15 min to read
Posted on

La Ingeniería Social es el primer paso de un ataque…

Claudio Caracciolo es uno de los autores de “Ethical Hacking: Un enfoque metodológico“, un libro muy bueno sobre seguridad.

Ha publicado algunas anécdotas de ingeniería social basadas en su experiencia y trabajo, una de ellas relacionada con un banco y otras dos con hoteles. Son lecturas cortas y entretenidas, sobre todo si te apasiona el tema:

Ingeniería Social en los hoteles (parte1)

Un amigo mío, desde hace un tiempo me viene pidiendo que escriba algunas de mis anécdotas relacionadas este tema, y por cuestiones de trabajo siempre fui dejando pasar el tiempo… En esta oportunidad he decidido escribir sobre Ingeniería Social pero clasificando las historias en base a las situaciones o lugares donde ocurren, y hemos de comenzar por los hoteles.

Qué nos puede resultar interesante de los hoteles? La gente, sus cosas, entender la ineficacia de ciertos controles y sobre todo entender que concientizar en seguridad, es y será sumamente complicado pero no por esodebemos bajar los brazos…mas bien, todo lo contrario. Comencemos:

Hace unos años atrás, estaba dando una conferencia en Quito, Ecuador, en un hotel de primera linea (esos que están por todos lados y hasta tienen puentes). El día previo a la conferencia, me registre en el hotel y subí hasta mi habitación, observando algunos de los controles del lugar, como hago por costumbre:

+ Personal de Seguridad en la entrada y en el Hall

+ Personal de Seguridad vestido de civil y simulando ser un cliente en el bar.

+ Cámaras de Seguridad en todo planta baja, en los bares, en los salones de conferencias, pero no en los pisos de las habitaciones ni donde se sirve el desayuno.

+ Tarjeta Magnetica para el ingreso a las habitaciones.

+ Ascensores con lector de Tarjeta Magnetica, de manera que si no tengo tarjeta no puedo subir a las habitaciones.

Y algunas otras cosillas que no vienen al caso. Luego de acomodar mis cosas, decidí que era hora de dar unas vueltas por el hotel y ver que pasa.

Mi primer objetivo era verificar si el personal de Seguridad encubierto era real o no, o simplemente se trataba de mi imaginación, así que decidí ir a ver las cámaras de planta baja cerca del bar donde él se encontraba. Con mucho cuidado, sin llamar la atención con movimientos bruscos y con cara de distraído me acercaba a las cámaras y las miraba desde abajo simulando tomar nota de la misma, pero en realidad en mi hoja, solo armaba un dibujo absurdo de dichos dispositivos (esto es para tener una excusa de escape, ya que si anoto las marcas y modelos se me dificultaría la justificación).

El movimiento siguiente era simple, colocarme debajo de las cámaras y mirar hacia donde apuntaban, como si estuviera observando la amplitud visual de la misma. Como era de esperar, todo mis movimientos fueron seguidos con la atenta mirada de mi sospechoso, quien intentaba disimular la situación leyendo el diario, hablando por teléfono, caminando hasta la barra… De repente, sucede lo esperado: toma su teléfono celular y mirando el diario realiza una llamada, habla en vos alta y dice algo así como:

“Si por supuesto mi amigo, yo también iría al norte a ver si encontramos buen tiempo”.

Casualmente, en menos de un minuto, incluso antes de terminar su conversación telefónica, aparece un guardia de seguridad del hotel caminando hasta donde me encontraba (al norte del salón) y muy amablemente me saluda haciendo notar su presencia (que por cierto era mas que obvia con sus casi dos metros de altura). Mientras lo saludé y le comenté cosas interesantes como:

“…que tranquilidad….siempre es un placer venir a este hotel…me hace olvidar de todos los problemas del trabajo…”

intentando hacerle creer que era uno de esos clientes recurrentes, no dejé de mirar que cosas hacia mi amigo sentado en el bar, quien no podía con su genio y mientras “conversaba” por teléfono (ya no en vos alta) miraba por encima de su hombro el dialogo entre su “colega” y yo.

