Human Hacking: ataques tecnológicos que explotan vulnerabilidades no tecnológicas

Siendo estrictos, es preciso diferenciar cuándo un ataque de ingeniería social (en adelante IS) es puramente digital o clásico, para poder percibir la gravedad de la presente situación. Con clásico nos referimos a aquel ataque de IS que emplea los medios de comunicación para alcanzar su fin (sin usar la tecnología), y por tanto, necesita una interacción voluntaria por parte de la víctima (debe al menos leerlo). En cambio, en los casos de IS digital, la interacción suele producirse de forma que la víctima no es consciente (la información que recibe no va destinada a interpretación o lectura), y precisamente por ello escribimos este artículo, pues cabe la posibilidad de ser manipulado sin siquiera percibirlo, lo cual constituye una amenaza muy seria. Ambos son engaños que emplean el descuido como vía de explotación, aunque con sutiles diferencias.



Antes de continuar, debemos introducir algunos conceptos más para entender la complejidad del asunto. Generalmente, con el fin de proteger nuestra red empresarial, se emplean diversos dispositivos y software actualizado, tales como firewalls y antivirus (genéricamente hablando para simplificar la exposición). Esto quiere decir que si alguien trata de introducir amenazas previamente conocidas como un virus, un troyano o simplemente entrar por alguno de los puertos, no tendrá éxito porque tanto el firewall, que en nuestro hipotético caso sólo permite tráfico por el puerto 80, como el antivirus, están realizando correctamente su trabajo, es decir, la red está blindada.



Para poder burlar este blindaje, se emplean distintos métodos, por lo que nos encontramos con diversas amenazas, destacando las “Subversive Multivector Threats” o SMT que son tácticas de ataque que combinan procedimientos físicos con digitales (a diferencia de las famosas APT que son estrictamente digitales), es decir, son obras maestras del espionaje corporativo. El caso es que son frecuentes, si uno dedica tiempo a su detección y estudio, aunque como sucede con el cáncer, hay que estar muy atento. Sin embargo, el grado de atención requerido es muy alto a la par que caro, al menos, durante esta transición en la que aún no se percibe la realidad digital como parte de la realidad global (física + digital). 



El caso, es que en el 99% de los cursos que se imparten por el mundo sobre Test de Intrusión (PenTest), se usa el ejemplo del coleccionista, para evidenciar la simplicidad con la que puede accederse a una red corporativa sin gran esfuerzo (tanto las SMT como las APT son altamente complejas y requieren gran esfuerzo). Aunque en la mayoría de las ocasiones, en auditoría se “procura” emplear la IS sólo como último recurso, instintivamente sabiendo que casi seguro que funcionará, pues hace falta que sólo un empleado caiga en la trampa. 



Lo más curioso, es que no es necesario tener unos amplios conocimientos para lanzar ataques de IS digital. Para ello ya existe el Social-Engineer Toolkit más conocido como SET, que es un conjunto de herramientas especialmente diseñadas para realizar ataques de IS. En concreto, usando el modo “Tabnabbing” podemos enviar a una posible víctima un enlace que, a través del puerto 80, (recuerden que en nuestro ejemplo, siempre está abierto para tener acceso a Internet) inicia en nuestro navegador una página que tarda en cargar. La tónica general es abrir otra pestaña o cambiarnos a la anterior mientras carga la pendiente, y es en ese momento, cuando aparece una página clonada de Facebook, Gmail o cualquier otra que solicite credenciales de acceso (que es lo que generalmente se persigue con este método en concreto). Si tuviéramos el descuido de iniciar sesión en esa pestaña, habríamos regalado al atacante nuestras credenciales secretas.



Según todo lo anterior y en vista del gran despliegue de medios para blindar las redes corporativas, es preciso recomendar que se incida en la prevención de este tipo de ataques, si queremos que nuestra inversión en seguridad proporcione un ROI (retorno de inversión), ya que si contamos con la vanguardia en medidas de protección de intrusión, pero seguimos sin prestar atención al eslabón más débil (el hombre), las pérdidas, tanto en reputación como en ingresos efectivos, no serán sostenibles.



Un enfoque sencillo (explotar hábitos de navegación en este caso) facilita la vida al hacker. Ese mismo enfoque podría evitar la pérdida de muchos euros. No hay que invertir más, pero sí mejor.

Eduardo J Orenes Nicolás (CISSP / Security+ / eCPPT / ACE)
Jefe del Gabinete Criptográfico y Coordinador de la Oficina de Seguridad de la Información de la Armada