• Author / Uploaded
• Raul Treviño

Citation preview

Cómo prevenir el sabotaje informático

En síntesis ■ Cada vez más, los hackers se valen de

viejas técnicas de simulación para obtener la información que desean. En vez de descifrar complejos códigos de seguridad, engañan a los empleados para que les revelen las claves de acceso. ■ Sus “ataques” constan de dos etapas: en la primera investigan y recolectan datos sobre la compañía. En la segunda entablan una “relación de confianza” con los empleados que tienen acceso a la información buscada, y utilizan técnicas psicológicas para que la revelen. ■ ¿Cómo protegerse de los piratas informáticos? Kevin Mitnick subraya dos acciones: fijar políticas, procedimientos y reglas de seguridad, y capacitar al personal. A su vez, los responsables de diseñar la política de clasificación de datos deben prestar atención a detalles que los empleados juzgan sin valor, pero que podrían abrir la puerta a información confidencial.

A juicio de Kevin Mitnick —un famoso hacker que se convirtió en respetado consultor de empresas—, para proteger la información no hacen falta complejos sistemas tecnológicos. Basta con establecer procedimientos y normas de seguridad, y tener en cuenta que el talón de Aquiles puede ser el personal. as estadísticas son aterradoras. En 2001, el 85 por ciento de las organizaciones que respondieron a una encuesta realizada por The Computer Security Institute, entidad que brinda servicios para especialistas en protección de datos, afirmó haber comprobado violaciones en sus sistemas de computación, y el 64 por ciento dijo que sufrió pérdidas financieras debido a ellas. Un estudio similar, hecho por el FBI en abril de 2002, demostró que los piratas informáticos habían atacado a nueve de cada 10 grandes corporaciones. Kevin Mitnick, cofundador de Defensive Thinking —consultora especializada en seguridad informática que utiliza las tácticas invasivas de los hackers para detectar fallas en la infraestructura tecnológica de las empresas—, sostiene que uno de los mitos más difundidos es que “el arma mortal de un pirata informático es la computadora”, motivo por el cual muchas compañías instalan complejos y avanzados sistemas de protección de datos. “Sin embargo —añade—, el principal aliado de los hackers es el simple y tradicional teléfono, y el verdadero talón de Aquiles de la seguridad de la información son los empleados.” Mitnick habla con conocimiento de causa: fue uno de los hackers más famosos del mundillo informático. Estuvo detenido cinco años en prisiones federales de los Estados Unidos por infiltrar las redes de varias multinacionales. Liberado en el 2000, por expresa orden judicial debió mantenerse alejado de las computadoras hasta enero de este año. Sus “aventuras” fueron noticia en las revistas Time, Wired y Forbes, así como en los diarios The New York Times y The Wall Street Journal. Para que sirviera de alerta a posibles víctimas, relató su experiencia delictuosa en The Art of Deception (John Wiley & Sons, 2002), el libro que escribió con William Simon. Actualmente, Mitnick es uno de los especialistas en seguridad informática más solicitados por las empresas estadounidenses, y sus ideas y consejos son difundidos por medios especializados, como Harvard Business Review, y de alcance masivo, como la cadena de televisión CNN. No es fácil ponerse en contacto con él: su casilla de e-mail y el contestador telefónico exigen que los mensajes y las llamadas sean de personas “autorizadas”. Y, dada su repentina notoriedad, resulta casi imposible encontrar espacio en su apretada agenda. Por fin, acuerda un diálogo por teléfono para el feriado del “Memorial Day” (fecha que recuerda a los caídos al servicio de la nación) en los Estados Unidos, y empieza la conversación anticipando interferencias, “porque estoy viajando en auto por el desierto”. Esta nota glosa ese diálogo.

L

Trucos nuevos y antiguos “Cada vez más, los atacantes utilizan viejas técnicas de engaño y simulación para obtener los datos que desean —explica el ex hacker—. En lugar de descifrar complejos códigos de seguridad de las empresas, embaucan a un empleado para que les revele la clave de acceso.”

TECNOLOGIA

1/3

A su juicio, quienes logran infiltrarse en los sistemas de las compañías son hábiles “manipuladores de la naturaleza humana”, y se refiere a ellos como “ingenieros sociales”. Acuñado durante la Segunda Guerra Mundial, el término “ingeniería social” aludía a ciertas técnicas de control de la población. En la década de los ’70 cobró un nuevo sentido: se lo aplicó a las tácticas de engaño y simulación de los saboteadores de compañías telefónicas; en años posteriores extendió su alcance, y ahora describe las simulaciones utilizadas por los hackers para burlar a un usuario de computadora e inducirlo a revelar información clasificada. ¿Por ejemplo? Un empleado recibe el llamado de alguien que se identifica como miembro del departamento de sistemas informáticos. El impostor le explica que algunas computadoras de la compañía han sido infectadas por un virus capaz de destruir los archivos del disco rígido, y que no es reconocido por el programa antivirus instalado en las computadoras. De inmediato, se ofrece a ayudarlo a resolver el problema, dictándole instrucciones por teléfono para verificar si la suya está libre de problemas. Resuelto el potencial —y falso— inconveniente, el hacker le solicita al empleado que pruebe un nuevo software para hacer cambios en las palabras clave. Como agradecimiento, y para retribuir el favor, el empleado accede al pedido. Otro ataque típico se parece al siguiente: el “ingeniero social” envía e-mails anunciando que las primeras 100 personas que se registren en el nuevo sitio web de la compañía serán premiadas con entradas para un estreno cinematográfico. En realidad, se trata de un sitio falso, creado por el impostor con el objetivo de obtener información: en sus páginas, un programa les pide a los usuarios que registren sus datos personales, el e-mail de la compañía y una palabra clave. Debido a que mucha gente suele utilizar la misma contraseña en todos los sistemas, es probable que el hacker obtenga alguna que le permita ingresar a la red de la empresa.

