Hackeando el cerebro II: Superando el firewall

Publicado por buguroo - 21/08/2019

Son las 10:30 de la mañana y Carmen entra puntual como cada día en el bar para desayunar. Es como la peli “el día de la marmota”, siempre a la misma hora, se sienta en el mismo lugar y pide el mismo desayuno. Marisa, una nueva amiga, se sienta a su lado y se saludan efusivamente. Se conocen desde hace una semana, cuando Marisa le pidió permiso para sentarse a su lado porque un par de tipos no dejaban de molestarla.

A partir de ahí, ambas se llevan muy bien y durante la media hora que dura el desayuno no paran de hablar. Carmen es la que tiene mayor edad en su empresa y solía desayunar siempre sola porque se siente desplazada por el resto de compañeros, los cuales podrían ser sus hijos o nietos en algunos casos. Sin embargo, con Marisa se lleva muy bien, es una chica muy simpática que se interesa por todo lo que tiene que ve con su trabajo.  Lo que Carmen no sabes es que Marisa no se llama así ni es su nueva amiga, pertenece a un grupo de Pentesting contratado por su empresa para auditar la seguridad informática de la misma.

Carmen fue seleccionada como blanco para obtener información a través de un proceso de ingeniería social.  Marisa se encarga de recoger toda la información posible respecto a su empresa y a su jefe, el responsable del Departamento de Selección.

El objetivo es conocer la jerga de la empresa, todos los datos posibles sobre el sistema y sobre los procesos de selección, pues será esto último lo que va a permitir la entrada física en las oficinas centrales de la empresa. Ese día los acontecimientos se precipitan, pues Carmen le cuenta a Marisa que hoy está teniendo problemas con la red informática.

Esta circunstancia es aprovechada por el equipo para actuar. Una hora después de que Carmen regresa de desayunar, una persona con una caja de herramientas y cables se presenta ante la puerta de su despacho contándole que la red informática de la empresa se está sustituyendo y desde central le han enviado para hacer algunos ajustes en esa oficina. Este tipo nombra el sistema, los programas que usa la empresa e incluso conoce el apodo que tiene su jefe. Carmen lo recibe con los brazos abiertos y le cuenta que sabía que pasaba algo en la red porque hoy no funcionaba bien.

hackeando-cerebro-2-01Tras varios minutos, el sistema está a merced del equipo de Pentesting, pues Carmen le da sin ningún problema la contraseña de acceso al equipo, la cual la tiene además anotada debajo del teclado porque tiene unos símbolos muy difíciles de recordar. Sin que Carmen se de cuenta, el técnico escanea la tarjeta de empleado de Carmen. Esa tarde el equipo de intrusión es capaz de moverse a su antojo por el programa de RR.HH de la empresa, datos de empleados, nóminas, salarios...

Unas horas más tarde, el personal de seguridad de las oficinas centrales recibe un mail desde la cuenta de Carmen como secretaria del Departamento de Selección en el que le indica los datos de una persona que mañana irá a realizar una entrevista para el departamento de informática. Al día siguiente, cuando ese mismo técnico se presenta en las oficinas centrales como la persona que va a hacer la entrevista, el personal de acceso lo está esperando y le facilita la tarjeta de visita para subir a la planta quinta.

En el ascensor, el infiltrado se coloca la tarjeta de empleado de Carmen falsificada, lo cual le permite, a partir de ahora, moverse por todos sitios sin levantar sospechas y con acceso ilimitado a zonas. La historia es más larga, pero a partir de aquí todo fue rodado hasta llegar a mostrar un gran agujero de seguridad en la empresa al tomar el control sobre los propios servidores.

El ser humano siempre será el eslabón más débil de la cadena de la Ciberseguridad y al que se puede crackear de forma más fácil.

 

El cerebro es hackeable y, aun siendo más perfecto que cualquier máquina o tecnología que el ser humano pueda desarrollar, su sistema no está exento de brechas de seguridad por las cuales se puede llegar a penetrar y controlar al sistema, es decir a la persona.

En la primera parte de este artículo mostrábamos algunas herramientas para persuadir a las personas y poder obtener información de ella, lo que tradicionalmente se entiende en el mundo hacker como ingeniería social. A continuación, vamos a conocer un poco más sobre estas estrategias de ingeniería social basadas en las Ciencias del Comportamiento y cómo permiten que una persona ofrezca toda la información necesaria como para poder atacar una gran empresa financiera como hemos visto en la historia anterior.

