digitales con validación extendida (EV) (https://en.wikipedia.org/wiki/Extended_Validation_Certificate) en muchos de los sitios web más populares. Los sitios web EV se suelen indicar de alguna manera (normalmente con la barra de direcciones en verde o el nombre destacado también en verde) para confirmar al usuario que la URL y la identidad del sitio web han sido confirmadas por terceros de confianza. Para ver un ejemplo de EV, dirígete a https://www.bankofamerica.com.
Deshazte de las contraseñas
El phishing de credenciales no puede funcionar si el empleado no proporciona sus credenciales de acceso. Los nombres de inicio de sesión simples están desapareciendo a favor de la autenticación de dos factores (2FA), certificados digitales, dispositivos de inicio de sesión, autenticación fuera de banda y otros métodos de conexión que no pueden ser víctimas del phishing.
Tecnologías contra la ingeniería social
La mayoría de las soluciones antimalware, de filtrado web y de correo electrónico contra el correo no deseado intentan minimizar los efectos de la ingeniería social con ordenadores. El software antimalware intenta detectar la ejecución de archivos maliciosos. Los programas de filtrado web tratan de identificar sitios web maliciosos cuando el navegador del visitante intenta cargar una página. Y las soluciones de correo electrónico contra el correo no deseado suelen filtrar los correos de ingeniería social. Sin embargo, la tecnología no siempre tiene un éxito completo, por lo que es preciso combinarla con la formación del usuario y otros métodos.
La ingeniería social es un método de hackeo que tiene mucho éxito. Algunos expertos en seguridad informática te dirán que no puedes hacer la suficiente formación para conseguir que todos los empleados estén atentos a las tácticas de ingeniería social. Se equivocan. Una combinación de una formación suficiente y las tecnologías correctas puede disminuir significativamente el riesgo de ingeniería social.
En el siguiente capítulo, se muestra el perfil del experto en ingeniería social Kevin Mitnick. Sus experiencias como hacker de ingeniería social lo han ayudado a defender mejor a sus clientes durante décadas.
5
Perfil: Kevin Mitnick
Cuando aparece el término hacker informático, todo el mundo piensa en Kevin Mitnick. En los 70, 80 y 90, Kevin Mitnick era el hacker. Mitnick utilizaba una combinación de ingeniería social y búsqueda de sistemas operativos de bajo nivel para llevar a cabo todo tipo de maniobras indignantes, aunque el daño general que causaba es discutible, especialmente si se compara con los ataques APT y ransomware mundiales de nuestros días.
Tanto él como sus explotaciones han servido de argumento para muchos libros y muchas películas y han generado una peculiar subcultura de excéntricas historias de hackers que se le atribuyen, pero que él nunca ha protagonizado. El Gobierno temía tanto a Mitnick que ha sido el único prisionero americano que no tenía permitido utilizar el teléfono mientras estuvo en la cárcel y permaneció en confinamiento solitario por miedo a que, con solo una palabra o un sonido, fuera capaz de lanzar un misil nuclear. Si alguna vez has visto una película en la cual el protagonista pronunciaba una palabra por teléfono e, inmediatamente después, ocurrían un montón de maldades cibernéticas, dicha escena surgió de la paranoia que existía alrededor de Mitnick.
He incluido a Mitnick como uno de los primeros del libro porque, a partir de esos años de daños cibernéticos, ha dedicado su vida a luchar contra los delitos informáticos y es uno de los pocos sombreros blancos de largo recorrido reformados en los que yo confío plenamente. Mitnick ha escrito varios libros sobre seguridad informática y, actualmente, trabaja para distintas empresas (como KnowBe4), cuenta con su propia firma de consultoría de seguridad (Mitnick Security Consulting), tiene una agenda de charlas más llena que cualquier otra persona que conozca, colabora con el programa de comedia y sátira política estadounidense The Colbert Report y ha tenido un cameo en la popular serie de televisión Alias. Las lecciones de Mitnick a la industria han tenido como resultado un fuerte reconocimiento del papel que juega la ingeniería social en el mundo del hackeo y del modo en que se debe combatir. Después de todo, si vas a detener a un criminal, no puede hacer ningún daño aprender de uno inteligente y reformado.
