Empleados de las TIC permiten que una mujer que no existe se cuele en sus sistemas

0

Otra vez, de forma incluso más llamativa, los investigadores de seguridad han comprobado que los atacantes que emplean una cuenta de LinkedIn poniendo la imagen de una atractiva mujer que trabaja como experta en seguridad informática puede incluso engañar a empleados del campo de las TI, personas de las que se presumen amplios conocimientos y entendimiento sobre el tema. El motivo es que bajan la guardia.

El espcialista en ciberdefensa Aamir Lakhani y su equipo de World Wide Technogy han sido asignados para una misión, la de penetrar en una agencia gubernamental de EEUU, cuyos empleados supuestamente son buenos entendedores de cuestiones de seguridad. Ellos decidieron hacerlo empleando un falso perfil de red social que responde al nombre de “Emily Williams”.

Mejorando la investigación llevada a cabo por Tomas Ryan en 2009-2010, quien engañó satisfactoriamente a más de 300 especialistas, personal militar y contratistas de Defensa y negocios nacionales con su personaje inventado (la caliente Robin Sage) lo que hicieron Lakhani y su equipo fue subir un escalón más.

La naturaleza falsa de Robin Sage fué reconocida por algunos de sus objetivos, en parte debido al hecho de haberse graduado (en teoría) en el MIT y llevar trabajando 10 años en ciber-seguridad a pesar de contar solo con 25 años de edad. Es cierto también de que la cosa quedó en sospechas, ya que no pudo ser desmentido buscando en los registros del MIT ni en la red.

Mujeres atractivas que engañan a expertos en seguridad...la naturaleza masculina es débil a veces

Lakhani, cuya “Emily Williams” también afirmaba ser una graduada en el MIT, intentó resolver dicho problema poniendo información sobre ella en diferentes webs, en foros del MIT y relacionados.

Emily Williams se abrió paso en la agencia objetivo afirmando en LinkedIn y Facebook que ella había sido contratada por ellos. De acuerdo a un informe de Lucian Constantin, le llevó 15 horas conseguir hasta 55 conexiones de Facebook y LinkedIn con empleados de dicha organización y contratistas. También consiguió 3 ofertas de trabajo durante las primeras 24 horas que estuvo público su perfil.

A medida que pasaba el tiempo, algunos empleados varones le ofrecieron ayuda para conseguir un PC portátil y acceder a la red de la empresa más rápidamente (los investigadores lo recibieron pero jamás lo usaron). Tras haber diseñado una trampa en form de sitio web con tarjeta postal de navidad y añadiéndola a las redes de la supuesta chica, muchos empleados acabaron accediendo y de esta forma, permitiendo que se ejecutara un Shell invertido en sus equipos y en la red de la empresa, desde donde se obtuvieron contraseñas, documentos y otras cosas.

Incluso fueron capaces de comprometer el sistema del “responsable” de seguridad de TI dentro de la agencia -a pesar de que él no usaba cuentas de medios sociales-. Ellos lo hicieron de otra forma, pues descubrieron que esa persona tenía próximo un cumpleaños y le enviaron una tarjeta de felicitación con enalce malicioso incluído vía email.

Lo peor de todo es que el experimento duró 3 meses, incluso teniendo en cuenta que los expertos que se colaron “como Pedro por su casa” ya había completado sus acciones en una semana. Significa pues que el ataque realizado por Emily Williams no fue descubierto en todo este tiempo.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR