Sin lugar a ningún tipo de duda, el cracker (Hacker para la prensa) más famoso es Kevin D. Mitnick. Este señor ha realizado numerosas intrusiones ilegales en muchas de las grandes empresas de telecomunicaciones. Este “hobby” suyo le llevo a pasar entrerrejas una buena temporada y a que se le prohibiese utilizar ningún aparato susceptible de poder conectarse en red: teléfonos móviles, ordenadores, televisores, …
El chico ya está reinsertado y se dedica actualmente a la consultoría informática sobre seguridad y ya puestos ha escrito un libro: The Art of Deception: Controlling the Human Element of Security. (Kevin D. Mitnick, William
L. Simon; Octubre 2002).
Lo curioso del caso es que Kevin, que aun siendo un autentico crack de la seguridad y la informática, la mayor parte de las infiltraciones las ha realizado atacando el eslabón más débil de la cadena, que no es otro que el humano.
En el libro muestra múltiples casos de Ingeniería Social, así se llama al arte del engaño de las personas, que utilizó en su día para conseguir la información necesaria para sus incursiones.
Aquí pongo un caso creado por Alvy de microsiervos, que sigue la línea de los que muestra Kevin en el libro. Primero consigue nombre de empleados, luego se hace pasar por uno de ellos para que le envien la información dentro de la empresa y por último pide que le reenvien la información de dentro de la empresa a fuera de ella.

Llamada 1
Recepcionista: XYZ Corp, buenos días, ¿en qué puedo ayudarle?
H: Hola, somos una agencia de prensa y querríamos enviar una carpeta con información corporativa a su director de marketing, para que la evaluara ¿podría decirme su nombre y dirección?
R: Si, puede enviarlas a Mark Ethin, a la dirección (…)
H: ¿Por casualidad no tendrán ustedes a alguien más de marketing en otra sucursal?
R: Si, también está Peter Webber en la sucursal de (…)
H: ¿Y el número de fax de la central, para ponerlo en mi ficha de contactos?
R: El 212-555-1234
H: Gracias por la información, me ha resultado de mucha ayuda.

LLamada 2
R: Sucursal XYZ Corp, ¿dígame?
H: Hola, querría hablar con Peter Webber de Marketing, te llamo desde la oficina de Mark Ethin en la central.
R: Te paso.
Peter: Sí, ¿dígame?
H: Hola Peter, a ver si puedes ayudarme. Me llamo Hank y soy nuevo en la empresa. Trabajo en Marketing con Mark Ethin en la oficina central desde hace unos días. Mark está fuera de la oficina y me ha encargado conseguirle una copia impresa del último plan de marketing. Pero al parecer hay algún problema con mi PC porque no han terminado de instalarlo bien y no puedo acceder a la intranet. He pensado que tal vez tu lo tengas. Corre un poco de prisa, la verdad, y ya sabes que en arreglar los PCs tardan una barbaridad aquí.
P: Sí, bueno… tengo la copia que nos envió el otro día.
H: De acuerdo, entonces, ¿podrías mandárnosla a la central? No se si mi email funcionará… Lo más práctico sería que nos lo enviaras por fax a recepción, ya sabes, al 212-555-1234.
P: De acuerdo, al número de siempre. Va para allá.
H: Recuerda ponerlo a mi nombre, Hank Kerson. Yo se lo haré llegar a Mark. ¡Gracias!

Llamada 3 (horas después)
Recepcionista: XYZ Corp, buenos días, ¿en qué puedo ayudarle?
H: Hola, me llamo Hank Kerson, a ver si puedes echarme una mano… Trabajo en una consultora externa para el departamento de Marketing, y estamos terminando un proyecto con cierta urgencia. Peter Webber de vuestra otra sucursal tenía que haberme enviado hace unas horas un fax con cierta información, pero no me ha llegado. He preguntado allí y al parecer alguien se equivocó de número y lo ha enviado al fax de vuestra oficina principal, aunque el fax está a mi nombre.
R: Sí, lo tengo por aquí, pone “Hank Kerson”, me extrañó al recibirlo porque aquí no trabaja nadie con ese nombre.
H: Ah, perfecto, es el mío. Debe tener ciertos datos de marketing, ¿verdad?
R: Sí, pone algo de “plan de marketing”
R: Ese es… Entonces, ¿no te importaría reenviarmelo al 212-555-9876?
R: No hay problema, va para allá, lo tendrás en cinco minutos.
H: ¡Gracias! Enviaré un correo a Peter para decirle que todo está solucionado.

[Finalmente, Hank se dirige a la copistería más cercana y recoge allí el fax con el plan de marketing de la compañía XYZ.]

Anuncios