sábado, 20 de julio de 2013

Introducción

INTRODUCCIÓN


Este libro contiene una gran cantidad de información sobre seguridad informática e ingeniería social. Como ayuda para que te puedas situar, aquí tienes un vistazo de cómo está organizado este libro:

En la Parte 1 revelaré el eslabón más débil de la seguridad y te mostraré por qué tanto tú como tu compañía estáis en peligro ante los ataques de ingeniería social.

En la Parte 2 verás cómo juegan los ingenieros sociales con tu confianza, tu deseo de sentirte útil, tu simpatía, y tu inocencia humana para conseguir lo que quieren. Los relatos ficticios de ataques típicos demostrarán que los ingenieros sociales pueden llevar varios sombreros y tener varias caras. Si crees que nunca te has topado con uno, probablemente estás equivocado. ¿Reconocerás alguna situación que hayas experimentado en estas historias y te sorprenderás si tuviste un roce con la ingeniería social? Es muy posible. Pero una vez leas del Capítulo 2 al 9, sabrás cómo conseguir ventaja cuando el próximo ingeniero social entre en escena.

La Parte 3 es la sección del libro en la que podrás ver cómo el ingeniero social sube la apuesta, en narraciones diseñadas para mostrar que él puede colarse en tus instalaciones, robar la clase de secreto que puede hacer o destruir tu empresa, y desbaratar tus medidas de seguridad de alta tecnología. Los argumentos en esta porción te harán consciente de las amenazas que van desde la venganza de un simple empleado al ciber-terrorismo. Si valoras la información que mantiene en marcha tu negocio y la privacidad de tus datos, querrás leer los Capítulos 10 al 14 de principio a fin.

Es importante señalar que, a menos que se indique lo contrario, las anécdotas de este libro son pura ficción.

En la Parte 4 valiéndome de la jerga corporativa trato cómo evitar que los ataques de ingeniería social lleguen a buen puerto en tu organización. El Capítulo 15 suministra un modelo para un programa exitoso de entrenamiento en la seguridad. Y el Capítulo 16 puede salvarte el cuello – es una completa política de seguridad que puedes personalizar para tu organización e implementar inmediatamente para proteger tu empresa y tu información –.

Finalmente, he facilitado una sección titulada Seguridad de un Vistazo, que incluye listas de verificación, tablas y gráficos que resumen información clave que puedes utilizar para ayudar a tus empleados a frustrar un ataque de ingeniería social en el trabajo. Estas herramientas también suministran información valiosa que puedes usar para crear tu propio sistema de entrenamiento en la seguridad.

A lo largo del libro encontrarás varios elementos útiles: recuadros de Vocabulario que proveen definiciones sobre terminología de ingeniería social y hacking informático; los Mensajes de Mitnick ofrecen breves palabras sabias para ayudarte a fortalecer tu estrategia de seguridad; y las notas y casillas laterales proporcionan interesante información de fondo o adicional.

Preámbulo

PREÁMBULO


Algunos hackers destruyen los archivos de la gente o sus discos duros; a ellos se les llama crackers o vándalos. Otros hackers novatos no se molestan en aprender la tecnología, sino solamente descargan algunas herramientas de hacking para colarse en sistemas informáticos; a éstos se les llama los niños de los scripts. Los hackers más experimentados con destreza en la programación desarrollan programas y los cuelgan en la Red y en sistemas de tablón de anuncios. Y luego están los individuos que no tienen ningún interés en la tecnología pero usan los ordenadores simplemente como una herramienta que les ayuda a robar dinero, bienes o servicios.

A pesar del mito creado por los medios en torno a Kevin Mitnick, no soy un hacker perverso.

Pero me estoy adelantando a los acontecimientos.


LOS INICIOS

Mi camino probablemente se estableció pronto en la vida. Yo era un niño feliz y despreocupado pero aburrido. Después de separarse de mi padre cuando yo tenía tres años, mi madre trabajó como camarera para mantenernos. Me veo entonces –un hijo único criado por una madre que alargaba los agobiantes días con un horario irregular– y recuerdo a un chaval que iba a lo suyo durante casi todo el día. Yo era mi propia niñera.

