Por Viviana Alonso*

Kevin Mitnick, el célebre exhacker, confiesa en exclusiva los trucos más utilizados para penetrar la seguridad de las compañías.


Las estadísticas son aterradoras. En 2001, el 85 por ciento de las organizaciones que respondieron a una encuesta realizada por The Computer Security Institute, entidad que brinda servicios para especialistas en protección de datos, afirmó haber comprobado violaciones en sus sistemas de computación, y el 64 por ciento dijo que sufrió pérdidas financieras debido a ellas. Un estudio similar, hecho por el FBI en abril de 2002, demostró que los piratas informáticos habían atacado a nueve de cada 10 grandes corporaciones.

Kevin Mitnick, cofundador de Defensive Thinking (consultora especializada en seguridad informática que utiliza las tácticas invasoras de los hackers para detectar fallas en la infraestructura tecnológica de las empresas), sostiene que uno de los mitos más difundidos es que “el arma mortal de un pirata informático es la computadora”, motivo por el cual muchas compañías instalan complejos y avanzados sistemas de protección de datos. Sin embargo, añade, “el principal aliado de los hackers es el simple y tradicional teléfono, y el verdadero talón de Aquiles de la seguridad de la información son los empleados”.

Mitnick habla con conocimiento de causa: fue uno de los hackers más famosos del mundillo informático. Estuvo detenido cinco años en prisiones federales de los Estados Unidos por infiltrar las redes de varias multinacionales. Liberado en el 2000, por expresa orden judicial debió mantenerse alejado de las computadoras hasta enero de este año. Sus aventuras fueron noticia en las revistas Time, Wired y Forbes, así como en los diarios The New York Times y The Wall Street Journal. Para que sirviera de alerta a posibles víctimas, relató su experiencia delictuosa en The Art of Deception (John Wiley & Sons, 2002), el libro que escribió con William Simon.

Actualmente, Mitnick es uno de los especialistas en seguridad informática más solicitados por las empresas estadounidenses, y sus ideas y consejos son difundidos por medios especializados, como Harvard Business Review, y de alcance masivo, como la cadena de televisión CNN. No es fácil ponerse en contacto con él: su casilla de e-mail y el contestador telefónico exigen que los mensajes y las llamadas sean de personas “autorizadas”. Y, dada su repentina notoriedad, resulta casi imposible encontrar espacio en su apretada agenda.

Por fin, acuerda un diálogo por teléfono para el feriado del “Memorial Day” (fecha que recuerda a los caídos al servicio de la nación) en los Estados Unidos, y empieza la conversación anticipando interferencias, “porque estoy viajando en auto por el desierto”. Esta nota resume ese diálogo.



Trucos nuevos y antiguos

Cada vez más, los atacantes utilizan viejas técnicas de engaño y simulación para obtener los datos que desean. En lugar de descifrar complejos códigos de seguridad de las empresas, embaucan a un empleado para que les revele la clave de acceso.

Quienes logran infiltrarse en los sistemas de las compañías son hábiles manipuladores de la naturaleza humana, yo me refiero a ellos como “ingenieros sociales”.

Acuñado durante la Segunda Guerra Mundial, el término “ingeniería social” aludía a ciertas técnicas de control de la población. En la década de los 70 cobró un nuevo sentido: se aplicó a las tácticas de engaño y simulación de los saboteadores de compañías telefónicas; en años posteriores extendió su alcance, y ahora describe las simulaciones utilizadas por los hackers para burlar a un usuario de computadora e inducirlo a revelar información clasificada. ¿Por ejemplo? Un empleado recibe el llamado de alguien que se identifica como miembro del departamento de sistemas informáticos. El impostor le explica que algunas computadoras de la compañía han sido infectadas por un virus capaz de destruir los archivos del disco rígido, y que no es reconocido por el programa antivirus instalado en las computadoras. De inmediato, se ofrece a ayudarlo a resolver el problema, dictándole instrucciones por teléfono para verificar si la suya está libre de problemas. Resuelto el potencial (y falso) inconveniente, el hacker le solicita al empleado que pruebe un nuevo software para hacer cambios en las palabras clave. Como agradecimiento, y para retribuir el favor, el empleado accede al pedido.

