Hackear al hacker

4
Ingeniería social

En el mundo de los ordenadores, la ingeniería social puede describirse como engañar a alguien para que haga algo, a menudo perjudicial, para sí mismo o para otros. La ingeniería social es una de las formas más comunes de hackear porque la mayoría de las veces tiene éxito. Normalmente resulta muy frustrante para el defensor, puesto que no se puede prevenir solo mediante la tecnología.

Métodos de ingeniería social

La ingeniería social puede llevarse a cabo de muchas maneras, tanto en el ordenador como mediante una llamada de teléfono, en persona o con métodos tradicionales de correo postal. Existen tantas formas y variedades de ingeniería social que en cualquier lista que intente catalogar todas estas formas faltará alguno de los métodos. Cuando la ingeniería social tiene su origen en el ordenador, normalmente se lleva a cabo por correo electrónico o Internet (aunque también ha habido casos en los que se ha llevado a cabo por mensajería instantánea y mediante cualquier otro tipo de programa informático).

Suplantación de identidad (phishing)

Un objetivo común de la ingeniería social es capturar las credenciales de conexión de un usuario mediante lo que se conoce como phishing o suplantación de identidad. El phishing en correos electrónicos o sitios web intenta engañar al usuario para que proporcione sus credenciales de conexión legítimas haciéndose pasar por un administrador o sitio web legítimo familiar para el usuario. El truco de phishing más común es enviar un correo electrónico haciéndose pasar por un administrador web que reclama al usuario que verifique su contraseña si desea seguir accediendo a dicho sitio.

El spearphishing es un tipo de intento de phishing dirigido concretamente a una persona o un grupo específicos mediante información no pública que el o los objetivos conocen muy bien. Un ejemplo de spearphishing es un gestor de proyectos al cual se envía un documento adjunto en un correo electrónico supuestamente de parte de otro miembro del proyecto supuestamente relacionado con el proyecto con el que está trabajando; cuando abre el documento, se ejecuta alguna acción maliciosa. El spearphishing a menudo está relacionado con muchos de los ataques corporativos más importantes.

Ejecución de troyanos

Otro de los trucos más populares de la ingeniería social se utiliza para hacer que un usuario desprevenido ejecute un programa troyano. Esto puede realizarse vía correo electrónico, con un archivo adjunto o con una URL incrustada. Normalmente ocurre en sitios web. En ocasiones, un sitio legítimo es atacado y, cuando el visitante, confiado, carga la página, debe ejecutar un archivo. El archivo puede ser un complemento «necesario» de terceros, un falso antivirus o un parche «requerido». El sitio web legítimo puede ser atacado directamente o en otro elemento incluido de forma independiente, como un banner de publicidad de terceros. En cualquier caso, el usuario, quien ha confiado en este sitio web legítimo después de visitarlo durante años sin ningún problema, no tiene ninguna razón para sospechar que el sitio ha sido atacado.

Por teléfono

Los estafadores también pueden llamar a un usuario haciéndose pasar por el soporte técnico, un proveedor conocido o una agencia del Gobierno.

Una de las estafas más populares es cuando el usuario recibe una llamada de alguien que dice ser del soporte técnico advirtiendo que se ha detectado un programa malicioso en su ordenador. Entonces solicita al usuario que descargue un programa antimalware, el cual procede, no sin sorpresa, a detectar muchos, muchos programas maliciosos. Después, dicen al usuario que descargue y ejecute un programa de acceso remoto que, posteriormente, el falso equipo de soporte técnico utilizará para conectarse al ordenador de la víctima y dejar en él otros programas maliciosos. El programa del falso soporte técnico termina cuando la víctima compra un programa antimalware, también falso, utilizando su tarjeta de crédito.

Los estafadores telefónicos también pueden hacerse pasar por servicios de recaudación de impuestos, fuerzas policiales u otras agencias del Gobierno, intentado que el usuario pague para evitar duras multas o la cárcel.

