Erase una vez un hombre
contratado para comprobar la seguridad de los datos en una gran compañía
estadounidense. Esta compañía había hecho una inversión millonaria en mejorar
los sistemas de seguridad de la información. Había instalado sensores
biométricos para el acceso de los empleados. Cortafuegos, detectores de
intrusión, y cerraduras de alta seguridad protegían los datos críticos de la
empresa. Un ejército de guardias de seguridad vigilaba permanentemente todas
las entradas para evitar una intrusión de cualquiera que no tuviese
autorización. El perímetro estaba completamente asegurado.
Tan orgullosos estaban en la
empresa de su bunker inexpugnable, que propusieron a nuestro hombre un trato.
Hay un archivo con tu nombre en un ordenador dentro del edificio. Si consigues
averiguar lo que hay en él, te pagaremos 10 millones de dólares. Si no, no
cobrarás nada y presumiremos de que nuestro sistema de seguridad es
invulnerable incluso al hacker más famoso del mundo. Tienes un mes para lograr
tu objetivo.
Pasado el mes, se convocó al
hombre a una reunión con todo el consejo de administración. Con cierto aire de
superioridad, el Presidente de la compañía le preguntó por el resultado de sus
intentos de intrusión. El hombre les mostró el contenido del archivo como quien
saca un euro del bolsillo para pagar el autobús. El asombro de la cúpula de la
empresa se tornó en cólera cuando el hombre, sacando un portafolios del maletín
que le colgaba del hombro, mostró su carta final. Con una media sonrisa colocó
encima de la mesa los planos secretos de un prototipo que pretendían lanzar al mercado a
lo largo del año siguiente. Sólo existía una copia, almacenada en el ordenador
del Presidente.
Mitnick es considerado como el
mago de la Ingeniería Social. Ésta consiste en el uso de una serie de técnicas
usadas para manipular a las personas y conseguir que divulguen información
confidencial o realicen alguna acción que no deben o quieren hacer por medio
del engaño. El término se puede aplicar
a muchos aspectos de la vida cotidiana. Estrategias políticas para manipular a
la opinión pública, los famosos timos de la estampita y de los trileros o el
famoso “si te portas bien, te compro un helado” son ejemplos cotidianos de
Ingeniería Social.
En el artículo anterior referente
al Phising, introducía el concepto de una de las técnicas de Ingeniería social
más utilizada: La obtención de confianza por parte del usuario. Recibir un
correo de una presunta empresa confiable, nos hace ser menos cautos a la hora
de contestar o pulsar en los enlaces que acompaña. Otra de las técnicas es el principio de
Autoridad. Tendemos a creer y confiar a quien aparenta ser una entidad de mayor
rango. Los correos falsos de Hacienda o de la Dirección General de Tráfico son
buenos ejemplos de esta técnica. Otro es el famoso timo del CEO, en el que,
mediante suplantación de identidad, nuestro supuesto jefe nos ordena en tono
amenazante y con urgencia que hagamos una transferencia inmediata de una
elevada cantidad de dinero de la empresa.
El análisis que hacen los
ingenieros sociales del comportamiento humano, les lleva a predecir las
reacciones de los estafados con bastante fiabilidad. Saben que, en general, no
nos gusta decir no. Nos gustan los halagos. Nos complace ayudar. En el ejemplo
anterior del la estafa del CEO, se mezcla en muchas ocasiones la urgencia con
alabanzas diciendo que se le vino a la cabeza nuestro nombre en primer lugar
para solucionarle el problema. Confianza, autoridad, halago, ayuda, no decir
no. Todas esas técnicas en el mismo timo. Ingeniería social pura.
Todos queremos ayudar. Por eso
compartimos una y otra vez en Facebook fotos terribles de niños enfermos,
perros, ancianos que necesitan nuestra ayuda urgente. Sólo con un euro puedes
salvarlos. Las autoridades no nos ayudan. Si tú no puedes, al menos se
solidario y compártelo con tus contactos. Por favor. Cada uno ayuda de la
manera que puede. Muchísimas gracias a todos por vuestra solidaridad. El tsunami ya está en marcha.
Nuestros intereses lo primero.
Recibimos una llamada del departamento de personal. Este año la empresa ha decidido
que solicitemos las vacaciones mediante una web habilitada para ello. Nos
envían el enlace y sólo tenemos que poner nuestro nombre y clave de acceso para
acceder al calendario. Los turnos de vacaciones se asignarán por estricto orden
de solicitud. Otra vez, autoridad, urgencia, confianza.
Por supuesto, no me he olvidado
de nuestro protagonista. ¿Cómo consiguió los 10 millones? Pues evidentemente,
mediante Ingeniería Social. En concreto, el comportamiento humano ante la
curiosidad. La única parte vulnerable de la empresa que detectó Mitnick era la
cafetería de invitados. Estaba situada en el vestíbulo del edificio, antes de
pasar los controles de seguridad. Allí se recibían visitas y los empleados
bajaban a tomar café con amigos o familiares que los visitaban. El resto del
perímetro era inexpugnable.
Mitnick preparó un pendrive con
un programa que se instalaría de manera discreta nada mas conectarse a un
ordenador. Y lo dejó en el suelo de la cafetería. El resto se lo pueden
imaginar. Media hora después, nuestro hacker ya estaba conectado a la red de la
empresa desde dentro. Como el perímetro era inquebrantable, nadie se preocupó
de la seguridad interna. Contraseñas por defecto, redes no protegidas y archivos estratégicos de la empresa sin
cifrar.
La curiosidad mató al gato. Y, en
este caso, salió carísima
