A Chris Hadnagy se le paga por engañar a la gente, y lo ha hecho muy bien a lo largo de los años. Co-fundador de social-engineering.org y autor de la IngenierÃa Social: El arte del hacking humano, Hadnagy ha estado usando tácticas de manipulación durante más de una década para mostrar a sus clientes cómo los criminales obtienen información privilegiada.
Â
Hadnagy describe tres historias memorables de los ensayos de ingenierÃa social que ha incluido en su nuevo libro, y señala lo que las organizaciones pueden aprender de estos resultados.
Â
Un CIO demasiado confiado
En un estudio de caso, Hadnagy describe cómo fue contratado como auditor para acceder a los servidores de una compañÃa de impresión que tenÃa algunos procesos propios y vendedores sobre los que la competencia estaba detrás. En una reunión telefónica con el socio de negocios de Hadnagy, el director general le informó de que “hackearlo le serÃa casi imposible” porque “cuidaba sus secretos con su vida”.
Â
“Era el tipo que nunca iba a caer en esto”, señala Hadnagy. “Pensaba que alguien probablemente lo iba a llamar a preguntarle por su contraseña y estaba listo para una táctica enfoque de ese tipo”.
Â
Después de cierta recopilación de información, Hadnagy encontró la localización de los servidores, direcciones IP, direcciones de correo electrónico, números de teléfono, direcciones fÃsicas, servidores de correo, nombres de los empleados, cargos, y mucho más. Pero el premio mayor llegó cuando Hadnagy descubrió que el CEO tenÃa un miembro de su familia que habÃa luchado contra el cáncer, y estaba vivo. Como resultado, él estaba interesado e involucrado en la recaudación de fondos e investigación del cáncer. A través de Facebook, también fue capaz de obtener otros detalles personales sobre el presidente, como su restaurante favorito y equipo deportivo.
Â
Armado con la información, estaba listo para atacar. Llamó al director general y se hizo pasar por un recaudador de fondos de una organización de caridad del cáncer con la que el CEO habÃa tratado en el pasado. Él le informó que estaban ofreciendo un sorteo de premios a cambio de donaciones -y los premios incluÃan entradas para un partido jugado por su equipo favorito, asà como certificados de regalo de varios restaurantes, incluyendo su lugar favorito.
Â
El CEO mordió el anzuelo, y accedió a que Hadnagy le enviara un PDF con más información sobre la campaña para recaudar fondos. Incluso logró que el director general le dijera cual era la versión del lector de Adobe que usaba porque, según le dijo al director general “Quiero asegurarme de que estoy enviando un archivo PDF que pueda leer”. Poco después de enviar el archivo PDF, el CEO lo abrió, instalando un programa malicioso que permitió que Hadnagy accediera a su máquina.
Â
Cuando Hadnagy y su compañero le informaron a la compañÃa sobre el éxito de la violación a la computadora del CEO, el director general estaba comprensiblemente enojado, añade Hadnagy.
Â
“SentÃa que era injusto que utilizáramos algo asÃ, pero asà es como funciona el mundo”, indica Hadnagy. “Un hacker malicioso no pensarÃa dos veces acerca de cómo utilizar esa información en su contra”.
Â
Conclusión 1: No hay información, independientemente de su carácter personal o emocional, que esté fuera de los lÃmites de un ingeniero social que busca hacer daño
Â
Conclusión 2: Con frecuencia la persona que piensa que está más segura es la que posee la mayor vulnerabilidad. Un consultor de seguridad dijo recientemente a CSO que los ejecutivos son los blancos más fáciles de ingenierÃa social.
Â
Poca diversión en el parque temático
El objetivo del siguiente caso fue un cliente de un parque temático que estaba preocupado por el potencial compromiso de su sistema de venta de entradas. Los equipos utilizaban patrones de ingreso que también contenÃan enlaces a sus servidores, información de los clientes y registros financieros. El cliente estaba preocupado de que si una computadora de ingreso estaba comprometida, podrÃa ocurrir una seria violación de datos.
