PARTE 1
ENTRE BASTIDORES
Capítulo 1 - El eslabón más débil de la seguridad
Una compañía quizá haya adquirido las mejores tecnologías de
seguridad que el dinero pueda comprar, entrenado a su gente tan bien como para
que guarde sus secretos bajo llave antes de marchar por la noche y contratado
vigilantes de instalaciones a la mejor empresa del sector.
La empresa aún es totalmente vulnerable.
Los individuos pueden seguir toda práctica de seguridad
recomendada por los expertos, instalar todos los productos de seguridad
aconsejables y estar totalmente atentos en cuanto a la correcta configuración
del sistema y la instalación de parches de seguridad.
Esos individuos aún son completamente vulnerables.
EL FACTOR HUMANO
Al testificar ante el Congreso no hace demasiado tiempo,
expliqué que a menudo pude conseguir contraseñas y otros fragmentos de
información sensible de varias compañías simulando ser uno más y únicamente pidiéndolas.
Es natural anhelar un sentimiento de total seguridad,
conduciendo a mucha gente a asentarse en un falso sentido de seguridad. Piensa
en el responsable y amoroso dueño de una casa que tiene una cerradura con
pestillo instalada en la puerta principal para proteger a su esposa, sus hijos
y su casa. Él se siente satisfecho al haber hecho que su familia esté mucho más
segura contra los intrusos. Pero, ¿qué hay del intruso que rompe una ventana o
piratea el código de la puerta del garaje? ¿Y si se instalar un robusto sistema
de seguridad? Mejor, pero no es una garantía total. Con bloqueos caros o sin
ellos, el dueño sigue siendo vulnerable.
¿Por qué? Porque el factor humano es en realidad el eslabón más débil de la seguridad.
La seguridad a menudo es simplemente una ilusión, una
ilusión a menudo empeorada cuando la credulidad, la inocencia o la ignorancia
entran en juego. El científico más respetado por todo el mundo en el siglo
veinte, Albert Einstein, dijo lo siguiente: “Solo dos cosas son infinitas, el
universo y la estupidez humana. No estoy seguro de la primera.” Al final, los
ataques de ingeniería social pueden tener éxito cuando la gente es estúpida o,
por lo general, simplemente ignorante sobre las buenas prácticas de seguridad.
Con la misma actitud que nuestro propietario consciente de la seguridad, muchos
profesionales de las tecnologías de la información creen erróneamente que han
hecho sus compañías realmente inmunes a los ataques porque han desplegado
productos estándares de seguridad – cortafuegos, sistemas de detección de
intrusos o dispositivos más seguros de autentificación como fichas basadas en
el tiempo o tarjetas inteligentes biométricas –. Cualquiera que crea que solo
los productos de seguridad ofrecen auténtica seguridad está conformándose con la
ilusión de la seguridad. Es un
ejemplo de vivir en un mundo de fantasía: Ellos, tarde o temprano, sufrirán
irremediablemente un incidente relacionado con la seguridad.
Como apuntó el consultor de seguridad Bruce Schneier: “La
seguridad no es un producto, es un proceso”. Aún más, la seguridad no es un
problema tecnológico – es un problema humano y de gestión –.
A medida que los desarrolladores desarrollan continuamente mejores
tecnologías de seguridad, aumentando así la dificultad de aprovecharse las
debilidades técnicas, los atacantes se dirigen cada vez más hacia el elemento
humano para explotarlo. Piratear el cortafuegos humano es a menudo más fácil,
no requiere más inversión que el coste de una llamada y conlleva un riesgo
mínimo.
UN EJEMPLO CLÁSICO DE
ENGAÑO
¿Cuál es la mayor amenaza a la seguridad de los bienes de tu
empresa? Es fácil: el ingeniero social – un mago sin escrúpulos que llama tu
atención sobre su mano izquierda mientras con la derecha roba tus secretos –.
Este perfil es frecuentemente tan amigable, locuaz y servicial que das gracias por
haberlo encontrado.
