando cortésmente nombres de usuarios y passwords que se perdieron por accidente y prometiendo que nunca volverá a ocurrir. "Un apartado postal va bien. Si quieres ser más profesional, hazte con un apartado postal. Su coste se verá recompensado por su efectividad" dice la FAQ. "Simula formularios para que incluyan ahí la información. Algo con pocas líneas, pero de vital importancia. Una marca de agua es un buen toque para esos documentos. Usa el tipo de letra que usaría una empresa."

Los más atrevidos utilizan su presencia física para hacerse con información confidencial. "Esta es la única vez en la vida de un hacker donde la presencia física es importante. No esperes entrar en la empresa X con una camiseta y tus walkmans." Algunos incluso llegan a falsificar credenciales y utilizar la indumentaria de los trabajadores de la casa. El objetivo es tener acceso a un ordenador y obtener datos sobre los usuarios de la empresa, para después simular su identidad y solicitar a la compañía las passwords correspondientes. Aunque para esta práctica, la verdad, hay que estar muy convencido que se puede acabar entre rejas fácilmente.

Después están las técnicas de ingeniería social por INTERNET. Las más extendidas. El correo electrónico es un arma muy utilizada, simulando que el servicio técnico de nuestro proveedor está reestructurando el sistema de passwords para una mayor seguridad de los usuarios y por ello se solicita mediante correo encriptado de alta seguridad (mediante PGP o similar) el nombre de usuario y clave de acceso a INTERNET para cotejarlo con los que se poseen en la central de la empresa.

El IRC es otro lugar donde hackers, crackers y demás individuos de la jungla underground ponen a prueba sus dotes de elocuencia y persuasión para extraer passwords, sobre todo de usuarios noveles (canales #irchelp, #newbies y similares).

En pocas palabras, cuando se dice que nuestros números de tarjetas de crédito, claves de cajas fuerte, passwords de acceso a ordenadores e información semejante son de uso personal y no deben ser reveladas a terceros, no se dice por gusto. Compañías de teléfono internacionales y otras grandes empresas que proporcionan claves a sus usuarios tienen manuales editados para evitar ser timados de semejante forma. He visto por el WWW más de una página de grandes multinacionales de telefonía con consejos para usuarios con el fin de no ser víctimas de estas prácticas. Incluso conozco algún proveedor de INTERNET que anuncia como lema "jamás pedimos a nuestros usuarios las claves de acceso por correo electrónico, teléfono o cualquier otro medio".