Roger A. Grimes - Hackear al hacker

Le pregunté a Schneier cómo empezó a interesarse por la seguridad informática. Me contestó: «Siempre me han interesado las matemáticas y los códigos secretos, la criptografía. Mi primer libro, Applied Cryptography [Criptografía aplicada], acabó siendo el libro que me gustaría haber leído. Pero a mí siempre me ha gustado mucho llevar la contraria. Me di cuenta de que la tecnología no era el problema más grande, sino que el mayor problema son los humanos o las interficies que interactúan con los humanos. Los problemas de seguridad informática más complicados no están relacionados con la tecnología, sino con cómo utilizamos la tecnología con todos los aspectos sociales, políticos y económicos relacionados con la seguridad informática. Yo paso mucho tiempo pensando en los usuarios de alto riesgo. Tenemos la tecnología para protegerlos, pero ¿podemos crear soluciones útiles que no les impidan hacer su trabajo? Y aunque así fuera, nunca los convenceríamos de que las usaran».

Le pregunté qué pensaba de las recientes filtraciones internas de algunas agencias de inteligencia americanas. Dijo: «En todos esos datos, no había muchas sorpresas, como mínimo para aquellos que estamos atentos. Lo que sí evidenció fue confirmación y detalle, y este detalle sí era sorprendente. El secreto es sorprendente. Yo no digo que todo lo que ha ocurrido podría haber sido evitado si hubiéramos tenido más conocimientos, pues en el mundo de después del 11-S, todo cuanto hubieran pedido habría sido aprobado. Por lo tanto, lamentablemente, todo cuanto se hizo no ha generado un gran cambio, como mínimo de inmediato. Se aprobó una ley menor (que impedía la recogida masiva de metadatos en todas las llamadas de teléfono americanas por parte de la NSA [Agencia de Seguridad Nacional]). Pero sí que trajo una vigilancia gubernamental a la arena pública, lo que hizo cambiar algunas percepciones públicas. Ahora la gente conoce el tema y se preocupa. Puede pasar otra década hasta que este impacto se note, pero eventualmente la política cambiará para bien gracias a ello».

Le pregunté a Schneier cuál creía que era el mayor problema en seguridad informática y me dijo: «¡La vigilancia corporativa! Son las empresas, más que los Gobiernos, las que quieren espiar. Son Facebook y Google quienes espían a la gente contra sus propios intereses, y el FBI puede exigir una copia tanto si las empresas quieren darla o como si no. El capitalismo de vigilancia es el verdadero y fundamental problema».

Le pregunté a Schneier en qué libro estaba trabajando (él siempre está trabajando en algún libro). Y me contestó: «Estoy pensando en un posible nuevo libro que trate los problemas físicos en la ciberseguridad como el Internet de las cosas, y cómo puede cambiar todo si los ordenadores se vuelven peligrosos. Una cosa es que una hoja de datos tenga una vulnerabilidad y se cuelgue o corra peligro. Y otra cosa es cuando se trata de tu coche. La seguridad informática débil puede matar a gente. ¡Y esto lo cambia todo! Hablé en el Congreso hace un mes sobre este tema. Dije que ha llegado el momento de ponernos serios. Ya no es momento para juegos. Necesitamos regular. ¡Hay muchas vidas en juego! No podemos aceptar este nivel de software de pacotilla lleno de errores. Sin embargo, la industria no está preparada para tomárselo en serio, y debería. ¿Cómo puede alguien trabajar en mejorar la seguridad de los coches como realmente se está haciendo cuando no hemos sido capaces de detener a los hackers y las vulnerabilidades en el pasado? Algo tiene que cambiar. Y cambiará».

Bruce Schneier ha sido durante décadas un líder de pensamiento en el mundo de la seguridad informática y continúa estando a la vanguardia de las discusiones más importantes. Si te interesa la seguridad informática, deja que también sea para ti tu mentor no oficial.

Si deseas saber más acerca de Bruce Schneier, consulta estos recursos:

■ Blog de Bruce Schneier: https://www.schneier.com/

■ Newsletter Crypto-Gram, de Bruce Schneier: https://www.schneier.com/crypto-gram/

■ Libros de Bruce Schneier

En el mundo de los ordenadores, la ingeniería social puede describirse como engañar a alguien para que haga algo, a menudo perjudicial, para sí mismo o para otros. La ingeniería social es una de las formas más comunes de hackear porque la mayoría de las veces tiene éxito. Normalmente resulta muy frustrante para el defensor, puesto que no se puede prevenir solo mediante la tecnología.

La ingeniería social puede llevarse a cabo de muchas maneras, tanto en el ordenador como mediante una llamada de teléfono, en persona o con métodos tradicionales de correo postal. Existen tantas formas y variedades de ingeniería social que en cualquier lista que intente catalogar todas estas formas faltará alguno de los métodos. Cuando la ingeniería social tiene su origen en el ordenador, normalmente se lleva a cabo por correo electrónico o Internet (aunque también ha habido casos en los que se ha llevado a cabo por mensajería instantánea y mediante cualquier otro tipo de programa informático).

Un objetivo común de la ingeniería social es capturar las credenciales de conexión de un usuario mediante lo que se conoce como phishing o suplantación de identidad. El phishing en correos electrónicos o sitios web intenta engañar al usuario para que proporcione sus credenciales de conexión legítimas haciéndose pasar por un administrador o sitio web legítimo familiar para el usuario. El truco de phishing más común es enviar un correo electrónico haciéndose pasar por un administrador web que reclama al usuario que verifique su contraseña si desea seguir accediendo a dicho sitio.

El spearphishing es un tipo de intento de phishing dirigido concretamente a una persona o un grupo específicos mediante información no pública que el o los objetivos conocen muy bien. Un ejemplo de spearphishing es un gestor de proyectos al cual se envía un documento adjunto en un correo electrónico supuestamente de parte de otro miembro del proyecto supuestamente relacionado con el proyecto con el que está trabajando; cuando abre el documento, se ejecuta alguna acción maliciosa. El spearphishing a menudo está relacionado con muchos de los ataques corporativos más importantes.

Otro de los trucos más populares de la ingeniería social se utiliza para hacer que un usuario desprevenido ejecute un programa troyano. Esto puede realizarse vía correo electrónico, con un archivo adjunto o con una URL incrustada. Normalmente ocurre en sitios web. En ocasiones, un sitio legítimo es atacado y, cuando el visitante, confiado, carga la página, debe ejecutar un archivo. El archivo puede ser un complemento «necesario» de terceros, un falso antivirus o un parche «requerido». El sitio web legítimo puede ser atacado directamente o en otro elemento incluido de forma independiente, como un banner de publicidad de terceros. En cualquier caso, el usuario, quien ha confiado en este sitio web legítimo después de visitarlo durante años sin ningún problema, no tiene ninguna razón para sospechar que el sitio ha sido atacado.

Los estafadores también pueden llamar a un usuario haciéndose pasar por el soporte técnico, un proveedor conocido o una agencia del Gobierno.

Una de las estafas más populares es cuando el usuario recibe una llamada de alguien que dice ser del soporte técnico advirtiendo que se ha detectado un programa malicioso en su ordenador. Entonces solicita al usuario que descargue un programa antimalware , el cual procede, no sin sorpresa, a detectar muchos, muchos programas maliciosos. Después, dicen al usuario que descargue y ejecute un programa de acceso remoto que, posteriormente, el falso equipo de soporte técnico utilizará para conectarse al ordenador de la víctima y dejar en él otros programas maliciosos. El programa del falso soporte técnico termina cuando la víctima compra un programa antimalware , también falso, utilizando su tarjeta de crédito.