Dale un vistazo a un ejemplo de ingeniería social. La
mayoría hoy ya no se acordará del joven Stanley Mark Rifkin y su pequeña
aventura con el ya extinto Banco Nacional de Seguridad del Pacífico en Los
Ángeles. Los relatos sobre su huida varían y Rifkin (al igual que yo) nunca
contó su propia versión, así que lo que sigue está basado en informes
publicados.
Pirateo del código
Un día de 1978, Rifking paseaba por la sala de
transferencias electrónicas limitada al personal autorizado de la Seguridad del
Pacífico, donde el personal enviaba y recibía transferencias a diario por valor
de varios miles de millones de dólares.
Él trabajaba para una compañía que lo contrató como
desarrollador de un sistema de respaldo para los datos de la sala segura en
caso de que sus ordenadores principales dejaran de funcionar. Ese puesto le
daba acceso a los procedimientos de las transferencias incluyendo cómo los
empleados del banco gestionaban que se enviaran las transferencias. Él había
aprendido que los empleados autorizados a ordenar transferencias electrónicas
recibían cada mañana un código diario cuidadosamente guardado para utilizarlo en
la sala segura.
En dicho recinto las secretarias solucionaban el problema de
tener que memorizar la clave cada día de la siguiente manera: Ellas escribían
el código en un trozo de papel y lo colgaban en un lugar que pudieran ver con
facilidad. Ese día de noviembre Rifkin tenía un motivo especial para su visita.
Quería echar un vistazo a aquel papel.
Al llegar a la sala segura, él tomó algunas notas de los
procedimientos operativos, supuestamente para asegurarse de que el sistema de
respaldo estuviera en correcta sincronización con los sistemas en
funcionamiento. Mientras tanto, disimuladamente leyó el código de seguridad del
trozo de papel colgado y lo memorizó. Pocos minutos después salió. Como él dijo
posteriormente, se sintió como si hubiera ganado en la lotería.
Hay esta cuenta bancaria
suiza...
Saliendo de la sala a las tres de la tarde, se dirigió sin
demora a un teléfono público en la recepción de mármol del edificio, donde
introdujo una moneda y llamó a la sala de transferencias telefónicas. Él cambió
de sombrero, pasando de ser Stanley Rifkin, consultor bancario, a convertirse
en Mike Hansen, un miembro del Departamento Internacional del banco.
Según cierta fuente, la conversación discurrió poco más o
menos así:
“Hola, soy Mike Hansen de Internacional,” dijo a la joven
que contestó el teléfono.
Ella le pidió el número de oficina. Era un procedimiento
estándar y él estaba preparado: “286”, dijo.
Entonces la chica pregunto: “Bien, ¿cuál es el código?”
Rifkin dijo que en este momento su corazón latió a toda
máquina debido a la adrenalina. Él contestó con suavidad: “4789”. Entonces él
pasó a darle instrucciones para enviar “Diez millones doscientos mil dólares
exactamente” desde la Compañía Irving Trust de Nueva Ýork, al Banco Wozchod
Handels de Zurich, Suiza, donde él previamente había abierto una cuenta.
La mujer dijo: “Estupendo, lo apunté. Y ahora necesito el
número de asentamiento interno”.
Rifkin empezó a sudar; esta era una pregunta que no había
podido anticipar, algo que había caído por las grietas de su investigación.
Pero se las arregló para mantenerse dentro del papel como si todo fuera sobre
ruedas y contestó en el acto sin perder ni un segundo: “Déjame comprobarlo; te
llamaré luego.” Él cambió de nuevo de personaje para llamar a otro departamento
del banco, esta vez diciendo ser un empleado de la sala de transferencias. Él
consiguió el número de asentamiento y llamó de nuevo a la joven.
Ella anotó el número y dijo: “Gracias.” (Dadas las
circunstancias, el darle las gracias a él debía considerarse una auténtica
ironía.)