Partimos de algo que ya mencionamos en el post anterior, el ser humano es un animal social con un sistema de comunicación único, el lenguaje. Esto es importante recordarlo siempre porque estamos diseñados para las relaciones y para transmitir información.

Quiero decir que hablar con otras personas, contarles nuestra vida, decirles lo que nos pasa en el trabajo, lo que nos gusta u ofrecer directamente información personal es algo completamente natural.

De primeras, si no hay algo que lo obstaculice, el ser humano es prosocial y cooperativo, estamos donde estamos por cazar en grupo, por dividirnos el trabajo, por defendernos unos a otros y por transmitirnos conocimiento.

Por tanto, no nos debería asustar si alguien le da el número de cuenta y el pin a otra persona que se lo pide por teléfono diciendo que es un consultor de nuestra banca online. Para nosotros la información es algo que se comparte, por eso nos gusta leer, escuchar historias o ver series de televisión.  

hackeando-cerebro-2-02

Es cierto que hay diferencias individuales, nos podemos encontrar a alguien que hay que sacarle las palabras de la boca con una cuchara y otras que les decimos buenos días en el ascensor y nos cuenta toda su vida (por cierto, adivina cuál es de más utilidad para la ingeniería social).

Todos tenemos nuestros escudos, barreras, defensas o líneas rojas en nuestra comunicación. Hay personas a las que no les queremos contar ciertas cosas, como ocurre en la sala de un interrogatorio policial. Pero incluso allí, si sabes manejar bien tus “cartas comunicativas”, puedes hacer que alguien que no quería hablar acabe confesando un crimen y dando toda clase de detalles sobre el mismo.

Por la boca muere el pez, en una sala de interrogatorios y en un proceso de ingenierías social. Las defensas en la comunicación se pueden saltar, rodear o eliminar, esto es parte de lo que hacemos los analistas de conducta.

Para ello, lo primero es perfilar bien al objetivo, conocer cómo es, cómo piensa y actúa esa persona. Si me permiten la metáfora y la cita de Sun Tzu, quien se conoce a sí mismo y a su enemigo saldrá victorioso en mil batallas. Esto de conocer a alguien puede resultar muy extraño o difícil de conseguir, sobre todo si tengo muy poco tiempo o incluso es una persona que no quiere colaborar.

Es cierto, pero para simplificar solo hay que conocer su sistema de castigos y refuerzos, lo que le gusta y lo que no le gusta, a lo que se acercará y de lo que huirá. Si sabemos esto, tenemos medio trabajo de influencia hecho.

La ingeniería social usa estrategias que están basadas en esto del refuerzo o el castigo. Bueno, los términos pueden parecer muy físicos, pero se refieren básicamente a beneficios y costes o, en definitiva, a cosas buenas frente a cosas malas. Esto, evidentemente, también está muy relacionado con nuestra biología y la supervivencia de nuestra especie. Estamos diseñados para reconocer estímulos que nos permiten vivir o aquellos que hacen peligrar nuestra existencia.

Cuando se trata de obtener información de una persona en un ataque de ingeniería social se recurren tradicionalmente a elementos como la autoridad o el miedo. Un mail o una llamada de teléfono de alguien que se presenta como jefe, responsable o director, genera influencia en nosotros, al igual que un mail o una llamada que nos indiquen que van a bloquear nuestra cuenta bancaria, anular nuestro seguro o provocar nuestro despido. También se suele recurrir a la obtención de beneficio o a la oportunidad, es decir, al refuerzo. Así un mail o una llamada que nos anuncia un premio o acceder a una promoción exclusiva nos despierta la curiosidad.

Si jugamos balanceando entre refuerzos y castigos podemos llegar a generar emociones en las personas, podemos prepararlas para acción en un sentido u otro, para que se acerquen o se alejen. Estas emociones serían:

  • Agrado. Cuando espero una recompensa y la obtengo.
  • Ansiedad. Cuando espero la llegada inminente de un castigo.
  • Frustración. Cuando espero obtener una recompensa y en vez de eso obtengo un castigo.
  • Alivio. Cuando espero obtener un castigo y en vez de eso obtengo una recompensa.

Si recordamos nuestra historia del comienzo, hay un momento en el que se precipitan los acontecimientos para el equipo de intrusión cuando Carmen, el “blanco”, cuenta que está teniendo problemas con su ordenador y poco después recibe la visita providencial de un técnico. Este es un ejemplo de cómo la ingeniería social maneja estas cuatro emociones para obtener una ventaja estratégica que le permita la obtención de la información.

