PWNED analiza fallos de seguridad basados en la ingeniería social, destacando un caso donde un experto logró acceder a una red fingiendo ser un ejecutivo. El texto critica la falta de protocolos en el soporte técnico y advierte sobre la vulnerabilidad humana al querer ser serviciales. Concluye que la base de la seguridad informática es la sospecha y el seguimiento riguroso de los procesos.



PWNED Bienvenidos una vez más a PWNED, la columna donde le ayudamos a prepararse para el éxito en la seguridad estudiando los fallos vergonzosos de otros. El terrible relato de hoy involucra a personas que intentan hacer lo correcto por un ejecutivo de la empresa bajando la guardia, lo cual nunca es una decisión inteligente.


Nuestra triste historia proviene de Brandon Dixon, quien actualmente se desempeña como CTO y cofundador de la firma de seguridad de IA Ent. En una vida anterior, sin embargo, Dixon era un pentester contratado y vio cosas que hacen que todos mis cabellos restantes se ericen con solo escucharlas.

• Durante una asignación de pentesting, Dixon intentó descubrir qué tan fácil sería robar la cuenta de alguien utilizando ingeniería social. La respuesta: apenas un inconveniente.

Dixon llamó por teléfono a seguridad informática y fingió ser el jefe de seguridad que había perdido su contraseña. Cuando le hicieron preguntas de verificación, dijo que también había olvidado las respuestas.

Luego les dio por teléfono la contraseña que quería utilizar y ellos realizaron el restablecimiento por él. Después de eso, pudo entrar en la red y hacer allí todo lo que quiso.

Hay tantas cosas obviamente mal aquí que es difícil saber por dónde empezar a sacar lecciones. Los agentes de soporte informático no deberían haber creído la palabra de Dixon de que era el gerente de seguridad, especialmente después de que fallara las preguntas de verificación, y deberían haber denegado su solicitud de restablecer la contraseña. Probablemente pensaban "este tipo es un ejecutivo y no queremos hacerle enfadar" en lugar de "tenemos procedimientos que todos deben seguir".

El otro problema aquí es que el departamento de TI ingresó la contraseña sugerida por Dixon por teléfono. En primer lugar, el departamento de TI debería haber enviado un restablecimiento de contraseña al correo electrónico o número de teléfono del empleado real. En segundo lugar, es una seguridad pésima que alguien más que el propio usuario conozca la contraseña de un usuario. Y digo esto como alguien que trabajó para una empresa donde, si tenías un problema, el personal de soporte técnico te pedía la contraseña a través del chat.

Dixon también compartió otra historia sobre ingeniería social de una época en la que asesoraba a una empresa farmacéutica. Miembros de la competencia llamaban a los representantes de ventas y marketing, fingían ser compañeros de trabajo y luego extraían información sobre próximos fármacos. Esto permitía a los competidores saber qué se avecinaba y cómo responder a ello.

Para ayudar a resolver el problema, Dixon instituyó un sistema donde los empleados reales tenían que dar una contraseña secreta al inicio de una conversación.

"Construí un sistema llamado 'Chal-Resp', abreviatura de 'challenge-response' (desafío-respuesta), que generaba emparejamientos de trabajo para que un usuario pudiera validar que estaba hablando con un empleado real", dijo a The Register. "El llamador tendría que decir la palabra y el usuario final tendría que responder con el desafío adecuado; solo los empleados tenían acceso".

Lo que ambas historias de Dixon tienen en común es la prueba de que los seres humanos están ansiosos por complacer y ser útiles. Pero la sospecha es la raíz misma de la seguridad de la información, por lo que nos conviene a todos ser un poco menos serviciales con los extraños en el lugar de trabajo.

Fuente:
TheRegister