Rematando el trabajo
A los pocos días Rifkin voló a Suiza, retiró su dinero y
entregó unos 8 millones de dólares a una
agencia rusa a cambio de un puñado de diamantes. Él voló de regreso pasando por
la aduana de Estados Unidos con los diamantes ocultos en un cinturón para
llevar dinero. Había realizado el mayor banco atraco a un banco en la historia
– y lo hizo sin usar ni una pistola, incluso ni un ordenador –. Curiosamente,
su travesura apareció en el Libro
Guinness de los Récords en la categoría de “el mayor fraude informático”.
Stanley Rifkin había utilizado el arte del engaño – las
habilidades y técnicas que hoy conocemos como ingeniería social –. Cuidadosa
planificación y un buen don de palabra fue todo lo que necesitó.
Y de eso trata este libro – las técnicas de ingeniería
social (en las que un servidor es competente) y cómo defenderse de ellas en tu
negocio –.
LA NATURALEZA DE LA
AMENAZA
La historia de Rifkin aclara perfectamente cuán engañoso
puede ser nuestro sentido de la seguridad. Los incidentes como éste – de
acuerdo, puede que no se trate de atracos de 10 millones de dólares, pero los
incidentes dañinos – se dan a diario.
Puede que ahora mismo estés perdiendo dinero o alguien puede estar robando tus
nuevos diseños de productos y ni siquiera lo sepas. Si aún no ha pasado en tu
negocio, no es cuestión de si
sucederá o no sino de cuándo.
Un interés creciente
El Instituto de Seguridad Informática, en su sondeo de
crímenes informáticos de 2001, informó que el 85 por ciento de las empresas
encuestadas había detectado una brecha de seguridad informática durante los
últimos doce meses. Es una cifra pasmosa: Solo 15 de cada 100 empresas pudieron
decir que no había tenido un problema con la seguridad aquel año. Igualmente
asombroso es el número de compañías que admitieron haber tenido pérdidas
financieras debido a problemas de seguridad informática: 64 por ciento.
Bastante más de la mitad de las organizaciones había sufrido pérdidas. En tan solo un año.
Mi experiencia me lleva a creer que las cifras de los
informes como éste a menuda se inflan. Sospecho del registro de los
responsables de esta estadística. Pero con ello no quiero decir que el daño no
sea extenso; lo es. Quienes se equivocan al prevenir un incidente de seguridad
es como si estuvieran planeando un fallo.
Los productos de seguridad comercial desplegados en muchas
empresas están principalmente dirigidos a suministrar protección contra el
intruso informático aficionado, como los jóvenes conocidos como niños de los
scripts. De hecho, estos aprendices de hacker con sus programas descargados son
poco más que una molestia. Las mayores pérdidas, las auténticas amenazas,
provienen de atacantes sofisticados con objetivos bien definidos que están
motivados por el beneficio económico. Estas personas se centran en un único
blanco en lugar de, como los aficionados, intentar infiltrarse en tantos
sistemas como sea posible. Mientras que los intrusos amateurs buscan la
cantidad, los profesionales persiguen información valiosa y de calidad.
Las tecnologías como los dispositivos de autenticación (para
identificarse), control de acceso (para gestionar el acceso a los ficheros y
recursos del sistema) y los sistemas de detección de intrusos (el equivalente
electrónico de las alarmas antirrobo) son necesarios para un programa de
seguridad corporativo. Aún es típico hoy el que una compañía gaste más dinero
en café que en implementar contramedidas para proteger la organización contra
ataques de seguridad.
Tal como la mente del criminal no puede resistir la
tentación, la mente del hacker se dirige a encontrar vías en torno a las
protecciones de la poderosa tecnología de seguridad. Y en muchos casos, lo hace
dirigiéndose a las personas que utilizan la tecnología.
Prácticas engañosas
Hay un dicho popular que dice que el ordenador seguro es el
que está apagado. Ingenioso, pero falso: El buscador de pretextos simplemente
le dice a alguien que vaya a la oficina y encienda el ordenador. Un adversario
que quiere tu información la puede obtener, por lo general, de cualquier manera
entre varias. Es solo cuestión de tiempo, paciencia, personalidad y
persistencia. Aquí es donde el arte del engaño entra en juego.
