Hackers e ingeniería social

Por:
- - | Visto 1805 veces

Manuel López Michelone, mejor conocido como La Morsa, es físico de la Facultad de Ciencias de la UNAM, con una maestría en Inteligencia Artificial por la Universidad de Essex, Inglaterra. Es también Maestro FIDE, título que concede la Federación Internacional de Ajedrez. Experto en informática y programación, nos advierte de los peligros de navegar en Internet. Ni siquiera nos damos cuenta y resulta que ya nos hackearon: un intruso se coló en la computadora y tiene acceso a nuestra información. La Morsa trata de dimensionar el problema:

Lo que pasa es que, como en todas las actividades humanas, si uno ve un teléfono, una lavadora de platos, cualquier aparato, pues la curiosidad nos gana muchas veces: ¿cómo está hecho por dentro? ¿Cómo funciona? Hay libros que explican cómo trabajan esos equipos, pero nos hemos encontrado que con la computadora tenemos una caja negra. Realiza muchas operaciones para nosotros pero no sabemos cómo las hace. Sólo la usamos, pero cuando pasa algo malo, cuando aparece un mensaje extraño, no sabemos cómo reaccionar.


Sin embargo hay personas que se dedican a investigar qué pasa allí dentro, y todos los que han diseñado estos programas que usamos continuamente entienden qué es lo que sucede entre las tripas de la máquina, cuál es su lógica, cómo se hace un programa de computadora. Con Internet, además, uno puede meterse en algún sitio desconocido, sacar información, revisarla e imprimirla. Esto ahora lo hacemos de manera cotidiana. Así, ahora encontramos gente que dice: “Bueno, si alguien se conecta a través de un cable telefónico a un sitio en Japón, ¿por qué no puedo hacer lo mismo pero hacia la computadora de esa persona? ¿Qué pasaría si hago eso?”. No quiere decir que yo quiera entrar para ver lo que tiene en su computadora (aunque esa puede ser una razón), pero hay quienes se preguntan: “¿Cómo le hago para hacer este proceso al revés? ¿Cómo le hago para entrar en la máquina de un usuario?”.

Batman y las contraseñas populares

López Michelone delinea la frontera entre la auténtica búsqueda del conocimiento y la mera intrusión:

Se trata de establecer el punto en que uno se puede conectar y hacer algo que nadie había hecho antes. Estamos hablando de la curiosidad del hacker que investiga mecanismos que normalmente las personas no conocen. Hasta ahí todo está bien, pero ¿qué pasa cuando alguien se propone entrar a la máquina de otro para extraer información privilegiada como su número de tarjeta de crédito y sus documentos personales más importantes? A este individuo se le conoce como cracker. Simplemente hay que pensar lo que pasó con Wikileaks. Lo interesante es que, a pesar de toda esta tecnología de cables y de entender cómo se transmite la información de manera digital mediante ceros y unos, la gran intrusión se hace a través del crackeo social.

Lo que llaman ‘ingeniería social’.

Sí. Por ejemplo Kevin Mitnick, uno de los hackers más famosos del mundo (quien actualmente es dueño de una empresa de seguridad informática), cuando se empezó a meter en estas cosas consiguió contraseñas que compartió con sus amigos. Simplemente hay que saber que la contraseña más popular en Estados Unidos es ‘Batman’. Entonces él probó las contraseñas más populares y, por supuesto, algunas funcionaban. No usó necesariamente un programa. Una de las defensas de Mitnick en los juicios que le hicieron por intrusión fue esa: “Yo no usé ningún programa. Le hablé a la gente, les dije quién era y me dieron la información”. Eso es ingeniería social. No trataba de hacer hackeo a nivel computadora, de meterse en la máquina del otro y evitar o brincar un firewall (muralla de protección informática). No había nada de eso.

Contraseña de la pareja

En muchos casos los mecanismos de seguridad para acceder a los correos electrónicos requieren escribir el nombre de una mascota o una serie de datos que son fácilmente discernibles. No es tan complicado averiguarlo.

Conozco infinidad de personas que me dicen “quiero ver el correo de mi pareja”, y siempre les respondo lo mismo: “¿Te gustaría que hicieran eso con tu correo?”. Me responden: “No, a mí no, pero sí me gustaría ver el de otro”. Esto es muy difícil de obtener porque, además, la contraseña no está en la máquina del usuario. Se halla en el servidor del servicio de correo electrónico, del que no sabemos su ubicación. ¿Cómo le hacen para buscar la información? Hay miles de técnicas, una es el phishing. Se imita una pantalla con el diseño de la interfase igual a la de hotmail o banco, entonces el incauto escribe su contraseña y no funciona, pero ya dio la información.

Son páginas patito.