Fraudes por compras

Otra estafa muy popular tiene como objetivo personas que compran o venden bienes en sitios web, como en sitios de subastas o del tipo de Craigslist. La inocente víctima puede estar comprando o vendiendo algo.

En los fraudes por compras, el comprador responde rápidamente, normalmente paga el precio completo más los gastos de envío y solicita al vendedor que utilice su agente depositario «de confianza». Seguidamente, envían a la víctima un cheque falso por un importe mayor del acordado en la compra, que la víctima deposita en su cuenta bancaria. (Desgraciadamente, los bancos aceptan fácilmente estos cheques falsos y hacen a la víctima responsable del dinero perdido). El comprador solicita al vendedor que devuelva el dinero sobrante a su consignador o agente depositario. La víctima normalmente acaba perdiendo como mínimo esta cantidad de dinero.

En los fraudes por ventas, la víctima envía el dinero pero no recibe la mercancía. La media de fraudes por ventas es, como mínimo, de 1.000 $, mientras que la media de fraudes por compras puede llegar a los cientos de miles de dólares.

En persona

Algunos de los fraudes de ingeniería social más importantes son aquellos que han llevado a cabo los hackers en persona. En el capítulo siguiente, se describe el perfil de Kevin Mitnick, un popular hacker que fue sombrero blanco. Hace unas décadas, él era uno de los ingenieros sociales físicos más descarados que teníamos. Mitnick no tenía nada en contra de disfrazarse de personal de averías de teléfono o de servicio técnico para acceder a cualquier ubicación segura. Los ingenieros sociales físicos son muy conocidos por entrar en bancos e instalar un keylogger en los terminales de los empleados mientras se hacen pasar por reparadores de ordenadores. La gente desconfía mucho ante cualquier extraño y, sin embargo, se siente sorprendentemente desarmada si este extraño es un reparador, especialmente si dice cosas como «veo que tu ordenador funciona muy lento». ¿Quién puede oponerse a esta sentencia? El reparador obviamente conoce este problema y por eso está aquí, para solucionarlo.

La zanahoria o el palo

El usuario normalmente es castigado con una multa por no hacer nada o recompensado por hacer algo. El ardid empieza coaccionando a la víctima, puesto que la gente no sopesa el riesgo con demasiado cuidado durante los eventos de estrés: debe pagar una multa o irá a la cárcel; tiene que ejecutar un programa o correrá el riesgo de que su ordenador se infecte y su cuenta bancaria se vacíe; debe enviar una suma de dinero o alguien a quien quiere irá a una cárcel extranjera; tiene que cambiar la contraseña de su jefe o tendrá problemas con él.

Uno de mis ardides de ingeniería social favoritos cuando estoy probando una intrusión es enviar un correo electrónico a los empleados de una empresa haciéndome pasar por el CEO o el CFO para anunciar que la empresa se fusionará con su mayor rival. Yo les digo que pulsen sobre el archivo adjunto trampa para ver si sus trabajos están afectados por la fusión. O bien envío un correo electrónico que parezca legal a los empleados varones haciéndome pasar por el abogado de sus exesposas solicitando más pensión para los niños. Os divertiría ver el éxito que tienen estos dos trucos.

Defensas ante la ingeniería social

Defenderse contra los ataques de ingeniería social implica una combinación de formación y tecnología.

Educación

La formación contra la ingeniería social es una de las mejores y más esenciales defensas contra este método. Dicha formación debe incluir ejemplos de los tipos más comunes de ingeniería social y de cómo las posibles víctimas pueden detectar las señales de ilegitimidad. En mi empresa actual, todos los empleados están obligados a visionar un vídeo contra la ingenierá social cada año y realizar una pequeña prueba. La formación más exitosa incluye a otros empleados inteligentes, de confianza y apreciados que comparten sus experiencias personales de haber sido engañados por un tipo concreto común de ingeniería social.

