A Chris Hadnagy se le paga por engañar a la gente, y lo ha hecho muy bien a lo largo de los años. Co-fundador de social-engineering.org y autor de la Ingeniería Social: El arte del hacking humano, Hadnagy ha estado usando tácticas de manipulación durante más de una década para mostrar a sus clientes cómo los criminales obtienen información privilegiada.
Hadnagy describe tres historias memorables de los ensayos de ingeniería social que ha incluido en su nuevo libro, y señala lo que las organizaciones pueden aprender de estos resultados.
Un CIO demasiado confiado
En un estudio de caso, Hadnagy describe cómo fue contratado como auditor para acceder a los servidores de una compañía de impresión que tenía algunos procesos propios y vendedores sobre los que la competencia estaba detrás. En una reunión telefónica con el socio de negocios de Hadnagy, el director general le informó de que “hackearlo le sería casi imposible” porque “cuidaba sus secretos con su vida”.
“Era el tipo que nunca iba a caer en esto”, señala Hadnagy. “Pensaba que alguien probablemente lo iba a llamar a preguntarle por su contraseña y estaba listo para una táctica enfoque de ese tipo”.
Después de cierta recopilación de información, Hadnagy encontró la localización de los servidores, direcciones IP, direcciones de correo electrónico, números de teléfono, direcciones físicas, servidores de correo, nombres de los empleados, cargos, y mucho más. Pero el premio mayor llegó cuando Hadnagy descubrió que el CEO tenía un miembro de su familia que había luchado contra el cáncer, y estaba vivo. Como resultado, él estaba interesado e involucrado en la recaudación de fondos e investigación del cáncer. A través de Facebook, también fue capaz de obtener otros detalles personales sobre el presidente, como su restaurante favorito y equipo deportivo.
Armado con la información, estaba listo para atacar. Llamó al director general y se hizo pasar por un recaudador de fondos de una organización de caridad del cáncer con la que el CEO había tratado en el pasado. Él le informó que estaban ofreciendo un sorteo de premios a cambio de donaciones -y los premios incluían entradas para un partido jugado por su equipo favorito, así como certificados de regalo de varios restaurantes, incluyendo su lugar favorito.
El CEO mordió el anzuelo, y accedió a que Hadnagy le enviara un PDF con más información sobre la campaña para recaudar fondos. Incluso logró que el director general le dijera cual era la versión del lector de Adobe que usaba porque, según le dijo al director general “Quiero asegurarme de que estoy enviando un archivo PDF que pueda leer”. Poco después de enviar el archivo PDF, el CEO lo abrió, instalando un programa malicioso que permitió que Hadnagy accediera a su máquina.
Cuando Hadnagy y su compañero le informaron a la compañía sobre el éxito de la violación a la computadora del CEO, el director general estaba comprensiblemente enojado, añade Hadnagy.
“Sentía que era injusto que utilizáramos algo así, pero así es como funciona el mundo”, indica Hadnagy. “Un hacker malicioso no pensaría dos veces acerca de cómo utilizar esa información en su contra”.
Conclusión 1: No hay información, independientemente de su carácter personal o emocional, que esté fuera de los límites de un ingeniero social que busca hacer daño
Conclusión 2: Con frecuencia la persona que piensa que está más segura es la que posee la mayor vulnerabilidad. Un consultor de seguridad dijo recientemente a CSO que los ejecutivos son los blancos más fáciles de ingeniería social.
Poca diversión en el parque temático
El objetivo del siguiente caso fue un cliente de un parque temático que estaba preocupado por el potencial compromiso de su sistema de venta de entradas. Los equipos utilizaban patrones de ingreso que también contenían enlaces a sus servidores, información de los clientes y registros financieros. El cliente estaba preocupado de que si una computadora de ingreso estaba comprometida, podría ocurrir una seria violación de datos.
Hadnagy comenzó su prueba llamando al parque, haciéndose pasar por un vendedor de software. Ofrecía un nuevo tipo de software de lectura de PDF, cuya versión de prueba quería que sea utilizado por el parque. Preguntó cuál es la versión que se utilizaba actualmente, obtuvo la información fácilmente, y estaba listo para el segundo paso.
La siguiente fase requirió de ingeniería social en el lugar, y Hadnagy utilizó a su familia con el fin de asegurar el éxito. Subiendo a una de las taquillas con su esposa e hijo a cuestas, le preguntó a una de las empleadas si podría utilizar su computadora para abrir un archivo desde su correo electrónico. El correo electrónico contenía un archivo adjunto en PDF para un cupón que les daría la admisión de descuento.
“Todo esto podría haber salido mal, si ella hubiera dicho ‘No, lo siento, no puedo hacer eso'”, explica Hadnagy. “Pero viéndome como un padre, con un niño ansioso por entrar en el parque, tire las cuerdas de su corazón”.
La empleada accedió, y el sistema del parque se vio afectado rápidamente por malas noticias de Hadnagy. En cuestión de minutos, el socio de Hadnagy le envió mensajes de texto para hacerle saber que estaba ‘dentro’ y ‘recopilando información para su informe”.
Hadnagy también señala que mientras las políticas de los empleados del parque decían que no debían abrir archivos adjuntos de fuentes desconocidas (incluso un cliente que necesitan ayuda), no había reglas para hacerlas respetar.
“La gente está dispuesta a pasar un gran esfuerzo para ayudar a los demás”, señala Hadnagy.
Conclusión 3: La política de seguridad es solo tan buena como lo es su aplicación
Conclusión 4: Los delincuentes suelen jugar con la naturaleza buena de un empleado y el deseo de ser útil.
Cazador cazado
Hadnagy da un tercer ejemplo que muestra cómo la ingeniería social se utiliza con fines defensivos. Trabajó con “John”, un evaluador de penetración contratado para conducir una prueba estándar de penetración de red para un cliente. Ejecutó un escaneo utilizando Metasploit, lo que puso de manifiesto un servidor VNC (virtual network computing) abierto, un servidor que permite el control de otras máquinas en la red.
Documentó el hallazgo con la sesión VNC abierta cuando, de repente, en el fondo, un ratón empezó a moverse por la pantalla. John sabía que esa era una bandera roja porque la hora en la que estaban sucediendo los acontecimientos, ningún usuario se conecta a la red por una razón legítima. Sospechó que era un intruso en la red.
Teniendo la oportunidad, John abrió el Bloc de notas y comenzó a charlar con el intruso, haciéndose pasar por un hacker ‘n00b’, alguien que es nuevo y no calificado.
“Él pensó ‘¿Cómo puedo obtener más información de este tipo y ser más valioso para mi cliente?'”, señala Hadnagy. “John jugó con el ego del hombre al tratar de fingir que era un novato que quería aprender más de un hacker maestro”.
John le hizo varias preguntas, fingiendo ser una persona más joven que quería aprender algunos trucos del comercio de la piratería y que quería mantenerse en contacto con otro hacker. Cuando la charla terminó, tenía el e-mail del intruso, información de contacto -e incluso una foto de él. Reportó la información a su cliente, y el problema de fácil acceso al sistema fue corregido.
Hadnagy también señala que John aprendió, a través de su conversación con el pirata, que el hacker no tenía como objetivo la compañía que había hackeado, que había estado buscando algo fácil de comprometer y encontró ese sistema abierto con bastante facilidad.
Conclusión 5: La ingeniería social puede ser parte de la estrategia de defensa de una organización
Conclusión 6: Los delincuentes suelen ir a la fruta madura. Cualquiera puede ser un objetivo si la seguridad es baja