viernes, 9 de agosto de 2013

PARTE 1 ENTRE BASTIDORES Capítulo 1 - El eslabón más débil de la seguridad

PARTE 1

ENTRE BASTIDORES

  

Capítulo 1 - El eslabón más débil de la seguridad



Una compañía quizá haya adquirido las mejores tecnologías de seguridad que el dinero pueda comprar, entrenado a su gente tan bien como para que guarde sus secretos bajo llave antes de marchar por la noche y contratado vigilantes de instalaciones a la mejor empresa del sector.

La empresa aún es totalmente vulnerable.

Los individuos pueden seguir toda práctica de seguridad recomendada por los expertos, instalar todos los productos de seguridad aconsejables y estar totalmente atentos en cuanto a la correcta configuración del sistema y la instalación de parches de seguridad.

Esos individuos aún son completamente vulnerables.


EL FACTOR HUMANO
Al testificar ante el Congreso no hace demasiado tiempo, expliqué que a menudo pude conseguir contraseñas y otros fragmentos de información sensible de varias compañías simulando ser uno más y únicamente pidiéndolas.

Es natural anhelar un sentimiento de total seguridad, conduciendo a mucha gente a asentarse en un falso sentido de seguridad. Piensa en el responsable y amoroso dueño de una casa que tiene una cerradura con pestillo instalada en la puerta principal para proteger a su esposa, sus hijos y su casa. Él se siente satisfecho al haber hecho que su familia esté mucho más segura contra los intrusos. Pero, ¿qué hay del intruso que rompe una ventana o piratea el código de la puerta del garaje? ¿Y si se instalar un robusto sistema de seguridad? Mejor, pero no es una garantía total. Con bloqueos caros o sin ellos, el dueño sigue siendo vulnerable.

¿Por qué? Porque el factor humano es en realidad el eslabón más débil de la seguridad.

La seguridad a menudo es simplemente una ilusión, una ilusión a menudo empeorada cuando la credulidad, la inocencia o la ignorancia entran en juego. El científico más respetado por todo el mundo en el siglo veinte, Albert Einstein, dijo lo siguiente: “Solo dos cosas son infinitas, el universo y la estupidez humana. No estoy seguro de la primera.” Al final, los ataques de ingeniería social pueden tener éxito cuando la gente es estúpida o, por lo general, simplemente ignorante sobre las buenas prácticas de seguridad. Con la misma actitud que nuestro propietario consciente de la seguridad, muchos profesionales de las tecnologías de la información creen erróneamente que han hecho sus compañías realmente inmunes a los ataques porque han desplegado productos estándares de seguridad – cortafuegos, sistemas de detección de intrusos o dispositivos más seguros de autentificación como fichas basadas en el tiempo o tarjetas inteligentes biométricas –. Cualquiera que crea que solo los productos de seguridad ofrecen auténtica seguridad está conformándose con la ilusión de la seguridad. Es un ejemplo de vivir en un mundo de fantasía: Ellos, tarde o temprano, sufrirán irremediablemente un incidente relacionado con la seguridad.

Como apuntó el consultor de seguridad Bruce Schneier: “La seguridad no es un producto, es un proceso”. Aún más, la seguridad no es un problema tecnológico – es un problema humano y de gestión –.

A medida que los desarrolladores desarrollan continuamente mejores tecnologías de seguridad, aumentando así la dificultad de aprovecharse las debilidades técnicas, los atacantes se dirigen cada vez más hacia el elemento humano para explotarlo. Piratear el cortafuegos humano es a menudo más fácil, no requiere más inversión que el coste de una llamada y conlleva un riesgo mínimo.


UN EJEMPLO CLÁSICO DE ENGAÑO
¿Cuál es la mayor amenaza a la seguridad de los bienes de tu empresa? Es fácil: el ingeniero social – un mago sin escrúpulos que llama tu atención sobre su mano izquierda mientras con la derecha roba tus secretos –. Este perfil es frecuentemente tan amigable, locuaz y servicial que das gracias por haberlo encontrado.