Creo que todas las empresas deberían tener campañas de phishing falsas en las cuales sus empleados reciban correos eléctronicos como si fueran de phishing en los que les pidan sus credenciales. Los empleados que faciliten sus credenciales necesitarán una formación adicional. Existe una gran variedad de recursos, tanto gratuitos como de pago, para crear campañas de phishing falsas. Evidentemente, las de pago proporcionan un uso más sencillo y más sofisticación.

Todos los usuarios de ordenador necesitan aprender las tácticas de la ingeniería social. Las personas que compran y venden cosas por Internet necesitan ser educadas acerca de los fraudes por compras: ellos deben utilizar solo servicios depositarios legítimos y seguir todas las recomendaciones del sitio web para evitar transacciones contaminadas.

Cuidado al instalar software desde sitios web de terceros

Los usuarios deberían saber que nunca se debe instalar un programa directamente desde un sitio web que estén visitando, a menos que sea el sitio web del fabricante legítimo del programa. Si un sitio web dice que tienes que instalar un programa de terceros para continuar navegando por él y crees que se trata de una solicitud legítima, sal de este sitio y dirígete al del fabricante para instalarlo. No instales nunca cualquier software de un fabricante desde un sitio web que no sea el suyo. Podría tratarse de un software legítimo, pero el riesgo es demasiado grande.

Certificados digitales con validación extendida (EV)

Los que navegan por la web deberían saber buscar los certificados digitales con validación extendida (EV) (https://en.wikipedia.org/wiki/Extended_Validation_Certificate) en muchos de los sitios web más populares. Los sitios web EV se suelen indicar de alguna manera (normalmente con la barra de direcciones en verde o el nombre destacado también en verde) para confirmar al usuario que la URL y la identidad del sitio web han sido confirmadas por terceros de confianza. Para ver un ejemplo de EV, dirígete a https://www.bankofamerica.com.

Deshazte de las contraseñas

El phishing de credenciales no puede funcionar si el empleado no proporciona sus credenciales de acceso. Los nombres de inicio de sesión simples están desapareciendo a favor de la autenticación de dos factores (2FA), certificados digitales, dispositivos de inicio de sesión, autenticación fuera de banda y otros métodos de conexión que no pueden ser víctimas del phishing.

Tecnologías contra la ingeniería social

La mayoría de las soluciones antimalware, de filtrado web y de correo electrónico contra el correo no deseado intentan minimizar los efectos de la ingeniería social con ordenadores. El software antimalware intenta detectar la ejecución de archivos maliciosos. Los programas de filtrado web tratan de identificar sitios web maliciosos cuando el navegador del visitante intenta cargar una página. Y las soluciones de correo electrónico contra el correo no deseado suelen filtrar los correos de ingeniería social. Sin embargo, la tecnología no siempre tiene un éxito completo, por lo que es preciso combinarla con la formación del usuario y otros métodos.

La ingeniería social es un método de hackeo que tiene mucho éxito. Algunos expertos en seguridad informática te dirán que no puedes hacer la suficiente formación para conseguir que todos los empleados estén atentos a las tácticas de ingeniería social. Se equivocan. Una combinación de una formación suficiente y las tecnologías correctas puede disminuir significativamente el riesgo de ingeniería social.

En el siguiente capítulo, se muestra el perfil del experto en ingeniería social Kevin Mitnick. Sus experiencias como hacker de ingeniería social lo han ayudado a defender mejor a sus clientes durante décadas.

5
Perfil: Kevin Mitnick

Cuando aparece el término hacker informático, todo el mundo piensa en Kevin Mitnick. En los 70, 80 y 90, Kevin Mitnick era el hacker. Mitnick utilizaba una combinación de ingeniería social y búsqueda de sistemas operativos de bajo nivel para llevar a cabo todo tipo de maniobras indignantes, aunque el daño general que causaba es discutible, especialmente si se compara con los ataques APT y ransomware mundiales de nuestros días.

