Ingeniería Social: el pequeño Nicolás.

lobo_cordero

En la entrada de hoy vamos a hablar de la Ingenieria Social como forma de ataque a los sistemas de información. Para ilustrar el artículo con un tema con tanta controversia voy a emplear el caso del pequeño Nicolas. Para mi, un experto en la materia.

Vamos a comenzar con una alusión al término procedente de la wikipedia: «Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos».

Simpsons-Nicolaslaopinioncoruna.es

Uno de los primeros hackers conocidos por su habilidad en esta disciplina, la ingeniería social, fue el Sr. Kevin Mitnick.

Durante la década de los 80 y 90, el citado delincuente consiguió penetrar en los sistemas de telefonía de varios proveedor norteamericanos, haciendo uso de su habilidad en la comunicación. Consiguió información confidencial de los sistemas que posteriormente utilizó a su antojo. Todo un tipo !!! La siguiente imagen es su Business Card.

Mitnick Business Card

Retomando el asunto del sujeto castellano.

Ha conseguido, entre otras cosas, acceder a todo tipo de información sensible, que ninguno de los ciudadanos de a pie manejamos.

El artículo no es un juicio de valor sobre lo ocurrido, desde el punto de vista del personaje, sino del riesgo que supone para la seguridad nacional, para nuestra información.

Si el personaje ha mentido para acceder a la proclamación del nuevo rey, la justicia actuará…quizás no. Lo preocupante es que ese tipo pudo sacar un machete o una pistola y asesinar a su majestad. Semanas después ha salido a la luz la información de su Invitación, al parecer como pareja de un asistente. ¿Es una buena práctica de seguridad dejar pasar a esa persona, por ser la pareja de otra? A mi sinceramente me parece que no.

Si el personaje ha mentido para obtener escolta policial, en varias ocasiones, para conseguir protección para sus desplazamientos, la justicia actuará… quizás no. Lo preocupante es que este tipo ha vulnerado el sistema de partes de trabajo que tendrán los servicios de escolta. No lo ha hecho accediendo al sistema informático y asignando tales viajes a ciertos chóferes, pero lo ha conseguido, usando la Ingenieria Social.

Una persona me dijo de joven que en esta vida hay que ser bueno y parecerlo. En muchas ocasiones nos centramos en «el parecerlo» y damos por hecho que es bueno. Puedes aplicar esto a muchos aspectos de la vida.

Houdini

Los ilusionistas y magos han utilizado el contexto en el que se sitúan para realizar muchas de las hazañas que contemplamos en sus trucos. Haciendo énfasis en una imagen, objeto, movimiento de mano, consiguen atraer nuestra atención, liberando nuestro foco de atención en la «mano» que deberíamos mirar. Este tipo ha hecho lo mismo.

Imagínate el personaje, que recibe una llamada, y hace parecer que es un alto cargo (Hola Mariano, como esta usted? ) Si estás en una cafetería un sábado por la noche, no le harías mucho caso. Si lo hace en un ambiente aristocrático, rodeado de opulencia, buenos trajes, buenos coches. Si la persona que está a su lado es parte de esa élite. No es Mariano, pero si una persona importante. Lo mismo empiezas a dudar sobre el origen de la llamada. Si a eso le sumas las ganas de realizar una gestión con el sujeto, tu subconsciente estará diciéndole a tu cerebro » ES MARIANO RAJOY !!!»

Le pase lo que le pase al pequeño Nicolás, me preocupa que una persona de 20 años y un traje pueda acceder a información de alto nivel. Si hubiera querido indagar en archivos de salud, para actuando a favor de una farmeceutica, acceder a información sensible de nuestra salud, hubiera sido un gran problema…

Uno de los casos de ingeniería social más populares es el Phishing. Una técnica que intenta comprometer el sistema mediante el envió de correos, aparentemente legítimos, con el motivo de acceder a un enlace, introducir un usuario/contraseña, etc.

La ingenieria social está a la orden del día en muchos ámbitos de la vida, y aunque suele estar vinculada a la tecnología, somos víctimas de estos «ataques» para conseguir información a diario.

Recuerdo un caso curioso mientras trabajaba para una entidad sanitaria. Teníamos un paciente VIP, con cierta difusión mediática, y los periodistas estaban tras la pista de ubicar el hospital en el que esta persona estaba ingresada para acceder a la valiosa imagen.

