The Art of Deception: Controlling the Human Element of Security. Kevin D. Mitnick, William L. Simon. Octubre 2002.
Sin duda uno de los más famosos hackers (o crackers, según se mire) de las últimas décadas, Kevin Mitnick, ha decidido abandonar el «lado oscuro» para trabajar en la consultoría de seguridad para empresas. Y de paso ha escrito este interesante libro.
Art of Deception no es para nada una autobiografía de Mitnick. Es un libro, probablemente el primero, que describe en detalle todas las técnicas de Ingeniería Social aplicadas por los hackers/crackers para infiltrarse en empresas, obtener información, contraseñas y datos que no podrían conseguirse de otra forma.
La Ingeniería Social podría definirse simplemente el uso de las personas como herramientas para conseguir el fin deseado, no tiene un gran componente tecnológico que digamos. Se podría asemejar mucho a la manipulación de las personas en timos callejeros - y de hecho tiene componentes similares. Mitnick describe en el libro en forma de historias reales (con nombres de personas y empresas imaginarios) muchas de estas incursiones. Una de ellas, entre el Hacker (H) y la empresa XYZ podría ser algo así (esta me la he inventado yo, que conste):
Llamada 1 Recepcionista: XYZ Corp, buenos días, ¿en qué puedo ayudarle? H: Hola, somos una agencia de prensa y querríamos enviar una carpeta con información corporativa a su director de marketing, para que la evaluara ¿podría decirme su nombre y dirección? R: Si, puede enviarlas a Mark Ethin, a la dirección (...) H: ¿Por casualidad no tendrán ustedes a alguien más de marketing en otra sucursal? R: Si, también está Peter Webber en la sucursal de (...) H: ¿Y el número de fax de la central, para ponerlo en mi ficha de contactos? R: El 212-555-1234 H: Gracias por la información, me ha resultado de mucha ayuda.El análisis de esta historia, el «cómo funciona», como describiría Mitnick en el libro, es muy sencillo: Primero el hacker consigue unos nombres de empleados de la empresa, algo suficientemente inocuo que la recepcionista no tiene problemas en facilitarle junto con otros datos como el fax de la central. A continuación, llama a una sucursal haciéndose pasar por un empleado nuevo con «problemas», algo que la gente cree con facilidad. Suelta algunos nombres para dar mayor credibilidad y pide que le envíen cierta información confidencial. Su interlocutor no pone reparos a la petición porque sabe que envía el fax al número de la oficina central, que ya conoce, lo cual es suficientemente seguro. Finalmente, el hacker habla con la recepcionista a la que debe llegar el fax, haciéndose pasar por consultor «con prisas» y aludiendo a un error de alguien de la sucursal respecto a un fax que debe recibir. La recepcionista da por buena su historia porque el fax va a su nombre y además conoce el contenido. De modo que lo reenvía a donde le dicen, en su afán por ayudar: al fin y al cabo el contenido de ese fax es para la persona que le acaba de llamar. El hacker recoge finalmente el fax, con el plan de marketing confidencial de XYZ, en cualquier copistería. El coste de la operación: pagar la recepción del fax y tres llamadas.Llamada 2
R: Sucursal XYZ Corp, ¿dígame?
H: Hola, querría hablar con Peter Webber de Marketing, te llamo desde la oficina de Mark Ethin en la central.
R: Te paso.
Peter: Sí, ¿dígame?
H: Hola Peter, a ver si puedes ayudarme. Me llamo Hank y soy nuevo en la empresa. Trabajo en Marketing con Mark Ethin en la oficina central desde hace unos días. Mark está fuera de la oficina y me ha encargado conseguirle una copia impresa del último plan de marketing. Pero al parecer hay algún problema con mi PC porque no han terminado de instalarlo bien y no puedo acceder a la intranet. He pensado que tal vez tu lo tengas. Corre un poco de prisa, la verdad, y ya sabes que en arreglar los PCs tardan una barbaridad aquí.
P: Sí, bueno... tengo la copia que nos envió el otro día.
H: De acuerdo, entonces, ¿podrías mandárnosla a la central? No se si mi email funcionará... Lo más práctico sería que nos lo enviaras por fax a recepción, ya sabes, al 212-555-1234.
P: De acuerdo, al número de siempre. Va para allá.