Tanto él como sus explotaciones han servido de argumento para muchos libros y muchas películas y han generado una peculiar subcultura de excéntricas historias de hackers que se le atribuyen, pero que él nunca ha protagonizado. El Gobierno temía tanto a Mitnick que ha sido el único prisionero americano que no tenía permitido utilizar el teléfono mientras estuvo en la cárcel y permaneció en confinamiento solitario por miedo a que, con solo una palabra o un sonido, fuera capaz de lanzar un misil nuclear. Si alguna vez has visto una película en la cual el protagonista pronunciaba una palabra por teléfono e, inmediatamente después, ocurrían un montón de maldades cibernéticas, dicha escena surgió de la paranoia que existía alrededor de Mitnick.

He incluido a Mitnick como uno de los primeros del libro porque, a partir de esos años de daños cibernéticos, ha dedicado su vida a luchar contra los delitos informáticos y es uno de los pocos sombreros blancos de largo recorrido reformados en los que yo confío plenamente. Mitnick ha escrito varios libros sobre seguridad informática y, actualmente, trabaja para distintas empresas (como KnowBe4), cuenta con su propia firma de consultoría de seguridad (Mitnick Security Consulting), tiene una agenda de charlas más llena que cualquier otra persona que conozca, colabora con el programa de comedia y sátira política estadounidense The Colbert Report y ha tenido un cameo en la popular serie de televisión Alias. Las lecciones de Mitnick a la industria han tenido como resultado un fuerte reconocimiento del papel que juega la ingeniería social en el mundo del hackeo y del modo en que se debe combatir. Después de todo, si vas a detener a un criminal, no puede hacer ningún daño aprender de uno inteligente y reformado.

Le pregunté a Mitnick qué le había llevado a interesarse por el mundo del hackeo. Me contestó: «Desde niño me interesaba la magia. Me encantaba la magia. En la escuela, un niño me mostró algunos trucos con el teléfono, por ejemplo, cómo realizar llamadas de larga distancia, cómo localizar la dirección de alguien solo con su número de teléfono, cómo reenviar llamadas, etc. Iba a una cabina de teléfono, llamaba a alguien (la compañía de teléfonos), se hacía pasar por alguien y algo mágico pasaba. Esta fue mi primera experiencia con la ingeniería social. Para mí, fue como pura magia. Yo no sabía que esto era phreaking e ingeniería social. Solo sabía que era divertido y emocionante y más o menos empezó a apoderarse de mi vida. Esto es todo lo que hice. Me aburría en la escuela y, como me pasaba las noches haciendo phreaking, mis notas empezaron a verse afectadas».

Le pregunté qué pensaban sus padres de sus hackeos. Me contestó: «Bueno, al principio ellos no sabían nada. O como mucho pensaban que hacía cosas sospechosas con el teléfono. Mi madre pensaba: “¿qué problemas puede tener con el teléfono, además de molestar a la gente?”. No sospecharon nada hasta que mi madre recibió una carta oficial de AT&T informándola de que el servicio telefónico había sido inhabilitado. Se enfadó mucho. Piensa que todo esto ocurrió en los tiempos antes de la llegada de los teléfonos móviles. El teléfono de casa era tu única forma de comunicarte con otras personas. Le dije que se calmara y que yo lo arreglaría.