Crecer en una comunidad en San Fernando Valley me dio la oportunidad de explorar todo Los Angeles, y a los doce años había descubierto una manera de viajar gratis por toda la gigantesca área de L.A. Un día mientras iba en autobús me di cuenta de que la seguridad del transbordo de autobús que había comprado se basaba en un patrón inusual de la perforadora de papel con la que los chóferes marcaban el día, la hora y la ruta en los recibos de transbordo. Un conductor amistoso, contestando a la pregunta que cuidadosamente le planteé, me dijo dónde comprar un tipo especial de perforadora.

Los transbordos tienen el propósito de dejarte cambiar de autobuses y continuar un viaje a tu destino, pero resolví cómo utilizarlos para viajar gratis a cualquier lugar. Conseguir transbordos en blanco fue coser y cantar. Las papeleras en las terminales de autobús siempre estaban llenas de libros de transbordos utilizados parcialmente que los chóferes tiraban al acabar sus turnos. Con un puñado de ellos en blanco y la perforadora pude marcar mis propios transbordos y viajar a cualquier lugar al que me llevaran los autobuses de L.A. Mucho antes, memoricé nada menos que todos los horarios de autobús de todo el sistema. (Éste es uno de los primeros ejemplos de mi sorprendente memoria para ciertos tipos de información; aún hoy, puedo recordar números de teléfono, contraseñas y otros detalles aparentemente triviales de la lejana época de mi niñez).

Otro interés personal que surgió a una edad temprana fue mi fascinación con hacer magia. En cuanto aprendía cómo hacer un nuevo truco, lo practicaba, practicaba y volvía a practicar aún más hasta que lo dominaba. Hasta cierto grado, fue a través de la magia como descubrí el placer de conseguir conocimiento secreto.


De phreak del teléfono a hacker

Mi primer encuentro con lo que más tarde aprendería a llamar ingeniería social se dio durante mis años de estudios superiores cuando conocí a otro alumno que fue pillado en un pasatiempo llamado phone phreaking. El phone phreaking es un tipo de hacking que te permite explorar las redes de telefonía aprovechándote de los sistemas telefónicos y los empleados de las operadoras. Él me mostró truquitos que pudo hacer con un simple teléfono, como conseguir cualquier información que la compañía tuviera de cualquier cliente, y utilizar un número secreto de pruebas para hacer llamadas de larga distancia gratis. (En realidad solo era gratuito para nosotros. Mucho después descubrí que no se trataba de un número secreto de pruebas del todo. De hecho las llamadas fueron facturadas a alguna desafortunada compañía de la cuenta de MCI.)

Esa fue mi introducción a la ingeniería social – mi guardería, por decirlo así –. Mi amigo y otro phone phreaker que conocí poco después me dejaron escuchar las llamadas de pretexto que iban haciendo a la operadora telefónica. Escuché las cosas que dijeron que les hacían sonar creíbles; conocí las oficinas de las diferentes compañías telefónicas, su jerga y sus procedimientos. Pero aquel “entrenamiento” no duró mucho; yo hice que no durara. Pronto estaba haciéndolo todo por mi cuenta, tal como aprendí pero incluso mejor que mis primeros maestros.

El curso que mi vida iba a seguir durante los próximos quince años había sido fijado.

En la escuela superior, una de mis travesuras favoritas fue conseguir acceso no autorizado al conmutador telefónico y cambiar el tipo de servicio de un compañero de phone phreak. Cuando él intentó llamar desde casa, escuchó un mensaje diciéndole que introdujera una moneda de diez centavos porque el conmutador telefónico había recibido una señal que indicaba que estaba llamando desde un teléfono de pago.

Me encontré inmerso en todo lo relacionado con los teléfonos, no solo la parte electrónica, conmutadores y ordenadores sino también la organización corporativa, los trámites y la terminología. Al poco tiempo, probablemente sabía más del sistema telefónico que cualquier empleado de a pie. Y había desarrollado mis habilidades de ingeniería social a tal punto que, a los diecisiete años, era capaz de hablar con la mayoría de los empleados de telecomunicaciones de casi cualquier cosa, sin importar si lo hacía en persona o por teléfono.