Dale un vistazo a un ejemplo de ingeniería social. La mayoría hoy ya no se acordará del joven Stanley Mark Rifkin y su pequeña aventura con el ya extinto Banco Nacional de Seguridad del Pacífico en Los Ángeles. Los relatos sobre su huida varían y Rifkin (al igual que yo) nunca contó su propia versión, así que lo que sigue está basado en informes publicados.

Pirateo del código
Un día de 1978, Rifking paseaba por la sala de transferencias electrónicas limitada al personal autorizado de la Seguridad del Pacífico, donde el personal enviaba y recibía transferencias a diario por valor de varios miles de millones de dólares.

Él trabajaba para una compañía que lo contrató como desarrollador de un sistema de respaldo para los datos de la sala segura en caso de que sus ordenadores principales dejaran de funcionar. Ese puesto le daba acceso a los procedimientos de las transferencias incluyendo cómo los empleados del banco gestionaban que se enviaran las transferencias. Él había aprendido que los empleados autorizados a ordenar transferencias electrónicas recibían cada mañana un código diario cuidadosamente guardado para utilizarlo en la sala segura.

En dicho recinto las secretarias solucionaban el problema de tener que memorizar la clave cada día de la siguiente manera: Ellas escribían el código en un trozo de papel y lo colgaban en un lugar que pudieran ver con facilidad. Ese día de noviembre Rifkin tenía un motivo especial para su visita. Quería echar un vistazo a aquel papel.

Al llegar a la sala segura, él tomó algunas notas de los procedimientos operativos, supuestamente para asegurarse de que el sistema de respaldo estuviera en correcta sincronización con los sistemas en funcionamiento. Mientras tanto, disimuladamente leyó el código de seguridad del trozo de papel colgado y lo memorizó. Pocos minutos después salió. Como él dijo posteriormente, se sintió como si hubiera ganado en la lotería.

Hay esta cuenta bancaria suiza...
Saliendo de la sala a las tres de la tarde, se dirigió sin demora a un teléfono público en la recepción de mármol del edificio, donde introdujo una moneda y llamó a la sala de transferencias telefónicas. Él cambió de sombrero, pasando de ser Stanley Rifkin, consultor bancario, a convertirse en Mike Hansen, un miembro del Departamento Internacional del banco.

Según cierta fuente, la conversación discurrió poco más o menos así:

“Hola, soy Mike Hansen de Internacional,” dijo a la joven que contestó el teléfono.
Ella le pidió el número de oficina. Era un procedimiento estándar y él estaba preparado: “286”, dijo.
Entonces la chica pregunto: “Bien, ¿cuál es el código?”

Rifkin dijo que en este momento su corazón latió a toda máquina debido a la adrenalina. Él contestó con suavidad: “4789”. Entonces él pasó a darle instrucciones para enviar “Diez millones doscientos mil dólares exactamente” desde la Compañía Irving Trust de Nueva Ýork, al Banco Wozchod Handels de Zurich, Suiza, donde él previamente había abierto una cuenta.

La mujer dijo: “Estupendo, lo apunté. Y ahora necesito el número de asentamiento interno”.

Rifkin empezó a sudar; esta era una pregunta que no había podido anticipar, algo que había caído por las grietas de su investigación. Pero se las arregló para mantenerse dentro del papel como si todo fuera sobre ruedas y contestó en el acto sin perder ni un segundo: “Déjame comprobarlo; te llamaré luego.” Él cambió de nuevo de personaje para llamar a otro departamento del banco, esta vez diciendo ser un empleado de la sala de transferencias. Él consiguió el número de asentamiento y llamó de nuevo a la joven.

Ella anotó el número y dijo: “Gracias.” (Dadas las circunstancias, el darle las gracias a él debía considerarse una auténtica ironía.)