»Básicamente, realicé ingeniería social para que volviéramos a tener teléfono en casa. Primero, me inventé una nueva vivienda. Vivíamos en la Casa 13. Llamé al departamento comercial de la compañía telefónica haciéndome pasar por otra persona y me inventé la Casa 13B. Esperé unos días a que la nueva vivienda entrara en el sistema y, después, llamé al departamento de instalaciones para pedir que vinieran a instalar un nuevo teléfono en la Casa 13B. También fuí a una ferretería y compré una B para añadirla al número exterior de la casa. Llamé haciéndome pasar por un nuevo cliente llamado Jim Bond, de Inglaterra. Les di un número de teléfono de Inglaterra anterior real que encontré junto con otros datos de identificación, pues ya sabía que no serían capaces de comprobar una información del extranjero. Después, les pregunté si podía tomar un número personalizado y me dijeron que sí, y elegí un número que acababa en 007. Antes de terminar la conversación, pregunté si podía utilizar mi sobrenombre Jim o si tenía que utilizar mi nombre completo. Me dijeron que debía utilizar mi nombre legal y les dije que era James. Así, pues, me registré en AT&T como James Bond con un número de teléfono acabado en 007 y mi madre recuperó su teléfono. AT&T se enfadó cuando descubrió todo el engaño».

En ese momento de la entrevista, me di cuenta de que Mitnick no había mencionado nada sobre hackeo informático. Solo hablaba de los malos usos del teléfono, por lo que le pregunté cómo llegó a eso. Me contestó: «Había un chico en la escuela que sabía que yo hacía phreaking y pensó que quizás estaría interesado en una nueva clase de ciencias informáticas de nivel superior que se impartía en la escuela. Inicialmente, dije que no me interesaba pero el chico dijo: “¿Sabes? He oído que las compañías telefónicas se están metiendo en los ordenadores”. Y esto fue suficiente para mí. Tenía que aprender sobre esos ordenadores.

»Tuve que dirigirme al profesor de la clase, el sr. Kris, y preguntarle si podía apuntarme porque no cumplía ninguno de los requisitos necesarios (que, en ese momento, incluían matemáticas avanzadas y física) ni tampoco tenía las notas requeridas, puesto que habían empezado a resentirse por mi falta de sueño debido al phreaking. El sr. Kris no estaba seguro de dejarme acceder, por lo que le hice una demostración de phreaking diciéndole su número de teléfono no registrado y el de sus hijos. Dijo: “¡Esto es magia!” y me dejó asistir a clase.

»Nuestro primer programa asignado fue un Fortran para calcular números de Fibonacci, que yo encontré bastante aburrido. Fuí a la universidad local, Northridge, para intentar que me dejaran pasar más tiempo entre sus ordenadores. Allí tenían los mismos ordenadores y el mismo sistema operativo. Pero no conseguí más de 5 minutos, por lo que me dirigí al responsable del taller de informática y le pedí más tiempo. Me dijo que yo no era alumno de esa escuela y que no debería estar ahí, pero como percibió mi gran interés por los ordenadores, para animarme, me dio su cuenta de acceso personal y su contraseña para que practicara con ello. ¿Podéis creerlo? Así es como yo, en esos momentos pasaba los días entre ordenadores.

»Empecé aprendiendo sobre llamadas al sistema de bajo nivel. Era sorprendente que esto no me lo enseñaran en el instituto. En el instituto, todos compartíamos un módem de marcación telefónica con acoplador acústico. El módem siempre estaba encendido y la gente debía conectarse y desconectarse para acceder al terminal y al módem. Desarrollé un programa de bajo nivel que se mantenía activo en segundo plano y registraba todo cuanto se tecleaba, incluidos los nombres de acceso y las contraseñas.

»Cuando llegó el día en que los alumnos del sr. Kris tenían que mostrar cuántos números de Fibonacci habían calculado los programas asignados de la clase, yo no tenía nada. El sr. Kris me amonestó delante de toda la clase por cómo me había dejado acceder a su clase y se había arriesgado por mí y, llegado el momento, yo no tenía nada que mostrarle. Toda la clase me miraba. Yo le dije: “Bueno, he estado demasiado ocupado escribiendo un programa para identificar su contraseña... ¡y su contraseña es johnco!”. Me dijo: “¿Cómo lo has hecho?” Se lo expliqué, me felicitó y dijo ante toda la clase que yo era un genio de los ordenadores. No se enfadó en absoluto. Esta fue, seguramente, la primera mala lección de ética que aprendí».