Para derrotar las medidas de seguridad, un atacante, intruso
o ingeniero social debe encontrar una manera de engañar a un usuario confiado
para que este revele información, o engañar a un blanco incauto que le dé
acceso. Cuando los empleados confiados son engañados, influidos o manipulados
para revelar información sensible o realizar acciones que creen un agujero de
seguridad para que se cuele el atacante, no existe tecnología en el mundo que
pueda proteger un negocio. Así como los analistas criptográficos a veces pueden
descubrir el texto oculto en un mensaje codificado encontrando una debilidad
que les permita saltarse la tecnología de encriptación, los ingenieros sociales
utilizan la práctica del engaño en tus empleados para saltarse la tecnología de
seguridad.
ABUSO DE CONFIANZA
En muchos casos, los ingenieros sociales que tienen éxito
poseen grandes habilidades sociales. Son encantadores, educados y caen bien
–características sociales necesarias para establecer una comunicación rápida y
confiable–. Y el ingeniero social experimentado es capaz de conseguir acceso a
cualquier información deseada utilizando las estrategias y tácticas de su arte.
Los inteligentes expertos han desarrollado meticulosamente
soluciones de seguridad de la información para minimizar los riesgos
relacionados con el uso de los ordenadores, dejando así desatendida la mayor
flaqueza, el factor humano. A pesar de nuestro intelecto, nosotros los humanos
–tú, yo y todos los demás– suponemos la mayor amenaza para la seguridad ajena.
Nuestro Carácter
Nacional
No somos conscientes de la amenaza, especialmente en el
mundo Occidental. En los Estados Unidos por encima de todo, no se nos educa
para sospechar unos de otros. Se nos enseña a “amar a tu prójimo” y a tener fe
y confianza en los demás. Considera cuán difícil es para las organizaciones de
vigilancia vecinal conseguir que la gente bloquee sus coches y sus casas. Este
tipo de inseguridad es obvia y aún parece ser ignorada por muchos que prefieren
vivir en un mundo de ensueño –hasta que se queman–.
Sabemos que no todas las personas son amables y honestas,
pero demasiado a menudo nos comportamos como si lo fueran. Su adorable
inocencia ha sido la fábrica de los sueños de los americanos y es doloroso
renunciar a ella. Como nación hemos incorporado a nuestro concepto de libertad
la idea de que los mejores lugares para vivir son aquellos en los que las
cerraduras y las llaves son casi innecesarias.
Mucha gente sigue creyendo que no serán engañados por otros,
basándose en la idea de que la probabilidad de serlo es muy pequeña; el
atacante, consciente de esta creencia tan común, hace que su petición suene tan
razonable que no levanta ninguna sospecha, mientras se aprovecha de la
confianza de la víctima.
Inocencia organizativa
El hecho de que esa inocencia sea una parte de nuestro
carácter nacional fue evidente hace tiempo cuando los ordenadores fueron
conectados remotamente por primera vez. Recuerda que ARPANET (la
Red de la Agencia de Proyectos de Investigación Avanzada del Departamento de
Defensa), la predecesora de Internet, se diseñó como un medio para compartir
información de investigación entre el gobierno y las instituciones de
desarrollo y educación. La meta era la libertad de información, así como la
evolución tecnológica. Por tanto, muchas instituciones del campo de la
enseñanza configuraron los primeros sistemas informáticos con poco o ninguna
seguridad. Un famoso defensor del software libre, Richard Stallman, incluso
rehusó proteger su cuenta con una contraseña.
Pero al empezar a utilizarse Internet para el comercio
electrónico los peligros de la poca seguridad en nuestro mundo conectado han
cambiado dramáticamente. Desplegar más tecnología no va a solucionar el
problema de la seguridad humana.