Otro ataque típico se parece al siguiente: el “ingeniero social” envía e-mails anunciando que las primeras 100 personas que se registren en el nuevo sitio web de la compañía serán premiadas con entradas para un estreno cinematográfico. En realidad, se trata de un sitio falso, creado por el impostor con el objetivo de obtener información: en sus páginas, un programa les pide a los usuarios que registren sus datos personales, el e-mail de la compañía y una palabra clave. Debido a que mucha gente suele utilizar la misma contraseña en todos los sistemas, es probable que el hacker obtenga alguna que le permita ingresar a la red de la empresa.



El ataque y las víctimas

El ataque de un ingeniero social se lleva a cabo en dos etapas. En la primera hace la investigación y recolección de datos sobre la compañía: la identidad y antigüedad de sus empleados, sus responsabilidades y las medidas de protección utilizadas (¿quién tiene acceso a la información deseada?, ¿dónde está ubicada?, ¿qué tipo de sistema operativo utiliza?). En esta instancia, el pirata informático suele apelar a fuentes de acceso público: folletería de marketing, recortes de prensa, revistas de la industria, contenido de sitios web e, incluso, cestos de basura (ver recuadro). En la segunda etapa entabla una “relación de confianza” con el empleado que tiene acceso a la información buscada, y se vale de técnicas psicológicas para que le revele datos.

Su blanco preferido es la gente recién incorporada, que por lo general no está familiarizada con las políticas y los procedimientos de seguridad de la compañía, conoce personalmente a pocos empleados, tiende a cooperar para demostrar que sabe trabajar en equipo, y es poco probable que cuestione la autoridad de alguien que se presenta como un alto ejecutivo.

Los ingenieros sociales se aprovechan de la naturaleza humana. En mi opinión, las personas confían demasiado en los demás, y tienden a otorgarles el beneficio de la duda. Suponen que los otros empleados y colegas tienen sus mismos valores éticos y morales. Como no se les ocurriría engañarlos, tampoco consideran que podrían ser engañados.

Los ingenieros sociales son expertos en manipular el deseo de la gente de ser servicial, su credibilidad y hasta su curiosidad. Varios aspectos de la naturaleza humana suelen ser explotados por los piratas informáticos. La inclinación a respetar la autoridad es uno de ellos: simulan ser altos ejecutivos de la compañía y sacan ventaja de la tendencia natural de los individuos a obedecerlos.

En segundo lugar, aprovechan el deseo de agradar a los demás, natural en la gente. En consecuencia, averiguan un pasatiempo de la víctima y entablan una conversación sobre ese tema, sabiendo que es más fácil que acceda a los pedidos de alguien que tiene intereses similares a los suyos.

Va un ejemplo que ilustra la actitud de reciprocidad: un hacker simula un cargo en el departamento de sistemas informáticos y engaña al empleado con la historia del falso virus, quien accede a probar un programa en retribución por la ayuda recibida, sin saber que es invasor.

La tendencia de la gente a cumplir con la palabra empeñada tampoco es ajena a los cálculos del impostor: llama por teléfono a un empleado relativamente nuevo y le dice que está verificando el cumplimiento de las normas de seguridad de la compañía. A tal efecto, le pide que le revele su contraseña para constatar si se ajusta a la política de elección de palabras clave. Finalmente, le da algunas sugerencias de diseño de contraseñas, de manera que él pueda descubrirla después.

Como ha dado su palabra de respetar las normas de seguridad de la empresa, el empleado sigue al pie de la letra las recomendaciones del hacker. Por fin, un ejemplo de la manera en que saca partido de la inclinación a imitar la conducta de otros: llama a un empleado para decirle que está realizando una encuesta, y que ya ha entrevistado a otras personas de su departamento, a quienes nombra específicamente. La víctima accede a responder, porque cree que la cooperación de los demás valida la autenticidad del pedido y, claro está, entre las preguntas de la falsa encuesta hay algunas que permiten descubrir el nombre de usuario y la clave de acceso a su computadora.

___________________

Me pareció interesante, espero les haya gustado.
-Saludos-