Rematando el trabajo
A los pocos días Rifkin voló a Suiza, retiró su dinero y entregó  unos 8 millones de dólares a una agencia rusa a cambio de un puñado de diamantes. Él voló de regreso pasando por la aduana de Estados Unidos con los diamantes ocultos en un cinturón para llevar dinero. Había realizado el mayor banco atraco a un banco en la historia – y lo hizo sin usar ni una pistola, incluso ni un ordenador –. Curiosamente, su travesura apareció en el Libro Guinness de los Récords en la categoría de “el mayor fraude informático”.

Stanley Rifkin había utilizado el arte del engaño – las habilidades y técnicas que hoy conocemos como ingeniería social –. Cuidadosa planificación y un buen don de palabra fue todo lo que necesitó.

Y de eso trata este libro – las técnicas de ingeniería social (en las que un servidor es competente) y cómo defenderse de ellas en tu negocio –.


LA NATURALEZA DE LA AMENAZA
La historia de Rifkin aclara perfectamente cuán engañoso puede ser nuestro sentido de la seguridad. Los incidentes como éste – de acuerdo, puede que no se trate de atracos de 10 millones de dólares, pero los incidentes dañinos – se dan a diario. Puede que ahora mismo estés perdiendo dinero o alguien puede estar robando tus nuevos diseños de productos y ni siquiera lo sepas. Si aún no ha pasado en tu negocio, no es cuestión de si sucederá o no sino de cuándo.

Un interés creciente
El Instituto de Seguridad Informática, en su sondeo de crímenes informáticos de 2001, informó que el 85 por ciento de las empresas encuestadas había detectado una brecha de seguridad informática durante los últimos doce meses. Es una cifra pasmosa: Solo 15 de cada 100 empresas pudieron decir que no había tenido un problema con la seguridad aquel año. Igualmente asombroso es el número de compañías que admitieron haber tenido pérdidas financieras debido a problemas de seguridad informática: 64 por ciento. Bastante más de la mitad de las organizaciones había sufrido pérdidas. En tan solo un año.

Mi experiencia me lleva a creer que las cifras de los informes como éste a menuda se inflan. Sospecho del registro de los responsables de esta estadística. Pero con ello no quiero decir que el daño no sea extenso; lo es. Quienes se equivocan al prevenir un incidente de seguridad es como si estuvieran planeando un fallo.

Los productos de seguridad comercial desplegados en muchas empresas están principalmente dirigidos a suministrar protección contra el intruso informático aficionado, como los jóvenes conocidos como niños de los scripts. De hecho, estos aprendices de hacker con sus programas descargados son poco más que una molestia. Las mayores pérdidas, las auténticas amenazas, provienen de atacantes sofisticados con objetivos bien definidos que están motivados por el beneficio económico. Estas personas se centran en un único blanco en lugar de, como los aficionados, intentar infiltrarse en tantos sistemas como sea posible. Mientras que los intrusos amateurs buscan la cantidad, los profesionales persiguen información valiosa y de calidad.

Las tecnologías como los dispositivos de autenticación (para identificarse), control de acceso (para gestionar el acceso a los ficheros y recursos del sistema) y los sistemas de detección de intrusos (el equivalente electrónico de las alarmas antirrobo) son necesarios para un programa de seguridad corporativo. Aún es típico hoy el que una compañía gaste más dinero en café que en implementar contramedidas para proteger la organización contra ataques de seguridad.

Tal como la mente del criminal no puede resistir la tentación, la mente del hacker se dirige a encontrar vías en torno a las protecciones de la poderosa tecnología de seguridad. Y en muchos casos, lo hace dirigiéndose a las personas que utilizan la tecnología.