Los periodistas se dedicaron a llamar a todos los hospitales preguntando por la habitación de la SRA. X.

En todos los centros respondieron que no existía ningún paciente que atendiera con ese nombre.

En mi centro, el administrativo que respondió la llamada, haciendo uso a su formación en privacidad, informó gustosamente al periodista que por motivos de privacidad no podía revelar dicha información. Bingo, ya saben en qué hospital se encuentra.

Un caso que cayó en mis manos hace poco, muy peligroso y real como la vida misma, y relacionado con la ingenieria social y los menores fue el siguiente.

En una localidad del sur de España, en los centros comerciales, había un grupo de criminales, que haciéndose pasar por encuestadores, realizaban una seria de preguntas a los menores que accedían a las salas de cine. Imaginar a los menores en la puerta del cine, con el presupuesto limitado, y unos encuestadores bien vestidos ofreciéndoles un ticket para palomitas por 5 minutos de encuesta… Tu hijo la haría?

En la encuesta había preguntas de cine, para despistar, pero realmente las preguntas eran el nombre y primer apellido, teléfono móvil del menor, y el teléfono fijo. Con la escusa de que había un sorteo extra de un Ipad y que llamarían a los dos teléfonos.

¿Donde está el peligro?. Los menores entran al cine, y desconectan el móvil.

Aviso Policia

Cuando comienza la película, los «encuestadores» llaman al menor para comprobar que ha apagado el teléfono, que no atiende a las llamadas. Una vez hecha la comprobación, llaman al fijo proporcionado. Llaman al padre, sabiendo su nombre, y pididiendo un secuestro express por su hijo. El padre no se lo cree, llama al menor y no le atiende… está en el cine… Una segunda llamada, haciendo creer al padre que tienen la información del teléfono fijo, del nombre, porque el chaval se lo ha dicho, complica un poco más las cosas. En un plazo de 1 hora tienes que hacer una pequeña transferencia via paypal o similar, o tu hijo no encenderá otra vez el móvil.

Con dos llamadas, la habilidad para hacer creer al menor que es una encuesta, y la habilidad para convencer el padre de qué tiene información del niño, sabe la ropa con la que salió a casa, hacen que en más de un caso alguien haya pagado.

¿Entendéis el peligro de la ingeniería social?. Este caso que he comentado no me lo he inventado yo, es un bulo que circula por las redes sociales. Aquí el comunicado de prensa. 

¿Os lo estabais creyendo?. Seguro que si, es verosímil, además, nos preocupa la seguridad de nuestros hijos. Habéis caido en mi «trampa» de ingeniería social. Y si soy la competencia de una empresa de encuestadores que lo que quiere es dañar el trabajo de mi competencia, que se que se dedica a este tipo de encuestas en centros comerciales?

Podemos sacar varias conclusiones sobre estas reflexiones, pero principalmente es la de usar el sentido común.

No te fíes de uniformes, de buenas palabras, de una buena imagen, de un buen pretexto. Si quieres saber quien es alguien, pídele su DNI. Si tienes dudas, NO PAGUES, ni reveles información. De ningún tipo.

El típico caso de Ingeniería social que he usado durante muchos años para obtener contraseñas, pero solo para aleccionar a mis amigos, es el de la pregunta secreta.

¿Alguna vez te has registrado en un servicio, como pueda ser un correo, una web, comercio, y te han indicado que propongas una pregunta de seguridad y una respuesta, para poder restablecer tu contraseña?. Si tu pregunta es tu libro favorito, el nombre de la mascota, tu ciudad de vacaciones, etc… Si intento acceder a la cuenta de un amiguete, consigo su pregunta. Le envío un correo diciéndole que haga esta encuesta anónima en internet, que entra en un sorteo interesante, y que me ha tocado un «MP3» por rellenarla. Mi amiguete casi seguro que la hará. Una de las preguntas, camuflada entre varias, es su pregunta secreta. El no se va a acordar de cuando registro ese servicio, de ese dato, y yo disfrutaré de su contraseña.

Espero que os hayan gustado estas reflexiones acerca de la ingeniería social, y de como debemos ser realistas y no dejarnos engañar por la picaresca, que quizás sea el nombre que hace 50 años recibía esta actividad.

¡Gracias por leerme amigos !

Joaquin Molina

Poodle ataca de nuevo con TLS en el punto de mira