Durante una auditoría de seguridad informática en una empresa que se dedica a conceder créditos en la que los responsables de ésta se mostraron especialmente preocupados por el factor humano y lo fácilmente que en el pasado sus empleados habían revelado claves o compartido información, así como el riesgo de seguridad que suponen las memorias USB, la gente de Dark Reading, la empresa que llevó a cabo la auditoría, consiguió entrar en los sistemas y averiguar todo tipo de información utilizando un truco la mar de sencillo.
Para ello cogieron veinte memorias USB de propaganda, las llenaron con archivos de varios tipos, incluyendo un troyano que una vez ejecutado en un ordenador empezaría a enviar información a los ordenadores de Dark Reading, y los fueron dejando «olvidados» en el aparcamiento, zonas de fumadores y otros sitios de la empresa bajo auditoría.
De las veinte memorias, quince fueron encontradas por empleados de la empresa en cuestión, y las quince terminaron por ser enchufadas en ordenadores conectados a la red de la empresa, ordenadores que en seguida empezaron a enviar datos a Dark Reading que les permitieron entrar en sus sistemas sin ningún problema.
Y eso que los empleados de la empresa estaban sobre aviso de que estaba teniendo lugar la auditoría de seguridad; parece claro que los responsables hacían bien en estar preocupados por el riesgo que suponen las memorias USB.
La historia completa está en Social Engineering, the USB Way.
Lo más sorprendente del método utilizado es el bajísimo riesgo que supone para el que lo quiera utilizar, ya que basta con dejar algunas memorias de esas por ahí desperdigadas, sin tan siquiera tener que acercarse a un ordenador y si me apuras tan siquiera sin entrar en la empresa, y confiar en que la curiosidad de la gente termine por hacer el resto, como sucedió en este caso.
Hace años el mítico Kevin Mitnick ya había utilizado un truco similar a este para infiltrarse en los sistemas de una empresa, en este caso dejando un diskette con el software malicioso en uno de los baños de ejecutivos… pero es que ya nadie usa diskettes ;-)
(Vía Slashdot.)
- Entrevista a Kevin Mitnick en la CNN en la que, entre otras cosas, habla de lo mucho que se puede conseguir con la ingeniería social.
- Ingeniería Social vs AWACS, hay que ver qué poderío tiene un uniforme.
- Seguridad (cof, cof) informática, mi clave a cambio de un bolígrafo.
- The Art of Deception, un libro del propio Mitnick sobre seguridad informática.
- Malos usos de la Ingeniería Social.