Lo que ocurre puede explicarse de la siguiente manera:

  • Comenzamos con un estado de frustración en Carmen, ella quería trabajar normalmente ese día, pero un problema técnico se lo está impidiendo.
  • A partir de aquí se aprovecha esta situación para inicial una operación de cambio de emoción hacia el agrado.
  • Un técnico se presenta en el despacho, alguien desconocido que puede generar incluso algo de ansiedad en Carmen, ¿quién es esta persona?, ¿qué hace aquí?, ¿para qué viene? Esta situación debe ser rápidamente resuelta por el falso técnico.
  • Le dice que están teniendo problemas en la red, que se lo va a solucionar, le nombra su programa, usa la jerga de su empresa, incluso llega a nombrar el apodo de su jefe. Es decir, le ofrece confianza y credibilidad, le hace sentirse aliviada.
  • Carmen se da cuenta que el técnico le viene a ayudar, esperaba resolver ese problema y ahora no solo no tiene a un desconocido, sino que tiene al que le va a salvar el día. ¿Cómo no sentirse bien y a gusto como para dejarle manejar la computadora y ofrecerle incluso la contraseña del sistema?

Todo esto se entiende aún mejor si comprendemos otra forma de trabajar de nuestro cerebro, la heurística.

Solemos pensar que el ser humano es puramente racional, que nuestra evolución nos ha llevado a ser seres lógicos, racionales e inteligentes.  Bueno, lo que nos dice la ciencia es que somos menos racionales de lo que pensábamos o de lo que nos gustaría.

hackeando-cerebro-2-03

Nuestro cortex prefrontal, la parte del cerebro relacionada con esa racionalidad es relativamente joven y aún no tiene los “privilegios del sistema” suficiente como para controlarlo, si me permiten el símil técnico. Es decir, funcionamos más basándonos en intuiciones, especulaciones y azar que con lógica y análisis racional de opciones.

Cuando vivíamos en la selva y a nuestro lado oíamos un ruido, no necesitábamos para sobrevivir un cerebro racional que tomara decisiones en base a probabilidades, necesitábamos un cerebro que intuyera que podría ser un depredador y nos pusiera a correr como alma que lleva el diablo. Es cierto que podría ser también el viento moviendo unas ramas, pero entrar a valorar racionalmente las posibles causas de ruido nos habría llevado a ser una especie racionalmente extinta.

Nuestro cerebro funciona descubriendo atajos mentales, la principal brecha de seguridad que la ingeniería social utiliza para hackear nuestro cerebro. Estos atajos mentales son la forma de tomar decisiones rápidas, de rellenar huecos de desinformación con datos inventados.

 

Por eso, cuando un tipo entra en la oficina con un traje caro, mira a la gente con aire de superioridad y habla dando órdenes a los demás, nuestro cerebro rellena huecos de información que no conoce y supone que es un tipo de éxito, que posiblemente sea un directivo de la empresa, que está de visita por allí y que seguro tiene poder como para despedirnos si no le damos la información que nos solicita.

En nuestra historia inicial, al oír hablar al técnico con palabras que acaba de darle su cómplice unos minutos antes, Carmen llega a la conclusión de que es un empleado de la empresa, un técnico informático y una persona de confianza a la que le puede dar su contraseña sin problemas.

Esta forma de funcionamiento cerebral, es sin duda una gran ventaja para la ingeniería social, ya que no necesita obtener o poseer toda la información para conseguir algo más, sería como si solo con la mitad de piezas pudiera montar todo el puzle o como si, conociendo solo cuatro dígitos de una contraseña de ocho, el sistema interpretara que nos sabemos el resto sin necesidad de escribirlas.

Esta forma de procesamiento cerebral se está llevando también al ámbito tecnológico a través de los teclados predictivos o del uso de algoritmos que hacen precisamente eso, predecir lo que vamos a comprar antes de hacerlo o la publicidad que nos interesa sin necesidad de buscarla.

Esta predicción supone un ahorro de tiempo, como para nuestro antepasado en la selva, pero también conlleva peligros en el ámbito de la ciberseguridad, pues un tipo con traje caro dando vueltas por la oficina no siempre es un jefazo, a veces es un hacker disfrazado.

Temas: Psicología cibercriminal, Cybersecurity

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Las Fintech también en el radar del malware

read more

Analizando un Malware Bancario Biométrico: Camubot

read more

Mensajes subliminares. El Phishing del futuro.

read more