Prácticas engañosas
Hay un dicho popular que dice que el ordenador seguro es el que está apagado. Ingenioso, pero falso: El buscador de pretextos simplemente le dice a alguien que vaya a la oficina y encienda el ordenador. Un adversario que quiere tu información la puede obtener, por lo general, de cualquier manera entre varias. Es solo cuestión de tiempo, paciencia, personalidad y persistencia. Aquí es donde el arte del engaño entra en juego.

Para derrotar las medidas de seguridad, un atacante, intruso o ingeniero social debe encontrar una manera de engañar a un usuario confiado para que este revele información, o engañar a un blanco incauto que le dé acceso. Cuando los empleados confiados son engañados, influidos o manipulados para revelar información sensible o realizar acciones que creen un agujero de seguridad para que se cuele el atacante, no existe tecnología en el mundo que pueda proteger un negocio. Así como los analistas criptográficos a veces pueden descubrir el texto oculto en un mensaje codificado encontrando una debilidad que les permita saltarse la tecnología de encriptación, los ingenieros sociales utilizan la práctica del engaño en tus empleados para saltarse la tecnología de seguridad.


ABUSO DE CONFIANZA
En muchos casos, los ingenieros sociales que tienen éxito poseen grandes habilidades sociales. Son encantadores, educados y caen bien –características sociales necesarias para establecer una comunicación rápida y confiable–. Y el ingeniero social experimentado es capaz de conseguir acceso a cualquier información deseada utilizando las estrategias y tácticas de su arte.

Los inteligentes expertos han desarrollado meticulosamente soluciones de seguridad de la información para minimizar los riesgos relacionados con el uso de los ordenadores, dejando así desatendida la mayor flaqueza, el factor humano. A pesar de nuestro intelecto, nosotros los humanos –tú, yo y todos los demás– suponemos la mayor amenaza para la seguridad ajena.

Nuestro Carácter Nacional
No somos conscientes de la amenaza, especialmente en el mundo Occidental. En los Estados Unidos por encima de todo, no se nos educa para sospechar unos de otros. Se nos enseña a “amar a tu prójimo” y a tener fe y confianza en los demás. Considera cuán difícil es para las organizaciones de vigilancia vecinal conseguir que la gente bloquee sus coches y sus casas. Este tipo de inseguridad es obvia y aún parece ser ignorada por muchos que prefieren vivir en un mundo de ensueño –hasta que se queman–.

Sabemos que no todas las personas son amables y honestas, pero demasiado a menudo nos comportamos como si lo fueran. Su adorable inocencia ha sido la fábrica de los sueños de los americanos y es doloroso renunciar a ella. Como nación hemos incorporado a nuestro concepto de libertad la idea de que los mejores lugares para vivir son aquellos en los que las cerraduras y las llaves son casi innecesarias.

Mucha gente sigue creyendo que no serán engañados por otros, basándose en la idea de que la probabilidad de serlo es muy pequeña; el atacante, consciente de esta creencia tan común, hace que su petición suene tan razonable que no levanta ninguna sospecha, mientras se aprovecha de la confianza de la víctima.

Inocencia organizativa
El hecho de que esa inocencia sea una parte de nuestro carácter nacional fue evidente hace tiempo cuando los ordenadores fueron conectados remotamente por primera vez. Recuerda que ARPANET (la Red de la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa), la predecesora de Internet, se diseñó como un medio para compartir información de investigación entre el gobierno y las instituciones de desarrollo y educación. La meta era la libertad de información, así como la evolución tecnológica. Por tanto, muchas instituciones del campo de la enseñanza configuraron los primeros sistemas informáticos con poco o ninguna seguridad. Un famoso defensor del software libre, Richard Stallman, incluso rehusó proteger su cuenta con una contraseña.

Pero al empezar a utilizarse Internet para el comercio electrónico los peligros de la poca seguridad en nuestro mundo conectado han cambiado dramáticamente. Desplegar más tecnología no va a solucionar el problema de la seguridad humana.

