MundoInformática » Hacking sin ordenador: La potencia de la ingeniería social

Tiempo estimado de lectura 4:34 min. rellotge

Hacking sin ordenador: La potencia de la ingeniería social

La ingeniería social ha permitido las mayores estafas en la red.

No sólo basta con poseer los mayores conocimientos técnicos. A veces, un disfraz adecuado, una llamada telefónica fingiendo ser un técnico o una oportuna visita a la empresa, puede reportar mucha más información que el más profundo estudio de miles de vulnerabilidades técnicas.

Las empresas de seguridad cada vez hacen más hincapié en la necesidad de la educación del personal de las compañías, muy dados a revelar información importante a desconocidos. No porque sean estúpidos, sino porque es condición natural de muchas personas la sociabilidad, las ganas de ayudar y sentirse útil pueden jugar muchas veces malas pasadas si te topas con quien sepa aprovecharse de ellas. Desgraciadamente, tras sufrir alguna mala experiencia de este tipo, no cabe más que volverse desconfiado, paranoico ante la creencia de que todo el que te formule una pregunta está intentando averiguar la clave de tu ordenador. Pues bien, esta es la actitud adecuada. La desconfianza es el principio de la seguridad. El sentido común debe poner el límite, pero desde luego, no es conveniente en ningún momento bajar la guardia.

Aprovecharse de la ingenuidad de los internautas no demasiado experimentados ha sido y es el deporte nacional hablando del hacking de poca monta. Tan sólo hace falta un poco de imaginación y muy pocos conocimientos técnicos o herramientas. Y para muestra, un par de botones.

Corría el rumor de que si enviabas un correo a lostpasswords@hotmail.com con un formato determinado, en el que incluías el nombre de la cuenta de la que querías averiguar la contraseña, tu correo y tu contraseña en un formato especial, se te enviaba automáticamente la contraseña de la cuenta “víctima” a la tuya. Todo el engaño se adornaba con una explicación completamente lógica de por qué funcionaba el método. Por supuesto, el dueño de lostpasswords@hotmail.com tan sólo tenía que abrir su correo para comprobar cómo cientos de inocentes habían caído en la sencilla trampa. En otras ocasiones, se decía que era necesario visitar una web que había encontrado un método que relacionaba de forma unívoca las claves con el nombre de la cuenta de hotmail, de manera que era posible calcular nuevas contraseñas válidas a partir del login de la víctima. Como ejemplo y parte del método, la página pedía que introdujeras tu login y tu contraseña para realizar los primeros cálculos. El método se decía infalible, mientras a los dueños del servidor le llovían contraseñas sin parar.

A finales de 2002, se detectó cómo una forma relativamente sencilla de ingeniería social con ordenador puso en peligro los datos potenciales de 55 millones de clientes de la casa de subastas más famosa de Internet, eBay. Los estafadores utilizaron un sistema relativamente sencillo y efectivo: enviaron millones de mensajes por correo electrónico a clientes de eBay pidiéndoles la confirmación de sus datos personales en una web supuestamente de la compañía, easyUpdates. Cuando llegaban a esa página, los visitantes eran instados a volver a dar sus datos personales y financieros, “para una comprobación técnica”, por lo que muchos no sospecharon del fraude. El sitio falso tenía un aspecto prácticamente igual al de la casa de subastas virtual. EBay envió un comunicado a sus 55 millones de clientes advirtiéndoles del engaño, e instándoles a no proporcionar “a nadie” sus datos personales.

Como en el ejemplo anterior de hotmail, hay que pensar que con los datos que se introducen a través de un formulario en una página, los administradores del servidor pueden hacer lo que quieran, desde mandarlos por email hasta guardarlos en un fichero. No hay que fiarse de las páginas no oficiales. Los sitios web serios tan sólo compararán automáticamente una contraseña con la que ya tienen almacenada y cifrada y dejarán pasar o no según el resultado de la comparación, los demás, no tenemos ni idea de lo que hacen con ellas.
En una página de fútbol, para usar el foro, era necesario registrarse. A “Alguien”, al que llamaremos Pardillo, se le ocurrió rellenar el campo del correo con la dirección inexistente quenomeescribas@hotmail.com, para evitar el spam y recibir correo no deseado. Un avispado usuario del foro, comprobó que tal dirección de hotmail quenomeescribas@hotmail.com no existía en esos momentos, con lo que, rápidamente, se la agenció para él, creando el correo gratuitamente en hotmail. Luego visitó el foro y usó el servicio “¿Has olvidado tu contraseña?” que envía, al correo que encuentra en tu información de registro, la clave del foro por si la has olvidado. Así, a los pocos segundos recibió en su nueva cuenta de correo quenomeescribas@hotmail.com la clave de Pardillo, pues había simulado que era él quien había olvidado la clave. Tremenda sorpresa cuando Pardillo comienza a ver en la página de fútbol que alguien está haciéndose pasar por él, poniendo en sus labios palabras soeces y echando abajo una reputación fabricada durante meses, y lo que es peor, la misma clave la había estado usando para otros menesteres más serios, como el acceso a la administración de su página. Bastante ingenioso, ¿verdad?
Si de verdad no se quiere dar la dirección verdadera, nunca se debe utilizar una dirección existente o que pueda existir en un futuro. Mejor escribir direcciones con un dominio falso noexiste@….com, o si lo que se quieres es evitar el spam, las técnicas estándar más usadas son: correo@NOSPAMhotmail.com o correo (at) hotmail (dot) com. Así se evitarán a los pequeños programas robots que analizan las webs en busca del conocido formato de correo (palabra-arroba-palabra-punto-palabra) y que guardan todo lo que encuentran en distintas bases de datos para luego bombardearte con correo basura que te piden que compres desde viagra, hasta un detector de mentiras portátil.
La ingeniería social es un arma más potente de lo que pueda parecer, preguntar directamente a la víctima puede llevarte algunos minutos, mientras que descubrir grietas de seguridad o vulnerabilidades en el software de una compañía, además de no llevarte a ningún sitio y ser un delito, podría requerir de demasiados conocimientos técnicos y horas de estudio. Hay que tener cuidado con las preguntas demasiado curiosas, no todas van con buenas intenciones.