Está fresco en el “tintero electrónico”. Apenas el 06 de Agosto del corriente salía a luz cómo un periodista especialista en tecnología veía como sus documentos almacenados en sus equipos (smartphone, portátil, etc) y en la nube desaparecían literalmente ante sus ojos.

Leí la noticia sobre este incidente en primer lugar en BBC mundo con el título: “Muerte de un periodista electrónico en la nube” en donde se narra lo que sufrió Mat Honan ante el ataque de un “cracker”.

Después ya se hacen eco muchas mas revistas en linea quienes aportan información en mayor o menor grado. (ver vínculos al pié)

Lo interesante del incidente es que aquí no se trata de analizar el expertise del atacante en cuanto a sus conocimientos tecnológicos; en el análisis post-morten 🙁 no se habla sobre que el cibercriminal fuera un experto en programación tanto en lenguajes de alto como bajo nivel, no se dice que era un destacado desarrollador de exploiters para fraude, en fín….

…. se trata simplemente de que el cibercriminal aplicó “unicamente“ su poder de convencimiento sobre el equipo de soporte de Apple, haciéndose pasar por el periodista, a manera de que soltaran prenda en cuanto a “sus credenciales de acceso” y así poder tener a su disposición toda la información de Mat. Obviamente un fuerte fallo del personal de Soporte de Apple.

Esto es… en este caso, usando el teléfono o celular o una aplicación especial y aplicando un concepto con nombre relativamente nuevo pero tan viejo como la humanidad denominado: – Ingeniería Social  o IS – .

Ahora le llamamos así: IS, pero desde el niño que apenas comienza a expresarse hasta Usted que está leyendo estas lineas, en algún momento aplicamos el concepto con el fín de lograr algo.

Pero pongamos el asunto en perspectiva, definimos la IS como que Es simplemente el uso de técnicas de convencimiento o manipulación que aplicamos sobre un objetivo (otra(s) persona(s)) con el fín de obtener información confidencial o acceso libre a algún sistema. Puede ser presencial como por ejemplo, una visita al blanco u objetivo, una llamada por cell o en linea mediante el correo electrónico, mensajería instantanea, etc. Aclaración: esto es la IS en el ámbito de la Seguridad de la Información. En Ciencias políticas tiene connotaciones algo diversas.

Algunos ejemplos sobre ingenieros Sociales? 

1. Remontémonos al libro de Génesis y la tentación de Eva. Satanás aplica su poder de persuasión y convencimiento sobre Eva con un fín y lo logra llevándose de encuentro a Adán quien no fue capaz de decir NO!.

2. Abramos la Ilíada de Homero. El caballo de Troya: Cuando los Aqueos o antiguos griegos ven la dificultad de vencer a los Troyanos, recurren al engaño; construyen el caballo, lo rellenan con soldados, le ponen un chongo y lo dejan como regalo en las puertas de la ciudad. Aquí vale una aclaración, en el medio es común que se hable de “troyano” como amenaza cuando es: Caballo de troya como portador de una aplicación maligna.

En nuestro medio, con compañías pequeñas en donde casi todo mundo se conoce, que un IS se presente fisicamente a tratar de entrar a las instalaciones de una empresa es remoto; sin embargo, en otros paises en donde eso no es así, se intenta en muchos casos con éxito; Con todo, no es de descuidarse porque con seguridad… funciona !!

Un IS estudia su blanco. Averigua métodos de acceso, tipo de credenciales, costumbres, formas de vestir, en fín, puede esperar el momento justo para “ser caballeroso” y apurarse a abrir o sostener la puerta a alguien que previamente observó que va con carga o establece previamente una plática de confianza con quien será su portador logrando pasar los puntos de vigilancia o control.

Un IS estudia su blanco. Averigua sobre proveedores, procesos, socios, relaciones, etc y en consecuencia prepara un ataque por correo del tipo dirigido (SpearPhishing), enfocado a un grupo de empleados a quienes busca engañar y convencer para que realicen alguna acción como descargar un adjunto con carga maliciosa que se instalará furtivamente en el sistema del objetivo y procederá a ejecutar las instrucciones nocivas a la organización.

La IS es un tema muy amplio, es algo que va mas allá de los dispositivos tecnológicos enfocándose en el factor humano. Se vale de la moda, la codicia, de la humildad o gentileza, de la soberbia o prepotencia según convenga, en conclusión, de la sicología; de ahí su dificultad y el peligro que representa.

Volviendo a Mat y su “caida de la nube”, en su caso el cracker o mas bién – Ingeniero Social – seguro que estudió minuciosamente a su víctima, un hombre conocido y público por su trabajo. De esta manera logró sortear todos los niveles de control que Soporte de Apple le planteó… logrando su objetivo o premio … para desgracia de Mat y en desmedro de Apple y su sistema de soporte que no pudo resistir este ataque de Ingeniería Social.

Robin Dreeke, Veterano del FBI nos dice en su artículo “Dominando las técnicas conductuales.. ” (Revista Pentest Vol.2 No. 9 january 2012. www.pentestmag.com)

“Hay hábiles individuos que pueden sorprendentemente inducir a una persona a que divulgue sus secretos más íntimos, su más preciada información personal y más aún, su información y datos de acceso bancario sin que en ningún momento se le haya preguntado directamente o en preguntas relacionadas al respecto.” (Traducción libre)

Puede leer sobre este incidente en:

http://www.bbc.co.uk/mundo/noticias/2012/08/120806_tecnologia_nube_periodista_cuentas.shtml

http://www.ticbeat.com/tecnologias/como-apple-ayudo-hackear-cuenta-icloud-periodista/

De mucho interés. Por Mat Honan (Inglés) : http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard

Recomiendo leer mi artículo: “La seguridad de la información, las políticas y la conducta humana” publicado aquí y que trata también sobre el tema.

La seguridad No es solo un proceso tecnológico.. es un proceso organizacional !