Cmo prevenir el sabotaje informtico

A juicio de Kevin Mitnick un famoso hacker que se convirti en respetado consultor de empresas, para proteger la informacin no hacen falta complejos sistemas tecnolgicos. Basta con establecer procedimientos y normas de seguridad, y tener en cuenta que el taln de Aquiles puede ser el personal.
as estadsticas son aterradoras. En 2001, el 85 por ciento de las organizaciones que respondieron a una encuesta realizada por The Computer Security Institute, entidad que brinda servicios para especialistas en proteccin de datos, afirm haber comprobado violaciones en sus sistemas de computacin, y el 64 por ciento dijo que sufri prdidas financieras debido a ellas. Un estudio similar, hecho por el FBI en abril de 2002, demostr que los piratas informticos haban atacado a nueve de cada 10 grandes corporaciones. Kevin Mitnick, cofundador de Defensive Thinking consultora especializada en seguridad informtica que utiliza las tcticas invasivas de los hackers para detectar fallas en la infraestructura tecnolgica de las empresas, sostiene que uno de los mitos ms difundidos es que el arma mortal de un pirata informtico es la computadora, motivo por el cual muchas compaas instalan complejos y avanzados sistemas de proteccin de datos. Sin embargo aade, el principal aliado de los hackers es el simple y tradicional telfono, y el verdadero taln de Aquiles de la seguridad de la informacin son los empleados. Mitnick habla con conocimiento de causa: fue uno de los hackers ms famosos del mundillo informtico. Estuvo detenido cinco aos en prisiones federales de los Estados Unidos por infiltrar las redes de varias multinacionales. Liberado en el 2000, por expresa orden judicial debi mantenerse alejado de las computadoras hasta enero de este ao. Sus aventuras fueron noticia en las revistas Time, Wired y Forbes, as como en los diarios The New York Times y The Wall Street Journal. Para que sirviera de alerta a posibles vctimas, relat su experiencia delictuosa en The Art of Deception (John Wiley & Sons, 2002), el libro que escribi con William Simon. Actualmente, Mitnick es uno de los especialistas en seguridad informtica ms solicitados por las empresas estadounidenses, y sus ideas y consejos son difundidos por medios especializados, como Harvard Business Review, y de alcance masivo, como la cadena de televisin CNN. No es fcil ponerse en contacto con l: su casilla de e-mail y el contestador telefnico exigen que los mensajes y las llamadas sean de personas autorizadas. Y, dada su repentina notoriedad, resulta casi imposible encontrar espacio en su apretada agenda. Por fin, acuerda un dilogo por telfono para el feriado del Memorial Day (fecha que recuerda a los cados al servicio de la nacin) en los Estados Unidos, y empieza la conversacin anticipando interferencias, porque estoy viajando en auto por el desierto. Esta nota glosa ese dilogo.

En sntesis
Cada vez ms, los hackers se valen de

viejas tcnicas de simulacin para obtener la informacin que desean. En vez de descifrar complejos cdigos de seguridad, engaan a los empleados para que les revelen las claves de acceso. Sus ataques constan de dos etapas: en la primera investigan y recolectan datos sobre la compaa. En la segunda entablan una relacin de confianza con los empleados que tienen acceso a la informacin buscada, y utilizan tcnicas psicolgicas para que la revelen. Cmo protegerse de los piratas informticos? Kevin Mitnick subraya dos acciones: fijar polticas, procedimientos y reglas de seguridad, y capacitar al personal. A su vez, los responsables de disear la poltica de clasificacin de datos deben prestar atencin a detalles que los empleados juzgan sin valor, pero que podran abrir la puerta a informacin confidencial.

Trucos nuevos y antiguos

Cada vez ms, los atacantes utilizan viejas tcnicas de engao y simulacin para obtener los datos que desean explica el ex hacker. En lugar de descifrar complejos cdigos de seguridad de las empresas, embaucan a un empleado para que les revele la clave de acceso.

TECNOLOGIA

1/3

A su juicio, quienes logran infiltrarse en los sistemas de las compaas son hbiles manipuladores de la naturaleza humana, y se refiere a ellos como ingenieros sociales. Acuado durante la Segunda Guerra Mundial, el trmino ingeniera social aluda a ciertas tcnicas de control de la poblacin. En la dcada de los 70 cobr un nuevo sentido: se lo aplic a las tcticas de engao y simulacin de los saboteadores de compaas telefnicas; en aos posteriores extendi su alcance, y ahora describe las simulaciones utilizadas por los hackers para burlar a un usuario de computadora e inducirlo a revelar informacin clasificada. Por ejemplo? Un empleado recibe el llamado de alguien que se identifica como miembro del departamento de sistemas informticos. El impostor le explica que algunas computadoras de la compaa han sido infectadas por un virus capaz de destruir los archivos del disco rgido, y que no es reconocido por el programa antivirus instalado en las computadoras. De inmediato, se ofrece a ayudarlo a resolver el problema, dictndole instrucciones por telfono para verificar si la suya est libre de problemas. Resuelto el potencial y falso inconveniente, el hacker le solicita al empleado que pruebe un nuevo software para hacer cambios en las palabras clave. Como agradecimiento, y para retribuir el favor, el empleado accede al pedido. Otro ataque tpico se parece al siguiente: el ingeniero social enva e-mails anunciando que las primeras 100 personas que se registren en el nuevo sitio web de la compaa sern premiadas con entradas para un estreno cinematogrfico. En realidad, se trata de un sitio falso, creado por el impostor con el objetivo de obtener informacin: en sus pginas, un programa les pide a los usuarios que registren sus datos personales, el e-mail de la compaa y una palabra clave. Debido a que mucha gente suele utilizar la misma contrasea en todos los sistemas, es probable que el hacker obtenga alguna que le permita ingresar a la red de la empresa.