El ataque y las víctimas Mitnick explica que el “ataque” de un ingeniero social se lleva a cabo en dos etapas. En la primera hace la investigación y recolección de datos sobre la compañía: la identidad y antigüedad de sus empleados, sus responsabilidades y las medidas de protección utilizadas (¿quién tiene acceso a la información deseada?, ¿dónde está ubicada?, ¿qué tipo de sistema operativo utiliza?). En esta instancia, el pirata informático suele apelar a fuentes de acceso público: folletería de marketing, recortes de prensa, revistas de la industria, contenido de sitios web e, incluso, cestos de basura (ver recuadro). En la segunda etapa entabla una “relación de confianza” con el empleado que tiene acceso a la información buscada, y se vale de técnicas psicológicas para que le revele datos. Su blanco preferido es la gente recién incorporada, que por lo general no está familiarizada con las políticas y los procedimientos de seguridad de la compañía, conoce personalmente a pocos empleados, tiende a cooperar para demostrar que sabe trabajar en equipo, y es poco probable que cuestione la autoridad de alguien que se presenta como un alto ejecutivo. “Los ingenieros sociales se aprovechan de la naturaleza humana —dice Mitnick—. En mi opinión, las personas confían demasiado en los demás, y tienden a otorgarles el beneficio de la duda. Suponen que los otros empleados y colegas tienen sus mismos valores éticos y morales. Como no se les ocurriría engañarlos, tampoco consideran que podrían ser engañados. Los ingenieros sociales son expertos en manipular el deseo de la gente de ser servicial, su credibilidad y hasta su curiosidad.” De acuerdo con su experiencia, varios aspectos de la naturaleza humana suelen ser explotados por los piratas informáticos. Como la inclinación a respetar la autoridad es uno de ellos, “simulan ser altos ejecutivos de la compañía y sacan ventaja de la tendencia natural de los individuos a obedecerlos”. En segundo lugar, aprovechan el deseo de agradar a los demás, natural en la gente. En consecuencia, averiguan un pasatiempo de la víctima y entablan una conversación sobre ese tema, sabiendo que es más fácil que acceda a los pedidos de alguien que tiene intereses similares a los suyos. Después, Mitnick ilustra la actitud de reciprocidad con el ejemplo del hacker que simula un cargo en el departamento de sistemas informáticos y engaña al empleado con la historia del falso virus, “quien accede a probar un programa en retribución por la ayuda recibida, sin saber que es invasivo”. La tendencia de la gente a cumplir con la palabra empeñada tampoco es ajena a los cálculos del impostor: llama por teléfono a un empleado relativamente nuevo y le dice que está ve-

2/3

rificando el cumplimiento de las normas de seguridad de la compañía. A tal efecto, le pide que le revele su contraseña para constatar si se ajusta a la política de elección de palabras clave. Finalmente, le da algunas sugerencias de diseño de contraseñas, de manera que él pueda descubrirla después. Como ha dado su palabra de respetar las normas de seguridad de la empresa, el empleado sigue al pie de la letra las recomendaciones del hacker. Por fin, un ejemplo de la manera en que saca partido de la inclinación a imitar la conducta de otros: llama a un empleado para decirle que está realizando una encuesta, y que ya ha entrevistado a otras personas de su departamento, a quienes nombra específicamente. La víctima accede a responder, porque cree que la cooperación de los demás valida la autenticidad del pedido y, claro está, entre las preguntas de la falsa encuesta hay algunas que permiten descubrir el nombre de usuario y la clave de acceso a su computadora.

En busca de señales ¿Puede reconocerse el ataque de un ingeniero social? Mitnick asegura que sí. “En general, es posible identificar algunas señales de advertencia relacionadas con las técnicas psicológicas que emplea. Por ejemplo, se negará a dar su número telefónico y, si se lo exigen, lo más probable es que diga que él llamará más tarde. Otros indicios son los halagos excesivos o las preguntas infrecuentes, del tipo: ‘Olvidé una dirección, ¿podrías buscarla en la agenda de mi computadora?’ A su juicio, la mejor estrategia de prevención es preguntarse: ¿por qué me llaman? ¿Hay algo fuera de lo común en esta llamada? “Si alguien que usted no conoce personalmente le solicita que realice determinada tarea, aparentemente inocua, examine con más cuidado el pedido”, aconseja. En cuanto a las medidas de protección que deben tomar las empresas, Mitnick subraya dos: “Fijar políticas, procedimientos y reglas de seguridad, pero sobre todo capacitar al personal para que adquiera conciencia de los métodos que emplean los ingenieros sociales. Los empleados deberían saber, por ejemplo, que el conocimiento de los procedimientos y de la jerga interna de la compañía no son suficientes para autorizar a un individuo que solicita información. En consecuencia, hay que determinar el método de identificación que el personal deberá utilizar al interactuar con gente que no conoce, y diseñar un procedimiento detallado que revele si la persona que llama es realmente un empleado”. Además, sostiene que los responsables de diseñar la política de clasificación de datos deberían prestar atención a ciertos detalles que los empleados juzgarán sin valor, pero que podrían abrir la puerta a información confidencial. “Es obvio que nadie revelará su clave de acceso a un cajero automático —apunta—, pero mucha gente no tendrá reparos en informar qué tipo de servidor utiliza la compañía.” “En definitiva —concluye Mitnick—, no importa cuánto dinero gaste una empresa en sistemas y protocolos de seguridad; si no educa y capacita a su gente, siempre será vulnerable a los ataques de los ingenieros sociales.” ● © Gestión/ Viviana Alonso

3/3