Es muy importante, que un Ingeniero Social analice cada situación antes de actuar y que trate de encontrar los puntos de defensa ocultos, por lo general son controles del tipo compensatorios.

Luego por la tarde, decidí probar como era eso de subir sin tarjeta… imaginense que no costo mucho esfuerzo, simplemente me quede en el Hall del hotel simulando hablar por teléfono, cuando de repente llego un grupo de huéspedes del hotel que fueron a tomar el ascensor, así que simplemente me subí detrás de ellos, con mi teléfono en una mano y con la otra “buscando” la tarjeta. Obviamente, uno de los huéspedes saco la suya, la paso y marco el piso 8…

Una de las características del Ingeniero Social de la vieja escuela, es la capacidad de reconocer controles ineficaces y verificarlos sin llamar la atención y mimetizarse con el entorno.

La tercer prueba, fue a la mañana siguiente, antes de la conferencia. Salgo de mi habitación y voy a desayunar, al finalizar vuelvo en busca de mi mochila con mi notebook…pero antes de continuar con el relato, es necesario destacar algo de la habitación:

Al abrir la puerta, uno entraba en una especie de pasillo, donde a izquierda, apenas entrabas a la habitación, se encontraba el baño, y al final del pasillo se podía ver un escritorio con su silla, donde yo había dejado mi mochila, es decir que desde la puerta, podía verla sobre la silla.

Volviendo a la historia, cuando voy al piso de la habitación en busca de mis cosas, veo que la puerta estaba abierta y el carro de limpieza delante de ella. Paso por delante sin entrar y veo una persona joven (unos 30 años) limpiando el cuarto, a lo cual, muy amablemente salude y le dije:

“Me permite pasar un segundo a buscar mi mochila nada mas? la deje sobre la silla…”

a lo que el gentil joven accedió sin ningún tipo de objeción…

Al otro día ya finalizada la conferencia y preparandome para volver a casa, intente hacer lo mismo, pero esta vez no era la misma persona de limpieza, había una señora mayor, de cerca de 60 años, por lo cual pensé que seria mas fácil. Sin embargo, al pedirle que me deje retirar mis cosas, me contesto:

“Como no Sr.”, cerro la puerta y continuo: “Por favor pase su tarjeta, es para su seguridad y la mia”.

La víctima de la Ingeniería Social, no tiene edad, por ser demasiado viejo o demasiado joven, la víctima no tiene mas o menos chances de caer en la trampa, sin embargo, si las tiene si no tiene educación y/o experiencia

La unica forma de combatir la Ingeniería Social, es con la concientización de los usuarios.

No hay vueltas, no insistas en no hacer nada..

Ingeniería Social en los Hoteles (parte2)

Continuando con estas anécdotas, me toca ahora un hotel de Chile.

En uno de mis viajes por trabajo, me encontré con un amigo de hace muchísimos años, cuando incluso yo recién empezaba en el mundo del hacking…él por su parte siguió una carrera un poco diferente: medico.

Después de hablar rato y tendido sobre viejos tiempos, me pregunto que era eso de la Ingeniería Social, porque varias veces había escuchado a otros amigos en común, mencionar este termino y definirlo como algo que a mi me apasionaba mucho… Entonces, decidí explicarle con algunos ejemplos prácticos.

Le pedí que viniera al día siguiente al hotel, cerca de la hora de finalización del desayuno, y que entrara derecho a los baños de planta baja. Le dije:

“hace de cuenta que estas entrando a tu casa, por lo cual pasa como si ya hubieras saludado a todos mas temprano.”

“Si alguno te mira fijo, sonríe y saludalo, pero no aminores el paso, si dejas de caminar te va a preguntar algo, si te ve apurado, no.”

“Quédate unos minutos en el baño y luego salí, de igual manera anda al salón donde se sirve el desayuno y sentate conmigo, yo estaré esperando.”


La capacidad de sonreír, despierta simpatía en las emociones de los demas, pero hay que saber comprender cuando es necesario que la misma se muestre pasajera y cuando se debe usar para mantener un dialogo. Si no queres que te pregunten, no te quedes ahí esperando la pregunta.

