Video: Enfrentan a feministas en Facultad de Ingeniería de la UNAM | Noticias con Ciro Gómez Leyva (Noviembre 2024)
Durante los últimos cinco años, Chris Hadnagy, Jefe de Hackers Humanos de Social-Engineer, Inc., ha llevado a cabo una competencia inusual en Def Con. Llamado Social Engineering Capture The Flag, desafía a los concursantes a recopilar información sobre varias compañías (banderas, si lo desean). Esto es ingeniería social: el arte de recopilar información de objetivos sin tener que entrar en un edificio o piratear una red.
En la primera fase, 20 concursantes trabajan para obtener información sobre empresas objetivo de fuentes disponibles públicamente. La última fase es una maratón de 25 minutos de llamadas telefónicas donde los concursantes bombean víctimas para obtener información. Esto va de lo mundano ("¿Tiene una cafetería?") A lo crítico ("¿Utiliza cifrado de disco?") A lo potencialmente desastroso: engañar a las víctimas para que visiten URL falsas. La competencia de este año incluyó a diez compañías, incluidas Apple, Boeing y General Dynamics, entre otras.
Batalla de los sexos
"Desde el principio siempre hemos hecho un llamado para que las mujeres se unan", dijo Hadnagy. Adoptar un formato de "hombres contra mujeres" y promover activamente el papel de las mujeres en la competencia ayudó a mejorar la paridad en los últimos dos años. Hadnagy dijo que dar a las mujeres más visibilidad en el proyecto era fundamental, y alentó a otras a unirse. "Tuvimos más mujeres de las que podríamos tomar este año", dijo.
¿Cómo les fue a las mujeres contra sus homólogos masculinos? "Este año, las mujeres no solo ganaron", dijo Hadnagy. "Borraron a los hombres". Tres de los cinco primeros puestos fueron para mujeres, y el ingeniero social de mayor puntaje tuvo más de 200 puntos más que el siguiente participante con el puntaje más alto.
Es fácil sacar muchas conclusiones de estos datos, pero en lo que respecta al éxito de las mujeres en la ingeniería social, Hadnagy dijo que simplemente no hay suficiente información. "No creo que pruebe que las personas confíen en las mujeres inherentemente", dijo. "Las mujeres ganadoras muestran algo, pero no tenemos datos que muestren que eran mujeres hablando con hombres".
Dicho esto, las mujeres tenían una amplia gama de puntajes en comparación con los hombres, lo que se observó en el informe final del concurso. Decía: "la variabilidad puede ser hipotetizada por el hecho de que eran un grupo extremadamente diverso, provenientes de entornos muy diferentes y diferentes niveles de experiencia". Los hombres, por otro lado, tendían a pasar el mismo rango de puntajes con menos valores atípicos. "Aunque aseguramos la diversidad como grupo, los hombres tendieron a ser más homogéneos en cuanto a antecedentes y nivel de experiencia y tal vez esto se reflejó en el rango más pequeño de puntajes".
No tengo la información para respaldarlo, pero creo que estos datos muestran la importancia de incluir a personas de diversos orígenes en cualquier equipo. Pero solo soy yo.
La información ya está disponible
El informe final de la competencia puede no ser concluyente sobre el papel del género, pero está claro que una investigación cuidadosa fue crítica para los ganadores. Los concursantes encontraron una cantidad sorprendente de información disponible gratuitamente en línea, y aquellos con puntajes más altos en las fases de investigación tendieron a mejorar mucho durante la convocatoria real.
En un caso, un concursante encontró un portal web público para empleados. Aunque se aseguró con una contraseña de inicio de sesión, el concursante descubrió que un documento de ayuda disponible públicamente proporcionado por la compañía objetivo contenía un nombre de usuario y contraseña que funcionaban como ejemplo. "Es 2013 y todavía estamos viendo cosas como esta", dijo Hadnagy.
Pero no se necesitaron grandes infracciones de seguridad para encontrar la mayor parte de la información que buscaban los concursantes. Gran parte estaba disponible a través de las redes sociales, a veces publicado por personas que vinculaban su correo electrónico corporativo a un servicio público. Una fuente de información sorprendió a Hadnagy: "Myspace, lo creas o no".
Mejores y mejores disfraces
Hadnagy también señaló que, además de la recopilación de información de código abierto, los concursantes también utilizaron pretextos mucho más complejos al llamar a las empresas en la fase final de la competencia. Los años anteriores vieron a muchos concursantes haciéndose pasar por encuestadores o estudiantes escribiendo informes. Hadnagy desalentó activamente ese enfoque este año, recordando a los concursantes que probablemente colgarían esas llamadas ellos mismos. "¿Por qué alguien en un entorno corporativo respondería estas preguntas?" Preguntó.
Estos pretextos son atractivos porque son más o menos anónimos y tienen poco riesgo para la persona que llama. Este año, sin embargo, vimos más concursantes haciéndose pasar por compañeros de trabajo o vendedores que trabajan con las empresas objetivo. Si bien conlleva un riesgo más inherente, Hadnagy dijo que había más confianza inherente. "Automáticamente, se confió en los concursantes y se les dio información de inmediato", dijo.
Los pretextos de los concursantes mostraron una divergencia interesante a lo largo de las líneas de género. De las diez mujeres, nueve se describieron a sí mismas como no conocedoras de la técnica y estaban buscando ayuda de "compañeros" de empleados. Todos los hombres de la competencia se hicieron pasar por expertos en tecnología y, en algunos casos, presidentes ejecutivos.
Conoce la amenaza
Si bien es interesante reflexionar sobre los cómo y los porqués de la competencia, el hecho indiscutible es que diez compañías entregaron una gran cantidad de información, ya sea por teléfono o publicadas en línea. Si bien la información que buscaban los concursantes no siempre era inherentemente peligrosa, sí se leen como un primer paso sólido en un ataque de varios niveles. Un día estás preguntando por la cafetería y al día siguiente estás solicitando inicios de sesión.
Hadnagy identifica el problema en la falta de conciencia entre los empleados, generalmente derivada de la mala educación de los superiores. Capacitar a los empleados para que piensen críticamente sobre lo que publican en línea y lo que dicen por teléfono, dijo Hadnagy, puede dar resultado con menos ataques exitosos.
Una de sus sugerencias más intrigantes fue que las compañías no castigan a las personas que caen en estafas, y alientan la libre notificación de posibles infracciones. Hadnagy le dijo a SecurityWatch que las compañías que siguen estas prácticas generalmente son mejores para manejar estas amenazas.
Independientemente de si usted es parte de una empresa o simplemente una persona en su hogar, conocer los peligros de la ingeniería social es fundamental. Entonces, la próxima vez que alguien llame o le envíe un correo electrónico pidiéndole ayuda, haga algunas preguntas antes de entregar las joyas de la corona.
Imagen vía el usuario de Flickr CGP Gray