Le pregunté a Mitnick qué le había llevado a interesarse por el mundo del hackeo. Me contestó: «Desde niño me interesaba la magia. Me encantaba la magia. En la escuela, un niño me mostró algunos trucos con el teléfono, por ejemplo, cómo realizar llamadas de larga distancia, cómo localizar la dirección de alguien solo con su número de teléfono, cómo reenviar llamadas, etc. Iba a una cabina de teléfono, llamaba a alguien (la compañía de teléfonos), se hacía pasar por alguien y algo mágico pasaba. Esta fue mi primera experiencia con la ingeniería social. Para mí, fue como pura magia. Yo no sabía que esto era phreaking e ingeniería social. Solo sabía que era divertido y emocionante y más o menos empezó a apoderarse de mi vida. Esto es todo lo que hice. Me aburría en la escuela y, como me pasaba las noches haciendo phreaking, mis notas empezaron a verse afectadas».
Le pregunté qué pensaban sus padres de sus hackeos. Me contestó: «Bueno, al principio ellos no sabían nada. O como mucho pensaban que hacía cosas sospechosas con el teléfono. Mi madre pensaba: “¿qué problemas puede tener con el teléfono, además de molestar a la gente?”. No sospecharon nada hasta que mi madre recibió una carta oficial de AT&T informándola de que el servicio telefónico había sido inhabilitado. Se enfadó mucho. Piensa que todo esto ocurrió en los tiempos antes de la llegada de los teléfonos móviles. El teléfono de casa era tu única forma de comunicarte con otras personas. Le dije que se calmara y que yo lo arreglaría.
»Básicamente, realicé ingeniería social para que volviéramos a tener teléfono en casa. Primero, me inventé una nueva vivienda. Vivíamos en la Casa 13. Llamé al departamento comercial de la compañía telefónica haciéndome pasar por otra persona y me inventé la Casa 13B. Esperé unos días a que la nueva vivienda entrara en el sistema y, después, llamé al departamento de instalaciones para pedir que vinieran a instalar un nuevo teléfono en la Casa 13B. También fuí a una ferretería y compré una B para añadirla al número exterior de la casa. Llamé haciéndome pasar por un nuevo cliente llamado Jim Bond, de Inglaterra. Les di un número de teléfono de Inglaterra anterior real que encontré junto con otros datos de identificación, pues ya sabía que no serían capaces de comprobar una información del extranjero. Después, les pregunté si podía tomar un número personalizado y me dijeron que sí, y elegí un número que acababa en 007. Antes de terminar la conversación, pregunté si podía utilizar mi sobrenombre Jim o si tenía que utilizar mi nombre completo. Me dijeron que debía utilizar mi nombre legal y les dije que era James. Así, pues, me registré en AT&T como James Bond con un número de teléfono acabado en 007 y mi madre recuperó su teléfono. AT&T se enfadó cuando descubrió todo el engaño».
En ese momento de la entrevista, me di cuenta de que Mitnick no había mencionado nada sobre hackeo informático. Solo hablaba de los malos usos del teléfono, por lo que le pregunté cómo llegó a eso. Me contestó: «Había un chico en la escuela que sabía que yo hacía phreaking y pensó que quizás estaría interesado en una nueva clase de ciencias informáticas de nivel superior que se impartía en la escuela. Inicialmente, dije que no me interesaba pero el chico dijo: “¿Sabes? He oído que las compañías telefónicas se están metiendo en los ordenadores”. Y esto fue suficiente para mí. Tenía que aprender sobre esos ordenadores.
»Tuve que dirigirme al profesor