El ataque y las vctimas

Mitnick explica que el ataque de un ingeniero social se lleva a cabo en dos etapas. En la primera hace la investigacin y recoleccin de datos sobre la compaa: la identidad y antigedad de sus empleados, sus responsabilidades y las medidas de proteccin utilizadas (quin tiene acceso a la informacin deseada?, dnde est ubicada?, qu tipo de sistema operativo utiliza?). En esta instancia, el pirata informtico suele apelar a fuentes de acceso pblico: folletera de marketing, recortes de prensa, revistas de la industria, contenido de sitios web e, incluso, cestos de basura (ver recuadro). En la segunda etapa entabla una relacin de confianza con el empleado que tiene acceso a la informacin buscada, y se vale de tcnicas psicolgicas para que le revele datos. Su blanco preferido es la gente recin incorporada, que por lo general no est familiarizada con las polticas y los procedimientos de seguridad de la compaa, conoce personalmente a pocos empleados, tiende a cooperar para demostrar que sabe trabajar en equipo, y es poco probable que cuestione la autoridad de alguien que se presenta como un alto ejecutivo. Los ingenieros sociales se aprovechan de la naturaleza humana dice Mitnick. En mi opinin, las personas confan demasiado en los dems, y tienden a otorgarles el beneficio de la duda. Suponen que los otros empleados y colegas tienen sus mismos valores ticos y morales. Como no se les ocurrira engaarlos, tampoco consideran que podran ser engaados. Los ingenieros sociales son expertos en manipular el deseo de la gente de ser servicial, su credibilidad y hasta su curiosidad. De acuerdo con su experiencia, varios aspectos de la naturaleza humana suelen ser explotados por los piratas informticos. Como la inclinacin a respetar la autoridad es uno de ellos, simulan ser altos ejecutivos de la compaa y sacan ventaja de la tendencia natural de los individuos a obedecerlos. En segundo lugar, aprovechan el deseo de agradar a los dems, natural en la gente. En consecuencia, averiguan un pasatiempo de la vctima y entablan una conversacin sobre ese tema, sabiendo que es ms fcil que acceda a los pedidos de alguien que tiene intereses similares a los suyos. Despus, Mitnick ilustra la actitud de reciprocidad con el ejemplo del hacker que simula un cargo en el departamento de sistemas informticos y engaa al empleado con la historia del falso virus, quien accede a probar un programa en retribucin por la ayuda recibida, sin saber que es invasivo. La tendencia de la gente a cumplir con la palabra empeada tampoco es ajena a los clculos del impostor: llama por telfono a un empleado relativamente nuevo y le dice que est ve-

2/3

rificando el cumplimiento de las normas de seguridad de la compaa. A tal efecto, le pide que le revele su contrasea para constatar si se ajusta a la poltica de eleccin de palabras clave. Finalmente, le da algunas sugerencias de diseo de contraseas, de manera que l pueda descubrirla despus. Como ha dado su palabra de respetar las normas de seguridad de la empresa, el empleado sigue al pie de la letra las recomendaciones del hacker. Por fin, un ejemplo de la manera en que saca partido de la inclinacin a imitar la conducta de otros: llama a un empleado para decirle que est realizando una encuesta, y que ya ha entrevistado a otras personas de su departamento, a quienes nombra especficamente. La vctima accede a responder, porque cree que la cooperacin de los dems valida la autenticidad del pedido y, claro est, entre las preguntas de la falsa encuesta hay algunas que permiten descubrir el nombre de usuario y la clave de acceso a su computadora.

En busca de seales
Puede reconocerse el ataque de un ingeniero social? Mitnick asegura que s. En general, es posible identificar algunas seales de advertencia relacionadas con las tcnicas psicolgicas que emplea. Por ejemplo, se negar a dar su nmero telefnico y, si se lo exigen, lo ms probable es que diga que l llamar ms tarde. Otros indicios son los halagos excesivos o las preguntas infrecuentes, del tipo: Olvid una direccin, podras buscarla en la agenda de mi computadora? A su juicio, la mejor estrategia de prevencin es preguntarse: por qu me llaman? Hay algo fuera de lo comn en esta llamada? Si alguien que usted no conoce personalmente le solicita que realice determinada tarea, aparentemente inocua, examine con ms cuidado el pedido, aconseja. En cuanto a las medidas de proteccin que deben tomar las empresas, Mitnick subraya dos: Fijar polticas, procedimientos y reglas de seguridad, pero sobre todo capacitar al personal para que adquiera conciencia de los mtodos que emplean los ingenieros sociales. Los empleados deberan saber, por ejemplo, que el conocimiento de los procedimientos y de la jerga interna de la compaa no son suficientes para autorizar a un individuo que solicita informacin. En consecuencia, hay que determinar el mtodo de identificacin que el personal deber utilizar al interactuar con gente que no conoce, y disear un procedimiento detallado que revele si la persona que llama es realmente un empleado. Adems, sostiene que los responsables de disear la poltica de clasificacin de datos deberan prestar atencin a ciertos detalles que los empleados juzgarn sin valor, pero que podran abrir la puerta a informacin confidencial. Es obvio que nadie revelar su clave de acceso a un cajero automtico apunta, pero mucha gente no tendr reparos en informar qu tipo de servidor utiliza la compaa. En definitiva concluye Mitnick, no importa cunto dinero gaste una empresa en sistemas y protocolos de seguridad; si no educa y capacita a su gente, siempre ser vulnerable a los ataques de los ingenieros sociales. Gestin/ Viviana Alonso

3/3