Â
Hadnagy comenzó su prueba llamando al parque, haciéndose pasar por un vendedor de software. OfrecÃa un nuevo tipo de software de lectura de PDF, cuya versión de prueba querÃa que sea utilizado por el parque. Preguntó cuál es la versión que se utilizaba actualmente, obtuvo la información fácilmente, y estaba listo para el segundo paso.
Â
La siguiente fase requirió de ingenierÃa social en el lugar, y Hadnagy utilizó a su familia con el fin de asegurar el éxito. Subiendo a una de las taquillas con su esposa e hijo a cuestas, le preguntó a una de las empleadas si podrÃa utilizar su computadora para abrir un archivo desde su correo electrónico. El correo electrónico contenÃa un archivo adjunto en PDF para un cupón que les darÃa la admisión de descuento.
Â
“Todo esto podrÃa haber salido mal, si ella hubiera dicho ‘No, lo siento, no puedo hacer eso'”, explica Hadnagy. “Pero viéndome como un padre, con un niño ansioso por entrar en el parque, tire las cuerdas de su corazón”.
Â
La empleada accedió, y el sistema del parque se vio afectado rápidamente por malas noticias de Hadnagy. En cuestión de minutos, el socio de Hadnagy le envió mensajes de texto para hacerle saber que estaba ‘dentro’ y ‘recopilando información para su informe”.
Â
Hadnagy también señala que mientras las polÃticas de los empleados del parque decÃan que no debÃan abrir archivos adjuntos de fuentes desconocidas (incluso un cliente que necesitan ayuda), no habÃa reglas para hacerlas respetar.
Â
“La gente está dispuesta a pasar un gran esfuerzo para ayudar a los demás”, señala Hadnagy.
Â
Conclusión 3: La polÃtica de seguridad es solo tan buena como lo es su aplicación
Â
Conclusión 4: Los delincuentes suelen jugar con la naturaleza buena de un empleado y el deseo de ser útil.
Â
Cazador cazado
Hadnagy da un tercer ejemplo que muestra cómo la ingenierÃa social se utiliza con fines defensivos. Trabajó con “John”, un evaluador de penetración contratado para conducir una prueba estándar de penetración de red para un cliente. Ejecutó un escaneo utilizando Metasploit, lo que puso de manifiesto un servidor VNC (virtual network computing) abierto, un servidor que permite el control de otras máquinas en la red.
Â
Documentó el hallazgo con la sesión VNC abierta cuando, de repente, en el fondo, un ratón empezó a moverse por la pantalla. John sabÃa que esa era una bandera roja porque la hora en la que estaban sucediendo los acontecimientos, ningún usuario se conecta a la red por una razón legÃtima. Sospechó que era un intruso en la red.
Â
Teniendo la oportunidad, John abrió el Bloc de notas y comenzó a charlar con el intruso, haciéndose pasar por un hacker ‘n00b’, alguien que es nuevo y no calificado.
Â
“Él pensó ‘¿Cómo puedo obtener más información de este tipo y ser más valioso para mi cliente?'”, señala Hadnagy. “John jugó con el ego del hombre al tratar de fingir que era un novato que querÃa aprender más de un hacker maestro”.
Â
John le hizo varias preguntas, fingiendo ser una persona más joven que querÃa aprender algunos trucos del comercio de la piraterÃa y que querÃa mantenerse en contacto con otro hacker. Cuando la charla terminó, tenÃa el e-mail del intruso, información de contacto -e incluso una foto de él. Reportó la información a su cliente, y el problema de fácil acceso al sistema fue corregido.
Â
Hadnagy también señala que John aprendió, a través de su conversación con el pirata, que el hacker no tenÃa como objetivo la compañÃa que habÃa hackeado, que habÃa estado buscando algo fácil de comprometer y encontró ese sistema abierto con bastante facilidad.
Â
Conclusión 5: La ingenierÃa social puede ser parte de la estrategia de defensa de una organización
Â
Conclusión 6: Los delincuentes suelen ir a la fruta madura. Cualquiera puede ser un objetivo si la seguridad es baja