Mi carrera como hacker más conocido empezó cuando estaba en la escuela superior. Aunque no puedo detallarla aquí, bastará con decir que una de mis mayores motivaciones en mis primeros trucos fue el deseo de ser aceptado por los colegas del grupo hacker.

Volviendo atrás, hemos utilizado el término hacker para referirnos a una persona que pasó mucho tiempo jugueteando con hardware y software, tanto para desarrollar programas más eficaces como para saltarse pasos innecesarios y llegar a la meta con más rapidez. Esa palabra se ha convertido en algo peyorativo, incorporando la idea de “criminal malicioso”. En estas páginas uso el vocablo del modo que siempre lo he utilizado –en su sentido anterior, más positivo –.

Después de la escuela superior estudié informática en el Computer Learning Center de Los Angeles. En unos pocos meses, el responsable informático de la escuela se dio cuenta de que yo había encontrado una vulnerabilidad en el sistema operativo y había conseguido todos los privilegios como administrador en el ordenador IBM. Los mejores expertos en informática del profesorado no pudieron imaginarse cómo lo hice. Me hicieron una oferta que no pude rechazar: obsequiarles con un proyecto para mejorar la seguridad informática de la escuela o quedarme con el suspenso por violar el sistema. Como es lógico, escogí hacer el proyecto, y acabé graduándome con honores cum laude.


Me convierto en un Ingeniero Social

Algunas personas se levantan de la cama por la mañana con el temor de afrontar su aburrida rutina laboral. Yo he tenido bastante suerte al disfrutar con mi trabajo. En particular, no puedes imaginar el desafío, la recompensa y el placer que he tenido durante el tiempo que he pasado como investigador privado. Estuve perfeccionando mis talentos en la realización del arte llamado ingeniería social (conseguir que la gente haga cosas que normalmente no harían por un extraño) y me pagaron por ello.

No me fue difícil llegar a destacar en la ingeniería social. La familia de mi padre estuvo en la rama comercial durante generaciones, así que el arte de influir y persuadir pudo haber sido un rasgo heredado. Cuando combinas dicha característica con una tendencia a engañar a la gente, tienes el perfil de un típico ingeniero social.

Puede que digas que hay dos clasificaciones profesionales en las que se puede catalogar al artista estafador. El que estafa y engaña a la gente por su dinero pertenece a una subespecialidad, el timador. El que usa engaño, influencia y persuasión contra las empresas, por lo general con su información como blanco, pertenece a la otra subcategoría, el ingeniero social. Desde la época de mi travesura con el transbordo del autobús, cuando era demasiado joven como para saber si había algo de malo en lo que estaba haciendo, empecé a identificar un talento para hallar los secretos que se suponía que no debía tener. Edifiqué ese talento utilizando el engaño, conociendo la jerga, y desarrollando una habilidad bien afinada para la manipulación.

Una manera como desarrollé mis habilidades en mi oficio, si puedo llamarlo oficio, fue escoger una porción de información que realmente no me interesaba y ver si podía hablar con alguien al otro lado del teléfono para que me la suministrara, tan solo para poner a prueba mis destrezas. De la misma forma que solía practicar mis trucos de magia, practiqué para excusarme. Gracias a estos ensayos, pronto vi que podía conseguir prácticamente cualquier información que persiguiera.

Como describí en el testimonio del Congreso antes los Senadores Lieberman y Thompson años después:

He conseguido acceso no autorizado a los sistemas informáticos de algunas de las mayores corporaciones del planeta, y he irrumpido con éxito en algunos de los sistemas informáticos más robustos que jamás se han desarrollado. He utilizado tanto medios técnicos como no técnicos para hacerme con el código fuente de varios sistemas operativos y dispositivos de telecomunicaciones con la finalidad de estudiar sus vulnerabilidades y su funcionamiento interno.

Toda esto fue en realidad para satisfacer mi propia curiosidad; para ver de qué era capaz; y para conseguir información secreta sobre los sistemas operativos, teléfonos móviles, y cualquier otra cosa que llamara mi curiosidad.