Mi amigo, un poco temeroso, pensando que iba a ir preso por robar un banco, siguió los pasos al pie de la letra hasta sentarse a mi lado. Nervioso esperaba instrucciones, así que decidí calmarlo y le pedí que desayunara tranquilo, que luego le seguía explicando.

A los pocos minutos, un empleado del hotel se acerca a nosotros en la mesa con una carpeta en la mano y me pregunta por mi habitacion…con cara de circunstancia, como si no hubiese entendido, me levante y me acerque a él pidiéndole que me repita la pregunta, el senor muy amablemente repitió la pregunta inclinando la carpeta hacia mi mientras hablaba. En ese instante pude observar cuales eran las habitaciones marcadas (las que ya habian desayunado, casi todas por el horario) y simplemente repetí una de ellas, agregando la frase simpatica del dia:

“…los demás ya bajaron, pero yo me quede durmiendo un poco mas. Que trabajen ellos, de vez en cuando les toca..”

a lo que el empleado respondió sonriendo y se retiro. Mi amigo no entendia nada, hasta que le mostre que mi llave era de otra habitación.


Lo evidente se hace invisible a los ojos del desesperado. No ocultes las situaciones, hacelas absurdamente evidentes para poder lograr disimularlas entre los distraídos.

Solo para continuar con la explicación, terminamos de desayunar y nos fuimos a caminar por el hotel… pasamos por la pileta, luego por el gimnasio, y hasta incluso subimos a los pasillos de las habitaciones, nos encontramos con el personal de limpieza, y simplemente fuimos viendo donde estaban ubicados los Access Point, las cámaras de Seguridad, los lockers, etc etc…

Diseñar un ataque requiere de paciencia para planificar, de una dedicada observación de los controles a evadir, y sobre todo de saber manejar las propias emociones para evadir cualquier dificultad mientras se realiza un reconocimiento.

En la mayoría de los casos, la Ingeniería Social es el primer paso de un ataque,

mas bien relacionado con las tareas de Inteligencia, no tanto con el ataque en si mismo.

Ingeniería Social en un Banco (parte 1)

A pedido de mi ahijado, continuo con otra anecdota de Ingeniería Social pero esta vez en un banco.

Durante un test de intrusion a un cliente, en particular un Banco, se nos solicito realizar diferentes pruebas de Ingeniería Social. Una de ellas, consistia en ingresar fisicamente al edificio central y tratar de llegar hasta las oficinas del Gerente.

Antes de diseñar el ataque, decidi verificar como eran los controles del lugar visitando al Jefe de Seguridad de la Información, con la excusa de mostrarle el avance del test de intrusion externo e interno que estábamos llevando a cabo. Podia haber elegido al Jefe de Tecnologia para mostrarle algún nuevo producto, al de RRHH para mostrarle un plan de capacitación para el personal…cualquier excusa y cualquier contacto dentro del edificio hubiera servido.

Al llegar al edificio, a las 8 am en punto, me encuentro con personal de seguridad fuertemente armado en la puerta que me detiene, y me redirige al edificio vecino en busca de una acreditación. Al ir al edificio vecino, me encuentro con que la entrada no era muy diferente al anterior, dos hombres armados me abren una puerta de vidrio, detrás de la cual había un pequeño mostrador con un señor registrando a los visitantes. Muy amablemente, le comente a este ultimo que venia a visitar al Jefe de Seguridad de la Informacion, y que tenia una reunion con el.

El señor, me pidio mi identificación y me dio una tarjeta de acceso.   Mientras estaba esperando, observe un detalle no menor, el hombre aun tenia puesto el abrigo, es decir que acaba de ingresar a su puesto de trabajo.

Con mi tarjeta en la mano, me dirigi al edificio original, al que debía ir, y al tratar de entrar, la misma persona de seguridad que al principio no me dejo entrar, me volvió a frenar, tomo mi tarjeta, abrió la puerta con ella y llamo a otra persona de seguridad que me acompaño en el ascensor hasta las oficinas.

