Técnicas de hacking: Ingeniería social

Hoy les traemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social. Esperamos que les guste.

El término ingeniera social, que bajo mi punto de vista es una infravaloración a la hora de hacer referencia al conjunto de técnicas de hacking que más facilidades proporcionan al atacante, es la punta de lanza de muchos ciberataques en la actualidad.

Hoy en día el uso de las redes sociales nos proporciona un lugar mucho más cómodo para movernos en este terreno, me explico brevemente. Hace algunos años cuando no existía Twitter, ni Facebook, ni muchas de esas cosas que tanto gustan, teníamos que conocer a la persona físicamente, buscar la amabilidad, convencer a alguien para conseguir acceso a datos, a un ordenador, recopilar información… Se hacía largo, eterno, y muy cansado en ocasiones. Era difícil mantener nuestro objetivo fuera del alcance porque el círculo social era reducido y la economía también.

Hoy en día es más sencillo, tenemos Facebook, Twitter, Linkedin, Badoo, Tinder, Happn, Loovod, y yo que sé cuántas tonterías más, tenemos el Meetic, tenemos el de los solteros más o menos exigentes… todo es para conectar, para ‘conocer gente’ pero con todas ellas también podemos saber dónde están esas personas, a cuántos km, metros, sus gustos, preferencias. ¿Cómo de difícil creen que es entablar una conversación con alguien afín a gustos como los tuyos? ¿Cómo de difícil es crearse una nueva personalidad digital?

No es nada difícil, luego solo hay que observar esos perfiles en esas aplicaciones, cómo de cerrados son, cuánta información nos dan… y arrastrarnos un poco hacia ese lado, buscar conexiones y trabajarnos la situación. Claro que ustedes podrán pensar que esto es muy fantasioso ¿para qué querría yo utilizar la ingeniería social con cualquiera? Pues por varios motivos, para captar información, para robar información o para tener una cabeza de turco, para instalar keyloggers, para unas cuantas acciones desalmadas.

¿Y por qué debo estar preocupado? Porque lejos de las sofisticadas técnicas de hacking con software que utiliza exploits 0-day, hay una entrada mucho más sencilla, el cara a cara -digital -. Si soy de un grupo radicalizado ¿por qué no conocer a algún trabajador de alguna obra pública más o menos grande para recabar información de boicoteo? ¿por qué no acercarme a algún trabajador de una joyería para conocer sus sistemas de seguridad físicos? ¿y si por ser amigo consigo un pase a una instalación de red eléctrica, de una presa, o de una central nuclear?

Porque la seguridad de mis datos no vale nada si yo mismo los regalo. Yo soy mi contexto y valgo en tanto y en cuanto la información que poseo.

¿Y si yo quisiera dejar en ridículo a una empresa? ¿si quisiera vender datos? ¿si quisiera captar nuevos clientes a través de un comercial o simplemente chantajear a partir de unas fotos comprometedoras? Mi primer punto de entrada es la persona y su contexto digital asociado.

Los dispositivos móviles se han convertido en la extensión de la vida social de una persona, allí permanece todo lo que ella es, pero no como dispositivo técnico si no como herramienta de relación social, el contexto de esta persona, cómo interactúa y con quién. ¿Y si tuviéramos una aplicación que nos diga qué camino recorre una persona todos los días o las ubicaciones que frecuenta de manera habitual? Una aplicación que enviara un correo con el uso del dispositivo, las webs que su propietario visita, las aplicaciones que tiene instaladas. ¿Quién se pregunta los permisos de una aplicación móvil y el motivo por el que los necesita? No me mientan que le dan a instalar sin pensarlo un segundo (no se mientan a ustedes mismos). ¿Sabemos realmente qué hace una aplicación o servicio en segundo plano con el permiso de ubicación o de contactos? Al final, el dispositivo móvil, tablet o smartphone es el punto de entrada para recabar información más potente de hoy en día, y si además la ofrecemos como si no pasara nada, cuan fácil es saber de alguien.

Podría ser real, o podría ser ficticio, hace bien poco conocí digitalmente (no físicamente) a un alto ejecutivo de una empresa importante, con sus gustos, preferencias, lugares donde ha estado, su hora de entrada y salida… ganarse la confianza de una persona no es difícil, acceder a sus redes sociales tampoco, y a partir de ahí hasta donde esa persona nos deje acceder. ¿Sería muy difícil conocer los datos corporativos a los que tiene acceso esa persona? No, no lo es. ¿Sería difícil recabar información de un proyecto específico o conseguir acceso a información catalogada como confidencial? Tal vez un poco más, pero es cuestión de tiempo.

La seguridad informática es compleja, es muy dura, es exigente técnicamente, pero piensen que siempre hay alguien dispuesto a hacer ese trabajo, y con un poco de esto y un poco de lo otro se pueden conseguir muchas cosas…

Hagan una prueba, ¿qué podrían conseguir en su puesto de trabajo simplemente con unas palabras y una mirada como un cachorrito desvalido de esos que se ponen tan monos que sería imposible no asarlos a la parrilla? Los tiempos que corren hacen que las corporaciones no solo tengan que concienciar si no poner barreras sociales en aspectos de seguridad. ¿Es más seguro un departamento donde la gente no conoce a las otras personas o uno donde todos se van a tomar cañas? ¿cuántos errores de seguridad o desastres de la empresa se nos escapan con una par de cervezas bien servidas?

No sean ingenuos, no estamos a salvo. Tampoco se me pongan paranoicos, ¿realmente tienen algo ustedes que alguien querría usar?