Tan solo fíjate en los aeropuertos de la actualidad. La
seguridad ha llegado a ser algo fundamental, incluso nos alarmamos cuando los
medios informan de viajeros que han sido capaces de eludir la seguridad y pasar
a través de los puestos de control llevando armas potenciales. ¿Cómo es esto posible
en un tiempo en el que nuestros aeropuertos están en un estado de alerta?
¿Están fallando los detectores de metal? No. El problema no son las máquinas.
El problema es el factor humano. La gente que maneja las máquinas. Los oficiales
de aeropuerto pueden reunir a la Guardia Nacional e instalar detectores de
metales y sistemas de reconocimiento facial pero probablemente es mucho más útil
educar al personal de primera línea de seguridad sobre cómo examinar
correctamente a los pasajeros.
Se da el mismo problema en las instituciones
gubernamentales, de negocios y enseñanza por todo el mundo. A pesar de los
esfuerzos de los profesionales de la seguridad, la información sigue siendo
vulnerable en todas partes y continuará siendo vista como un blanco perfecto
por los atacantes con habilidades de ingeniería social, a menos que el eslabón
más débil de la cadena de la seguridad, el factor humano, se fortalezca.
Ahora más que nunca antes hemos aprendido a abandonar las
ilusiones y hemos llegado a ser más conscientes de las técnicas que utilizan
quienes intentan atacar la confidencialidad, integridad y disponibilidad de
nuestras redes y sistemas informáticos. Hemos llegado a aceptar la necesidad de
pensar de modo defensivo; es hora de aceptar y aprender la práctica de la
informática defensiva.
La amenaza de una intrusión que viola tu privacidad, tu
mente o los sistemas de información de tu empresa puede parecer irreal hasta
que sucede. Para evitar dicha costosa dosis de realidad, todos necesitamos
llegar a ser conscientes, educados, vigilantes y agresivamente protectores de
nuestros recursos de información, nuestra propia información personal y
nuestras infraestructuras críticas a nivel nacional. Y debemos implementar
dichas precauciones hoy.
LOS TERRORISTAS Y EL
ENGAÑO
Desde luego, el engaño no es una herramienta exclusiva del
ingeniero social. El terrorismo real llena los titulares y hemos llegado a
entender como nunca antes que el mundo es un lugar peligroso. La civilización
es, después de todo, solo una fina capa.
Los ataques en Nueva York y Washington, D.C. en Septiembre
de 2001 infundieron tristeza y temor en los corazones de todos nosotros – no
solo los americanos, sino personas de todas las naciones –. Ahora estamos
alerta por el hecho de que hay terroristas insistentes por todo el planeta,
bien entrenados y a la espera de lanzar próximos ataques contra nosotros.
El esfuerzo recientemente intensificado por nuestro gobierno
ha aumentado los niveles de nuestro sentido de la seguridad. Necesitamos
permanecer alerta, atentos contra cualquier forma de terrorismo. Necesitamos
entender cómo los terroristas crean falsas identidades a traición, asumiendo roles
como estudiantes o vecinos y mezclándose con la multitud. Enmascaran sus auténticas
creencias mientras traman contra nosotros – practicando ardides de engaño
similares a los que leerás en estas páginas –.
Y aunque, hasta donde yo sé, los terroristas aún no han
utilizado artimañas de ingeniería social para infiltrarse en compañías, plantas
depuradoras de agua, instalaciones de energía eléctrica u otras partes vitales
de nuestra infraestructura nacional, la posibilidad está ahí. Es demasiado
fácil. La política de seguridad y concienciación sobre la seguridad que espero se
ponga en marcha y se lleve a cabo por la alta dirección empresarial debido a
este libro llegará justo a tiempo.
SOBRE ESTE LIBRO
La seguridad corporativa es una cuestión de equilibrio. Muy
poca seguridad deja desprotegida tu compañía pero un énfasis excesivo en la
seguridad se interpone en el camino de la gestión del negocio, estorbando el
crecimiento y la prosperidad de la empresa.