Le pregunté a Mitnick qué deberían hacer los padres si intuyen que su hijo se dedica al hackeo malicioso. Y él me respondió: «Mostrarle cómo hackear legalmente. Canalizar sus intereses hacia oportunidades legales y éticas, como ir a conferencias sobre seguridad informática y participar en concursos del tipo “Atrapa la bandera” Los padres deben desafiar a sus hijos diciéndoles cosas como: “Crees que eres lo suficientemente bueno para participar en un concurso como el de Atrapa la bandera?” Los padres pueden aplicar ingeniería social al niño, y el niño tendrá la misma emoción y excitación, pero de una forma legal. Hoy mismo acabo de hackear legalmente una empresa y he sentido la misma emoción que sentía cuando no hacía cosas éticas y legales. Desearía haber tenido entonces las formas legales para hackear que existen actualmente. Me gustaría poder volver atrás y actuar de forma distinta. ¿Sabéis lo único que distingue el hackeo legal del ilegal? ¡Escribir un informe!».

Le pregunté a Mitnick, con su experiencia en ambos lados del muro, cómo se sentía ante el derecho del Gobierno de saberlo todo versus el derecho individual a la privacidad. Y dijo: «Creo que todos tenemos un enorme derecho a la privacidad. De hecho, mi último libro, The Art of Invisibility [El arte de la invisibilidad], trata sobre cómo se puede mantener la privacidad. Creo que es muy difícil mantenerse en privado ante entidades como la NSA o el Gobierno, con fondos ilimitados. Quiero decir que, si ellos no pueden romper tu encriptación, pueden utilizar simplemente uno de sus ataques de día cero y acceder a tu ordenador, y si no, comprar uno. Por 1,5 millones de dólares puedes comprar un día cero de Apple y por medio millón de dólares, uno de Android, entre otros. Si tienes el dinero y los recursos suficientes, tendrás la información que buscas. Como digo en The Art of Invisibility, creo que tengo una manera de que incluso funcione contra ellos, pero es muy difícil de llevar a cabo e involucrar a muchos elementos de un proceso OPSEC (seguridad operacional). Pero creo que se puede hacer de una manera que incluso la NSA o el Gobierno tendrían dificultades para parar. Yo entiendo la necesidad de un Gobierno de saber ciertas cosas, como en temas de terrorismo, pero es que ellos quieren saberlo todo de todos. Si te están vigilando, cambias tu comportamiento, lo que significa que tienes menos libertad. Yo creo que no se puede ser libre sin privacidad».

Acabé la entrevista recordando a Mitnick que ya habíamos coincidido brevemente en una conferencia sobre seguridad donde él iba a ser el ponente principal después de mi intervención. Al pasar por mi lado, se dio cuenta de que necesitaba un USB para poder incluir su presentación en el ordenador portátil del presentador situado en el escenario. Yo llevaba uno en el bolsillo y se lo ofrecí. Él lo tomó, pero, después de pensarlo durante unos segundos, cambió de opinión y dijo que no se fiaba de ningún USB que no fuera suyo. Algunas personas que estaban cerca se rieron de su paranoia. Después de todo, no puedes infectarte a través de un dispositivo USB —o eso es lo que creía la gente en esos momentos—. Lo que nadie sabía era que yo había descubierto cómo iniciar automáticamente cualquier programa desde un dispositivo portátil (mediante un truco con un archivo oculto denominado desktop.ini, que más tarde utilizó el programa malicioso Stuxnet), y por casualidad el USB tenía una versión de demostración de este ataque. Esto no significa que quisiera infectar de forma intencionada a Mitnick. Lo que ocurrió fue simplemente que estaba en todos los USB que tenía en ese momento y que yo le ofrecí uno de ellos cuando lo pidió.

La paranoia constante de Mitnick le salvó de mi ataque de día cero. Esto también sirvió para demostrar que es difícil engañar a un ingeniero social profesional que está en su mejor momento.