No puedo obviar contarles que al salir del ascensor no había ninguna oficina abierta, todas estaban cerradas con puertas y controles de acceso biometricos. En el pasillo solo podían verse algunas plantas y algunas impresoras de red, esas multifunción grandotas. Otro detalle importante, es que apenas se sale del ascensor, hay un cartel indicando que oficinas se encuentran en el piso, cuales a la derecha y cuales a la izquierda. A su vez, también observe las puertas de las salidas de emergencia, vecinas al ascensor, estaban abiertas (quizás porque muchos las usan para ir a fumar en esos lugares).

Finalmente, ingrese a la oficina del Jefe de Seguridad y me reuni con el. Mientras conversaba, note sobre su escritorio que tenia regalos de un proveedor, por lo que al salir investigue que relación tenia el Banco con esta empresa de servicios, y descubrí algo maravilloso: La empresa de servicios brinda outsourcing de Seguridad desde hace casi 4 años con el Banco.

Entonces, ahora si. A planificar el ataque.

Primero seleccionar quien seria el Ingeniero Social, para este caso donde son tantos guardias armados, la mejor opción fue elegir a una mujer… Converse con una de mis consultoras y la asesore sobre cada uno de los controles y como evadirlos:

Primero y principal, el personal de seguridad del edificio 2, entra a trabajar a las 8 am. . Pero que sucede si tenemos que entrar antes de ese horario? Así que le pedi que se presente antes del horario, a las 7:30 am.

Nuestra consultora se acerco y le indico a las personas armadas que debía ver al Jefe de Seguridad. El guardia pregunto de donde venia, para lo cual, la consultora de mi equipo saco una tarjeta impresa por nosotros el dia anterior, donde se podia leer su nombre y supuesto cargo, junto a los logos del proveedor que habíamos detectado…

Como el guardia de seguridad vio el logo conocido, le dijo:

“Mire, no la podemos registrar porque aun no llega mi compañero, pero igualmente pase por aquí…”

y abriendo la puerta la dejo entrar en el ascensor, donde el otro guardia esperaba. Este ultimo, la llevo hasta el piso del Jefe de Seguridad, y cuando estaba por bajar, nuestra consultora le dijo:

“…no se preocupe buen hombre, conozco el camino, vengo seguido…yo les golpeo la puerta.”

a lo que el guardia respondió sonriendo y permitiendole bajar del ascensor (definitivamente, fue una buena idea elegir una mujer para esta tarea).

Nuestra consultora primero recorrió el piso observando que había en cada impresora de red como le había indicado, y con su teléfono celular (una blackberry, tomo fotos de algunos documentos y otros los guardo en su cartera), obviamente se encontró con algunos documentos “poco importantes” : el mapa de red, el estándar de seguridad de los servidores Unix, etc etc…

Luego utilizo las puertas de las salidas de emergencia para moverse entre pisos, ya que como era de esperar, estaban abiertas…y así llego al piso indicado por un cartel como: “Oficinas del Directorio”, como creyó que era un buen lugar para quedarse, se quedo.

Su rol ahora, debía cambiar, por lo cual le indique que cuando hable con la secretaria del Gerente, se presente como personal de soporte del proveedor de servicios y que debíamos revisar su estación de trabajo (para ello presento otra tarjeta impresa por su nombre donde solo cambiaba el puesto en relación a la anterior). Nuestra consultora siguió al pie de la letra las indicaciones y la respuesta de la secretaria fue encantadora, le dejo su PC para que tome los datos necesarios, le permitió colocar un pendrive e instalar un programita “para hacer mas rápida la maquina” y finalmente, le ofreció abrirle la puerta de la oficina del Gerente y acceder a la PC con la clave del director que ella misma conocía, para solucionarle los problemas al jefe…

Podemos decir en este preciso punto: GameOver

Lo curioso de este caso, es que los controles era fuertes, pero se debilitaron ante una supuesta reunion fuera de horario, una tarjeta de presentación falsa (bueno, dos) y la amabilidad del Ingeniero Social. Tanto las armas de fuego, como las personas de seguridad, o hasta el mismo control biometrico dejaron de ser efectivos debido a la falta de concientización del personal.

………

En el futuro seguramente escriba más historias, así que te recomiendo agregar su blog a los favoritos y seguirlo en Twitter, su cuenta es @holesec.

FuenteINFORMATION SECURITY BY ME…

Share
By b1nary0

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.