Hace ya algunos meses que leí un libro de Christopher Hadnagy titulado (en español) “Ingenieria Social – El arte de hackear humanos” que hablaba sobre la ingeniería social, y como muchos tienen mitos y verdades acerca de esta “ciencia” o mas bien, después de leer el libro, yo lo llamaría arte, algunos dicen que se trata de xploits en donde engañas a una persona para que te de su clave de correo electrónico a través de un clon perfecto de la pagina de inicio de un reconocido proveedor de correo electrónico, otros dicen que son trucos mentales para obtener pizza gratis, y otros dicen que son solo mitos de por ahí.
Bien el motivo de este post es compartir los conocimientos que adquirí leyendo el libro, el cual confieso me gusto mucho, y quizás alumbrar a aquel que lo lea completo en algunos de los ataques de los que podríamos ser victimas día a día o bien, aplicarlos para probar la seguridad de algún sistema.
Bien según mi entender la ingeniería social nace de la idea de que el elemento mas débil de cualquier sistema, por seguro que sea, es el elemento humano, es decir pues, las personas mismas. Para ilustrar esto voy a poner una narración que leí en el libro según mi memoria de pescado me lo vaya permitiendo.
El relato comienza con que el “ingeniero social” es contratado por la empresa “X” que se jactaba de tener una seguridad impenetrable para que hiciera algunas pruebas e intentara penetrar en el sistema y extraer informaciones relevantes. Haciendo uso de la internet el averigua el nombre de uno de los gerentes financieros de dicha compañía y tiene acceso a su fotografía, y tras unos días de vigilar cuidadosamente los accesos del edificio, nota que indefectiblemente este gerente financiero pasa todas las mañanas por un café en una tienda de conveniencia cercana y se sienta unos momentos a leer el periódico. Así que el ingeniero social planea su ataque, y cuando la victima entra en la tienda de conveniencia el se forma atrás de el, toma nota de lo que pide y pide lo mismo, luego espera a que se siente y procura sentarse cerca, el encabezado del periódico le ayuda a entablar una conversación, “small talk” que le dicen el encabezado era sobre un reciente asesinato en el area.
- Ingeniero Social: Que cosa mas terrible no?
- CFO: Perdon?
- Ingeniero Social: lo del asesinato, no es común ver cosas así en ciudades tan pequeñas como esta, usted es de los alrededores o solo esta de paso como yo:?
- CFO: No me mude cuando obtuve mi actual trabajo
- Ingeniero Social: no me diga! yo soy vendedor de seguros corporativos, y solo estoy de paso para ver si puedo hacer algo de networking… usted no parece ser el tipo de persona que tiene algún cargo importante no?
- CFO: (ya con el orgullo tocado) Pues va usted a saber que si, soy el CFO de la compañia “X”
- Ingeniero Social: (Bingo!) A vaya, pues disculpe usted, de casualidad no tendrá algún tiempo esta semana, el miércoles tal vez para que charlemos en su oficina sobre mis productos, estoy seguro que podría verse beneficiado.
- CFO: No esta semana no, salgo de vacaciones, pero quizás la semana que viene. (le da una tarjeta)
- Ingeniero Social: Va algún lugar muy especial supongo?
- CFO: No, solo uno de esos paquetes de crucero con mi esposa.
La charla termina y cada quien se va por su lado, pero el Ingeniero Social se lleva consigo valiosa información que le podría servir para comprometer la seguridad del lugar. El miércoles siguiente el ingeniero social se presenta en la recepción y astuto como un zorro le dice a la recepcionista:
- Ingiero Social: Hola! estoy aquí por mi cita con el Sr. “X”, se encuentra el?
- Recepcionista: Oh lo siento mucho, el salio de vacaciones ayer
- Ingeniero Social: (fingiendo una gran vergüenza) Ohhh no puede ser! como pude olvidarlo, creí que su crucero salia hasta el próximo jueves! como pude ser tan torpe!? vaya que bochorno…
- Recepcionista: (sintiendo algo de compasión por el) Ah lo siento mucho cariño, deseas que le de algún recado?
- Ingeniero Social: Cielos no! me daría mucha vergüenza que lo hicieras seria mejor que ni le mencionaras que estuve aquí, yo tratare de venir cuando el regrese.
- Recepcionista: De acuerdo! 🙂
Luego el se da vuelta, y aprovechando la escena regresa al escritorio como si algo se le hubiese olvidado, y le pregunta:
- Ingeniero Social: Oye de casualidad podría usar su baño, bebí mucho café y me espera un largo recorrido.
- Recepcionista: (inocente e indefensa) Claro! (y le abre la puerta)
Acto seguido el Ingeniero Social entra al baño, e intencionalmente deja en uno de los lavamanos un sobre con una etiqueta de letras rojas que dice “CONFIDENCIAL” y un pendrive adentro, y todo lo que tuvo que hacer a partir de ahí fue esperar a que algún curioso insertara el pendrive en su equipo para que un “autorun” inyectara toda clase de software malicioso, comprometiendo la red completa del edificio.
Vaya! que fácil parece! es probable que el caso sea ficticio pero aun así ilustra muy bien lo que el libro trata de explicar nuestro amigo se valió de las siguientes cosas para su éxito, en este orden:
- Recopilación de datos (el Internet)
- Elicitación (recolectar información haciendo las preguntas correctas -> las vacaciones)
- El pretexto (Tengo una cita con el señor “X”)
- Compenetración (se hace amigo de la recepcionista)
- Penetración del sistema
En 5 sencillos pasos! después de leer esto seguro ya no hablo la verdad con nadie! tengo un nombre falso, profesión y hasta hobbies planeados en caso de ser atacado, no es que yo sea un importante hombre de negocios pero nunca es bueno divulgar información así de fácil.
El libro cubre una vastedad inmensa de temas que el ingeniero social debe aprender, sobre las cuales podemos incluir:
- Lenguaje corporal
- Modelos de comunicación
- Comunicación no verbal
Entre otros. También hace mención al sitio social-engineer.org el cual contiene excelente material para aprender mas sobre el tema. Yo encuentro particularmente fascinantes los siguientes temas:
Y así muchos mas! es fascinante y me gustaría algún día escribir en este blog si logro “hackear” a alguien *risa malvada*
Y bueno, para todos aquellos que leyeron este post hasta el final les dejo el libro en pdf, esta en ingles, pero apuesto a que su curiosidad va mas allá de la barrera idiomatica.
Seria genial si alguien comenta sobre el tema, y adentrarnos en una discusión intelectual :3
Hola, había escuchado la historia, con otro camino, donde el CFO se hace amigo del atacante.
fue un muy buen relato. Saludos.