CONSIDERACIONES FINALES

Desde mi arresto he reconocido que las acciones que realicé fueron ilegales, y que cometí invasión de la privacidad.

Mis fechorías fueron motivadas por mi curiosidad. Quería saber todo lo que pudiera sobre el funcionamiento de las redes telefónicas y los más y los menos de la seguridad informática. Pasé de ser un niño que adoraba hacer trucos de magia a convertirme en el hacker más notorio del mundo, temido por las compañías y el gobierno. Al reflexionar en lo que ha sido mi vida durante los últimos 30 años, debo admitir que tomé algunas decisiones extremadamente malas, llevado por mi curiosidad, el deseo de saber sobre la tecnología, y la necesidad de un buen reto intelectual.

Ahora soy una persona nueva. He reorientado mis aptitudes y el vasto conocimiento que reunido sobre la seguridad de la información y las tácticas de ingeniería social para ayudar al gobierno, las empresas, y los individuos a prevenir, detectar y responder a las amenazas a la seguridad de la información.

Este libro es otra manera en que puedo utilizar mi experiencia para ayudar a otros a frustrar los esfuerzos de los ladrones maliciosos de información del mundo. Creo que encontrarás las historias divertidas, esclarecedoras y educativas.

Prólogo por Steve Wozniak

PRÓLOGO


Los humanos nacemos con un impulso interior de explorar la naturaleza a nuestro alrededor. De jóvenes, Kevin Mitnick y yo estábamos muy deseosos de curiosear el mundo y ponernos a prueba. Nos enorgullecíamos de nuestros intentos de aprender nuevas cosas, solucionar rompecabezas y ganar en los juegos. Pero, a la misma vez, el mundo a nuestro alrededor nos enseñaba normas de comportamiento que restringían nuestro deseo de explorar sin límites. Para nuestros científicos más audaces y emprendedores en tecnología así como para personas como Kevin Mitnick, seguir este impulso interior es de lo más excitante y nos permite alcanzar logros que otros no pueden.

Kevin Mitnick es una de las mejoras personas que conozco. Pregúntale, y acertadamente te dirá que lo que solíamos hacer – ingeniería social – conlleva estafar a la gente. Pero Kevin ya no es un ingeniero social. Incluso cuando lo era, su motivo nunca fue enriquecerse a sí mismo o perjudicar a otros. Todo ello no significa que no existan ahí fuera criminales destructivos y peligrosos que utilicen la ingeniería social para provocar daño real. De hecho, esa es la razón por la que Kevin escribió este libro – para advertirte sobre ellos –.

El Arte del Engaño muestra cuán vulnerables somos todos – gobiernos, empresas y cada uno de nosotros a título personal – a las intromisiones del ingeniero social. En esta era tan concienciada con la seguridad, gastamos auténticas fortunas en tecnología para proteger tanto nuestras redes informáticas como nuestros datos. Este libro señala cuán fácil es engañar a los de dentro y burlar toda esta protección tecnológica.

Si trabajas en una empresa privada o pública este libro suministra una gran guía para ayudarte a entender cómo trabajan los ingenieros sociales y qué puedes hacer para frustrar sus planes. Por medio de relatos ficticios que son divertidos y reveladores, Kevin y su colaborador Bill Simon dan vida a las técnicas de ingeniería social de los bajos fondos. Después de cada historia, ofrecen pautas para ayudarte a protegerte contra las brechas y amenazas descritas.

La seguridad tecnológica deja grandes lagunas que personas como Kevin pueden ayudar a cerrar. Lee este libro y puede que finalmente te des cuenta de que todos tenemos que recurrir a Mitnick como guía.




– Steve Wozniak

EL ARTE DEL ENGAÑO - Controlar el factor humano de la seguridad

EL ARTE DEL ENGAÑO

Controlar el factor humano de la seguridad


KEVIN D. MITNICK
& William L. Simon

Ingeniería Social


La ingeniería social utiliza la influencia y la persuasión para engañar a la gente convenciéndola de que el ingeniero social es alguien que no es en realidad o manipulándola. Como resultado, el ingeniero social es capaz de aprovecharse de la gente para conseguir información con o sin el uso de la tecnología.