Otros libros sobre seguridad corporativa se centran en la
tecnología de hardware y software pero no cubren adecuadamente la amenaza más
seria de todas: el engaño humano. El propósito de este libro, en cambio, es
ayudarte a entender cómo tú, tus compañeros de trabajo y otras personas de tu
compañía estáis siendo manipuladas y las barreras que debes erigir para que
dejéis de ser víctimas. El libro se concentra principalmente en los métodos no
técnicos que los enemigos intrusos utilizan para robar información, comprometer
la integridad de la información que se cree segura pero no lo es o destruir el producto
del trabajo de la compañía.
Mi labor es más difícil debido a una simple verdad: Cada
lector habrá sido manipulado por los mayores expertos de todos los tiempos en
ingeniería social – sus padres –. Ellos encontraron maneras – “por tu propio
bien” – de que hicieras lo que ellos pensaban que era lo mejor. Los padres
llegan a ser grandes narradores de cuentos del mismo modo que los ingenieros
sociales crean hábilmente historias, razones y excusas creíbles para lograr sus
metas. Sí, todos nosotros fuimos moldeados por nuestros padres: ingenieros
sociales bondadosos (y a veces no tanto).
Condicionados por esa preparación, hemos llegado a ser
sensibles a la manipulación. Nuestra vida sería difícil si siempre tuviéramos
que estar en guardia, desconfiando de otros, conscientes de que podemos
convertirnos en la víctima de alguien que intenta aprovecharse de nosotros. En
un mundo perfecto confiaríamos implícitamente en otros, seguros de que la gente
con la que nos encontráramos habría de ser honesta y leal. Pero no vivimos en
un mundo perfecto y tenemos que actuar según una pauta de cautela para repeler
los esfuerzos engañosos de nuestros adversarios.
Las secciones principales de este libro, las Partes 2 y 3,
están compuestas de relatos que muestran a los ingenieros sociales en acción.
En estas secciones leerás sobre:
Lo que los phreakers descubrieron hace años: Un afinado método
para conseguir un número de teléfono no registrado de la compañía telefónica.
Diferentes métodos variados que utilizan los atacantes para
convencer incluso a los empleados suspicaces y alertos de que revelen sus nombres
de usuario y contraseñas.
Cómo cooperó un responsable de un Centro de Operaciones para
permitir que un asaltante robara la información del producto más secreto de su
compañía.
Los métodos de un delincuente que engañó a una señorita para
que descargara un programa espía que grabó todas las teclas que ella presionó y
lo envió por email a él.
Cómo los investigadores privados consiguen información sobre
tu empresa y sobre ti a título personal, lo que casi puedo garantizarte que enviará
un escalofrío por tu columna vertebral.
Según vayas leyendo algunas de las historias de las Partes 2
y 3 puede que creas que son imposibles, que nadie pudo tener éxito y salirse
con la suya con las mentiras, trucos sucios y métodos descritos en estas
páginas. La realidad es que en cada supuesto, estos relatos pintan sucesos que
pueden ocurrir y de hecho ocurren; muchos de ellos se están dando cada día en
algún lugar del planeta, puede que incluso en tu empresa mientras está leyendo
este libro.
El contenido de este libro será revelador ya que servirá
para proteger tu negocio pero también a nivel personal para desviar los progresos
de un ingeniero social y así proteger la integridad de la información en tu
vida privada.
En la Parte 4 del libro subo de nivel. Mi meta aquí es
ayudarte a crear las directivas de negocio y la formación de sensibilización necesarias
para minimizar las posibilidades para que tus empleados sean engañados por un
ingeniero social. Entender las estrategias, métodos y tácticas del ingeniero
social te ayudará a prepararte para desplegar controles razonables que
salvaguarden tus equipos informáticos sin afectar a la productividad de tu empresa.
En resumen, he escrito este libro para llamar tu atención
sobre la seria amenaza que supone la ingeniería social y ayudar a cerciorarte
de que tu compañía y tus empleados son menos susceptibles de ser explotados de
este modo.
O quizá debería decir, mucho menos susceptibles de ser estafados
de nuevo.