H: Recuerda ponerlo a mi nombre, Hank Kerson. Yo se lo haré llegar a Mark. ¡Gracias!Llamada 3 (horas después)
Recepcionista: XYZ Corp, buenos días, ¿en qué puedo ayudarle?
H: Hola, me llamo Hank Kerson, a ver si puedes echarme una mano... Trabajo en una consultora externa para el departamento de Marketing, y estamos terminando un proyecto con cierta urgencia. Peter Webber de vuestra otra sucursal tenía que haberme enviado hace unas horas un fax con cierta información, pero no me ha llegado. He preguntado allí y al parecer alguien se equivocó de número y lo ha enviado al fax de vuestra oficina principal, aunque el fax está a mi nombre.
R: Sí, lo tengo por aquí, pone «Hank Kerson», me extrañó al recibirlo porque aquí no trabaja nadie con ese nombre.
H: Ah, perfecto, es el mío. Debe tener ciertos datos de marketing, ¿verdad?
R: Sí, pone algo de «plan de marketing»
R: Ese es... Entonces, ¿no te importaría reenviarmelo al 212-555-9876?
R: No hay problema, va para allá, lo tendrás en cinco minutos.
H: ¡Gracias! Enviaré un correo a Peter para decirle que todo está solucionado.Finalmente, Hank se dirige a la copistería más cercana y recoge allí el fax con el plan de marketing de la compañía XYZ.
El libro está lleno de ejemplos como estos: cómo utilizar decenas de argucias telefónicas, cómo entrar sin permiso en oficinas e instalaciones... Alguna de las partes está dedicada de forma específica a cómo combinar tecnología con ingeniería social, pero dejando claro que siempre es más importante la ingeniería social que la propia tecnología. «Ningún sistema está seguro si lo utiliza una persona, porque lo vulnerable es la persona» afirma Mitnick (con toda la razón del mundo). Hay un capítulo dedicado a las contraseñas (cómo conseguirlas, lo mal que las elige la gente, etc.) otro dedicado a formas de introducir y evitar que te intruduzcan virus, troyanos, emails engañosos (el ejemplo de eBay y la historia que conté hace meses en Malos usos de la Ingeniería Social son prácticamente idénticos), pantallas y webs de login falsos, etc. Finalmente hay unas guías detalladas sobre cómo proteger sistemas y altertar a los empleados mediante procedimientos seguros y, sobre todo, concienciación.
Dos detalles que me han llamado mucho la atención: el primero, lo relativamente fácil que es suplantar el Identificador de Llamada (Caller ID) de los teléfonos (fijos y móviles). Esto junto con la credibilidad que mucha gente le da a esta identificación es un potente arma de ingeniería social. Y el segundo, que Mitnick mencione Influence: The Psychology of Persuasion de Robert B. Cialdini, del que escribí una reseña hace meses) como un resumen perfecto de cómo funcionan los procesos de la influencia en la ingeniería social, que en este caso serían los mismos seis: Reciprocidad, Compromiso y Consistencia, Pruebas Sociales, Gustarse y ser Parecidos, Autoridad y Escasez.
Como siempre, la fina línea entre el hacker y el cracker (cuando cae en la maldad y se pasa al «lado oscuro») está ahí, y Mitnick lo sabe bien: sus andanzas le hicieron dar con sus huesos en la carcel hace años. El 20 de enero de 2003 quedará libre, ha conseguido recuerar su licencia de radioaficionado y también el derecho a navegar por Internet. No está mal que el «criminal informático más buscado del mundo» (según el gobierno americano) ahora escriba libros y haya fundado una empresa, Defensive Thinking, donde imparte cursos y seminarios. Algo parecido le sucedió a Frank Abagnale, uno de los más conocidos impostores y timadores (aunque en aquellos tiempos no se le llamara «Ingeniería Social»), que ahora trabaja para el FBI y que también escribió su libro Catch Me if You Can llevado al cine como Atrápame si puedes por Steven Spielberg.
Actualización: Aquí está publicado el supuestamente primer «capítulo perdido» del libro: The Missing Chapter from The Art of Deception, by Kevin Mitnick. En realidad el principio está incluido en el libro, como pequeña autobiografía, pero el final (donde Mitnick critica a John Markoff, el periodista del New York Times que más ha seguido su trayectoria) no está incluido.