Se ven idénticas a las originales, por eso ahora todos los navegadores avisan: “Esta página parece sospechosa”. Es fraudulenta porque en general la dirección de Internet no corresponde a lo que debe ser. Pero incluso las páginas falsas le dicen a uno: “Ignorar la advertencia”. Eso es otra vez ingeniería social, porque no se tiene manera real de saber la contraseña de alguien, se meten porque uno se las da. A mí me pasó una vez y se supone que yo estoy educado en informática y entiendo de estas cosas. Nadie es inmune a los ataques.

La madre de todos los virus

¿Cuáles son los ataques que más te han asombrado por la audacia y la capacidad de penetrar sistemas?

Yo creo que un virus es el mejor ejemplo de esta capacidad asombrosa de entrar en las máquinas de otros porque utilizan todos los mecanismos de ataque, incluyendo la ingeniería social. El pretexto es sencillamente un “yo comparto mis programas contigo, los haya comprado o no”. Si alguien me comparte un programa que ya trae un virus integrado se puede meter en mi máquina y ni siquiera me doy cuenta. Otra forma se da al entrar a una página de Internet. Me pueden meter un virus por ese medio. Por eso necesito estar protegido, porque el virus puede venir escondido dentro de una imagen o en un programa dentro de la página.

Hacer un simple click en una imagen basta para que se dispare un programa con virus. Uno está viendo una foto maravillosa y lo que ocurre es que ya se infectó.

Ese tipo de ataques me sorprende, pero me sorprende más la cantidad de computadoras infectadas por estos ataques. No es poca la gente que tiene problemas de virus, ya sea porque es muy ingenua, no se da cuenta, o le parece que jamás va a ser atacada. Cuando se pone un antivirus el programa prácticamente te ‘grita’ que hay 40 mil bichos encima. Entonces hay que empezar a limpiar, y eso lleva tiempo. Finalmente, el problema de los virus se puede resolver. La dificultad está en el tiempo que nos quita, y eso si no nos daña algún programa o documento que no se puede ya recuperar.

El gusano de Internet, el primer virus que entró por la red, fue asombroso porque en 48 horas había infectado a prácticamente todas las máquinas que había en la web. Hay muchos factores y eventos en los que los virus son el principal protagonista, por eso hay que tener mucho cuidado. A uno de mis mejores alumnos, Manuel de Icaza, se le ocurrió un virus que jamás sacó al público (la madre de todos los virus), que cuando entra a tu máquina encripta tu disco duro, lo codifica de tal manera que sólo el virus sabe lo que hay ahí, y cuando uno hace cualquier operación, la máquina no funciona: quiero imprimir, me imprime basura; quiero guardar documentos, me guarda basura; quiero hacer cualquier cosa, sale basura. El punto es que no puedo limpiar el disco porque queda encriptado y no puedo leerlo, entonces vivo dependiendo de que el virus exista. Estoy en la computadora con mis datos mientras el virus existe. El mismo Miguel me decía: “Si esto se le ocurre a alguien, nos lleva la fregada a todos porque no sé qué vamos a hacer”.

Pero a él ya se le ocurrió, lo tiene bien guardadito.

Él hablaba de eso, pero desde luego escribió a la vez un programa antivirus. Finalmente, el virus del que habla Miguel se puede corregir, pero hay que hacer mucha ingeniería retrospectiva para ver qué hizo y crear un programa para que cuando uno quite el virus se ejecute otro que recupere el disco duro. El problema es el tiempo que nos va a llevar este proceso.

Lo que La Morsa Michelone nos enfatiza una y otra vez es que no hay que llevarnos por el canto de las sirenas de lo gratuito. Los piratas cibernéticos están siempre al acecho. Su máxima herramienta es nuestra ingenuidad.

Deja tu Comentario

A fin de garantizar un intercambio de opiniones respetuoso e interesante, DiarioJudio.com se reserva el derecho a eliminar todos aquellos comentarios que puedan ser considerados difamatorios, vejatorios, insultantes, injuriantes o contrarios a las leyes a estas condiciones. Los comentarios no reflejan la opinión de DiarioJudio.com, sino la de los internautas, y son ellos los únicos responsables de las opiniones vertidas. No se admitirán comentarios con contenido racista, sexista, homófobo, discriminatorio por identidad de género o que insulten a las personas por su nacionalidad, sexo, religión, edad o cualquier tipo de discapacidad física o mental.


El tamaño máximo de subida de archivos: 300 MB. Puedes subir: imagen, audio, vídeo, documento, hoja de cálculo, interactivo, texto, archivo, código, otra. Los enlaces a YouTube, Facebook, Twitter y otros servicios insertados en el texto del comentario se incrustarán automáticamente. Suelta el archivo aquí

Artículos Relacionados:
El insólito y poco conocido intento de México para salvar a ...
El Día De Las Madres
Restauración mexicana
¿Qué fue lo que realmente ocurrió? No sabemos.