----
/
/
Ingeniería social, lo que hubo detrás del hackeo al NY Times

Ingeniería social, lo que hubo detrás del hackeo al NY Times

social_engineering

© McAfee

La tarde del martes fueron muchas las personas que se llevaron una sorpresa al intentar visitar la versión online del New York Times ya que en vez de las habituales noticias lo que se presentaba era la página de inicio del ejército electrónico sirio, un grupo de hackers que, dadas las circunstancias actuales, pone el tema aún más en perspectiva. Pero lo realmente impactante es el uso de ingeniería social en todo ello. 

Lo que pasó fue sencillo: los del ejército aquel, mejor conocido como SEA por sus siglas en inglés, redireccionaron los DNS del New York Times hacia su propia IP, y la pregunta más lógica es ¿cómo lo hicieron? La respuesta, si bien no resulta del todo sorprendente, dice mucho acerca de lo fácil que es vulnerar la seguridad aprovechando el hecho de que el factor humano es la parte más débil de cualquier cadena.

Viene a ser el caso que los hackers de SEA ganaron acceso a los DNS mediante ingeniería social, un término común en los ámbitos de seguridad informática que se refiere a un conjunto de técnicas psicológicas y habilidades sociales que se utilizan para sacar información de valor, usualmente de carácter confidencial, a las víctimas. En este caso particular, el anzuelo fue un correo electrónico enviado a staff de Melbourne IT, la compañía que maneja el registro de DNS del New York Times, donde se persuadía a revelar las credenciales de entrada, según reporta el periódico Los Angeles Times.

Cualquiera cae en el gancho

Un correo electrónico, perfectamente diseñado según los objetivos de SEA, fue lo que provocó todo este lío. Este ataque es un  ejemplo de phishing, una práctica vieja y muy común sobre la cual se vive alertando a los usuarios de servicios bancarios online, que se cuentan por lo general entre las principales víctimas de esta práctica.

¿Cómo es que una empresa como Melbourne IT, que goza de gran prestigio y reputación en su área, siendo la preferida por compañías como New York Times, Twitter y Huffington Post para manejar sus DNS, cae un gancho de este tipo? La respuesta es el factor humano. Con un poco de persuasión, y en ocasiones con amenazas, es fácil sacar la información que se anda buscando, aún cuando la persona tenga la idea de que no se deja engañar muy fácil.

Una seguridad que no es tal cosa

El caso del New York Times y la manera casi infantil en que se obtuvo acceso a sus DNS pone el tema de la seguridad en perspectiva. Pero no seguridad a nivel de firewalls y demás herramientas diseñadas para combatir malware, sino seguridad al nivel de la capa 8, es decir, la gente.

No hay seguridad a prueba de tontos, o al menos eso dicen, y es algo que parece probarse una  y otra vez. En general la “seguridad” diseñada para evitar el acceso de intrusos a cuentas particulares, ya sean bancarias o de otros tipos de servicio online y offline, es hasta cierto punto un disparate.

Veamos el ejemplo de los bancos, un servicio  con que casi todos nos podemos identificar. ¿Algunas vez se han dado cuenta de que las preguntas de seguridad que hace el representante de servicio son una cosa tan genérica y común que cualquiera que haya hecho su tarea las puede contestar? Usualmente piden al que llama suministrar su número de cédula, la dirección donde vive, número de teléfono, fecha de cumpleaños y monto del plástico. ¿Dónde está la seguridad?

Como esta es una práctica común, que se extiende a muchos otros servicios, y como se trata de información fácilmente disponible con un par de clics online, hoy resulta más fácil que nunca hackear cualquier cosa. ¿Te piden los últimos 4 dígitos de la tarjeta de crédito? Un vistazo a Amazon es posible que suministre el dato. ¿Una excusa creíble para justificar cambio de contraseña por teléfono? Basta con ver par de tweets o el Facebook para tejer una historia. Empeora las cosas el hecho de que muchas cuentas están entrelazadas, lo que significa que acceso a una sola equivale acceso a muchas más.

 

Deja una respuesta

AUTORA

ROCIO DIAZ

ARTICULOS RECIENTES

Categorías

instagram