Tan solo fíjate en los aeropuertos de la actualidad. La seguridad ha llegado a ser algo fundamental, incluso nos alarmamos cuando los medios informan de viajeros que han sido capaces de eludir la seguridad y pasar a través de los puestos de control llevando armas potenciales. ¿Cómo es esto posible en un tiempo en el que nuestros aeropuertos están en un estado de alerta? ¿Están fallando los detectores de metal? No. El problema no son las máquinas. El problema es el factor humano. La gente que maneja las máquinas. Los oficiales de aeropuerto pueden reunir a la Guardia Nacional e instalar detectores de metales y sistemas de reconocimiento facial pero probablemente es mucho más útil educar al personal de primera línea de seguridad sobre cómo examinar correctamente a los pasajeros.

Se da el mismo problema en las instituciones gubernamentales, de negocios y enseñanza por todo el mundo. A pesar de los esfuerzos de los profesionales de la seguridad, la información sigue siendo vulnerable en todas partes y continuará siendo vista como un blanco perfecto por los atacantes con habilidades de ingeniería social, a menos que el eslabón más débil de la cadena de la seguridad, el factor humano, se fortalezca.

Ahora más que nunca antes hemos aprendido a abandonar las ilusiones y hemos llegado a ser más conscientes de las técnicas que utilizan quienes intentan atacar la confidencialidad, integridad y disponibilidad de nuestras redes y sistemas informáticos. Hemos llegado a aceptar la necesidad de pensar de modo defensivo; es hora de aceptar y aprender la práctica de la informática defensiva.

La amenaza de una intrusión que viola tu privacidad, tu mente o los sistemas de información de tu empresa puede parecer irreal hasta que sucede. Para evitar dicha costosa dosis de realidad, todos necesitamos llegar a ser conscientes, educados, vigilantes y agresivamente protectores de nuestros recursos de información, nuestra propia información personal y nuestras infraestructuras críticas a nivel nacional. Y debemos implementar dichas precauciones hoy.


LOS TERRORISTAS Y EL ENGAÑO
Desde luego, el engaño no es una herramienta exclusiva del ingeniero social. El terrorismo real llena los titulares y hemos llegado a entender como nunca antes que el mundo es un lugar peligroso. La civilización es, después de todo, solo una fina capa.

Los ataques en Nueva York y Washington, D.C. en Septiembre de 2001 infundieron tristeza y temor en los corazones de todos nosotros – no solo los americanos, sino personas de todas las naciones –. Ahora estamos alerta por el hecho de que hay terroristas insistentes por todo el planeta, bien entrenados y a la espera de lanzar próximos ataques contra nosotros.

El esfuerzo recientemente intensificado por nuestro gobierno ha aumentado los niveles de nuestro sentido de la seguridad. Necesitamos permanecer alerta, atentos contra cualquier forma de terrorismo. Necesitamos entender cómo los terroristas crean falsas identidades a traición, asumiendo roles como estudiantes o vecinos y mezclándose con la multitud. Enmascaran sus auténticas creencias mientras traman contra nosotros – practicando ardides de engaño similares a los que leerás en estas páginas –.

Y aunque, hasta donde yo sé, los terroristas aún no han utilizado artimañas de ingeniería social para infiltrarse en compañías, plantas depuradoras de agua, instalaciones de energía eléctrica u otras partes vitales de nuestra infraestructura nacional, la posibilidad está ahí. Es demasiado fácil. La política de seguridad y concienciación sobre la seguridad que espero se ponga en marcha y se lleve a cabo por la alta dirección empresarial debido a este libro llegará justo a tiempo.


SOBRE ESTE LIBRO
La seguridad corporativa es una cuestión de equilibrio. Muy poca seguridad deja desprotegida tu compañía pero un énfasis excesivo en la seguridad se interpone en el camino de la gestión del negocio, estorbando el crecimiento y la prosperidad de la empresa.

