Archivo

Archivos diarios: octubre 16, 2009

Hace poco tuve la oportunidad de ver la película “Hackers 2: Operación Takedown”, la cual también recibe el nombre de Takedown (a secas) o Track Down que narra los años previos a la definitiva detención de Kevin Mitnick (nombre clave Cóndor), uno de los hackers y phreakers más famosos del mundo.

Hasta tanto llegó el mito de Mitnick, que en un documental que también vi hace poco llamado “Historia secreta de los piratas informáticos”, él mismo narra que tras su primera detención se le prohibía acercarse a un teléfono, porque en opinión del fiscal tenía la capacidad de provocar una guerra nuclear. Por cierto, recomiendo el documental aunque sólo sea para ver la parte dedicada a Steve Wozniak en la que se podrá entender mejor como fue el inicio de los ordenadores para uso personal (tampoco tiene desperdicio la primera parte dedicada al Capitán Crunch), cómo fue el inicio de Apple y como finalmente los intereses comerciales acabaron con el Homebrew Computer Club (club formado por amantes de la informática en el que se fabricaron ordenadores, otros componentes hardware y software y que tenía como base compartir globalmente el conocimiento) y en esa misma parte además entender cuál fue el origen del concepto hacker, que nada tiene que ver con las connotaciones negativas con las que se redefinió posteriormente.

Esta película es una adaptación de la novela Takedown, escrita por John Markoff (periodista que contribuyó a la fama de Mitnick y al que se le acusa tanto por el propio Mitnick como por sus seguidores de haber exagerado las acciones de éste y crear un mito y un estado de alarma que no se correspondía con la realidad) y Tsutomu Shimomura (un expero en seguridad informática que colaboró en el proceso de localización y detención de Mitnick).

Independientemente de que John Markoff contribuyese a construir el mito, tuvo también mucho que ver en la construcción del mismo que diferentes agencias federales de Estados Unidos lo estuvieran persiguiendo tres años, hasta que definitivamente lo detuvieron en 1995, teniendo en cuenta que lo acusaban de delitos muy serios.

Independientemente de que la película sea muy mejorable, esté basada en un libro que se basa en uno de los dos puntos de vista en esta historia y se le hayan incluido toques cinematográficos que muy bien podrían sobrar, os recomiendo que si tenéis la oportunidad la veais, ya que podréis ver en ella algunos ejemplos de combinación de técnica e ingeniería social.

Una vez que Mitnick quedó completamente liberado, creó su propia empresa consultora en seguridad informática y de la información, no dudo que sea capaz de hacer bien este trabajo, ya que entiendo que su experiencia, desde el otro lado le permite ver con mayor facilidad los resquicios existentes.

Como se puede apreciar en la película, por encima de la capacidad técnica de Mitnick (que era y es muy grande), se encontraba su extraordinaria capacidad para aplicar lo que se denomina Ingeniería Social y que tanto para él como para muchos expertos en seguridad es donde se encuentra el verdadero punto débil de la seguridad informática (estoy de acuerdo con ellos, porque cualquier barrera software y hardware que se ponga puede ser sorteada si se consigue la información necesaria aplicando técnicas de Ingeniería Social. Es decir, el problema de la seguridad informática se centra más en el factor humano que en el factor software o hardware (sin olvidar como es lógico estos últimos). Mitnick pudo comprobar esto de primera mano, ya que mucha de la información que conseguía recopilar para acceder a un sistema o incluso la misma información que quería conseguir la obtenía a través de llamadas telefónicas.

De hecho Mitnick, establece cuatro principios que son comunes a todas las personas (sacado de Wikipedia):

- Todos queremos ayudar.
- El primer movimiento siempre es de confianza hacia el otro.
- No nos gusta decir No.
- A todos nos gusta que nos alaben.

Pero, ¿en qué consiste exáctamente la Ingeniería Social aplicada al concepto de la seguridad informática? Es tan simple que asusta, consiste en obtener información mediante la manipulación de un tercero, aplicando técnicas como hacerse pasar por otra persona, como representante de una empresa, una empresa, etc…, la cual es directamente la que se busca o que puede servir de base para obtener otra información de carácter más confidencial o directamente para provocar fraudes (robos). Estas técnicas de ingeniería social se pueden aplicar hablando directamente con otra persona, a través del teléfono y a través de los medios que proporciona Internet (páginas web, correo electrónico (un ejemplo lo tenemos en el Phishing), mensajería instantánea, redes sociales, etc…).

Combatir la Ingeniería Social es difícil y requiere una importante concienciación de la ciudadanía en la misma (por ejemplo, en los inicios del Phishing seguro que había más gente que caía que ahora), esta concienciación se consigue mediante la información y la educación. No obstante, los timos han existido prácticamente desde siempre, se han adaptado al entorno (han migrado gran parte de ellos a Internet) y se seguirán realizando, además, por mucha información y educación que se reciba (además de no llegar a todo el mundo) es muy complicado que siempre estemos con la alarma puesta y ahí es donde está el problema.

¿No os ha pasado nunca que tras hablar con un operador/a de telemarketing te da la sensación de que le has facilitado demasiada información?, ¿no os ha pasado nunca que os ha llamado alguien al trabajo os ha preguntado cosas, le habéis dado una respuesta y al final no habéis preguntado ni quien era? Esto es una clara demostración de lo que comenta Mitnick, es decir, sin necesidad de mala fé por parte del interlocutor somos capaces de dar información que de alguna u otra forma podría ser utilizada para beneficio del mismo, ¿cuánto puede conseguir un “profesional” de la ingeniería social en obtener información que le resulta de interés?.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 3.198 seguidores