Otros libros sobre seguridad corporativa se centran en la tecnología de hardware y software pero no cubren adecuadamente la amenaza más seria de todas: el engaño humano. El propósito de este libro, en cambio, es ayudarte a entender cómo tú, tus compañeros de trabajo y otras personas de tu compañía estáis siendo manipuladas y las barreras que debes erigir para que dejéis de ser víctimas. El libro se concentra principalmente en los métodos no técnicos que los enemigos intrusos utilizan para robar información, comprometer la integridad de la información que se cree segura pero no lo es o destruir el producto del trabajo de la compañía.

Mi labor es más difícil debido a una simple verdad: Cada lector habrá sido manipulado por los mayores expertos de todos los tiempos en ingeniería social – sus padres –. Ellos encontraron maneras – “por tu propio bien” – de que hicieras lo que ellos pensaban que era lo mejor. Los padres llegan a ser grandes narradores de cuentos del mismo modo que los ingenieros sociales crean hábilmente historias, razones y excusas creíbles para lograr sus metas. Sí, todos nosotros fuimos moldeados por nuestros padres: ingenieros sociales bondadosos (y a veces no tanto).

Condicionados por esa preparación, hemos llegado a ser sensibles a la manipulación. Nuestra vida sería difícil si siempre tuviéramos que estar en guardia, desconfiando de otros, conscientes de que podemos convertirnos en la víctima de alguien que intenta aprovecharse de nosotros. En un mundo perfecto confiaríamos implícitamente en otros, seguros de que la gente con la que nos encontráramos habría de ser honesta y leal. Pero no vivimos en un mundo perfecto y tenemos que actuar según una pauta de cautela para repeler los esfuerzos engañosos de nuestros adversarios.

Las secciones principales de este libro, las Partes 2 y 3, están compuestas de relatos que muestran a los ingenieros sociales en acción. En estas secciones leerás sobre:

Lo que los phreakers descubrieron hace años: Un afinado método para conseguir un número de teléfono no registrado de la compañía telefónica.

Diferentes métodos variados que utilizan los atacantes para convencer incluso a los empleados suspicaces y alertos de que revelen sus nombres de usuario y contraseñas.

Cómo cooperó un responsable de un Centro de Operaciones para permitir que un asaltante robara la información del producto más secreto de su compañía.

Los métodos de un delincuente que engañó a una señorita para que descargara un programa espía que grabó todas las teclas que ella presionó y lo envió por email a él.

Cómo los investigadores privados consiguen información sobre tu empresa y sobre ti a título personal, lo que casi puedo garantizarte que enviará un escalofrío por tu columna vertebral.

Según vayas leyendo algunas de las historias de las Partes 2 y 3 puede que creas que son imposibles, que nadie pudo tener éxito y salirse con la suya con las mentiras, trucos sucios y métodos descritos en estas páginas. La realidad es que en cada supuesto, estos relatos pintan sucesos que pueden ocurrir y de hecho ocurren; muchos de ellos se están dando cada día en algún lugar del planeta, puede que incluso en tu empresa mientras está leyendo este libro.

El contenido de este libro será revelador ya que servirá para proteger tu negocio pero también a nivel personal para desviar los progresos de un ingeniero social y así proteger la integridad de la información en tu vida privada.

En la Parte 4 del libro subo de nivel. Mi meta aquí es ayudarte a crear las directivas de negocio y la formación de sensibilización necesarias para minimizar las posibilidades para que tus empleados sean engañados por un ingeniero social. Entender las estrategias, métodos y tácticas del ingeniero social te ayudará a prepararte para desplegar controles razonables que salvaguarden tus equipos informáticos sin afectar a la productividad de tu empresa.

En resumen, he escrito este libro para llamar tu atención sobre la seria amenaza que supone la ingeniería social y ayudar a cerciorarte de que tu compañía y tus empleados son menos susceptibles de ser explotados de este modo.

O quizá debería decir, mucho menos susceptibles de ser estafados de nuevo.