Hackers e Ingenieria Social...

Manuel López Michelone, mejor conocido como La Morsa, es físico de la Facultad de Ciencias de la UNAM, con una maestría en Inteligencia Artificial por la Universidad de Essex, Inglaterra. Es también Maestro FIDE, título que concede la Federación Internacional de Ajedrez. Experto en informática y programación, nos advierte de los peligros de navegar en Internet. Ni siquiera nos damos cuenta y resulta que ya nos hackearon: un intruso se coló en la computadora y tiene acceso a nuestra información. La Morsa trata de dimensionar el problema:

Lo que pasa es que, como en todas las actividades humanas, si uno ve un teléfono, una lavadora de platos, cualquier aparato, pues la curiosidad nos gana muchas veces: ¿cómo está hecho por dentro? ¿Cómo funciona? Hay libros que explican cómo trabajan esos equipos, pero nos hemos encontrado que con la computadora tenemos una caja negra. Realiza muchas operaciones para nosotros pero no sabemos cómo las hace. Sólo la usamos, pero cuando pasa algo malo, cuando aparece un mensaje extraño, no sabemos cómo reaccionar.

Sin embargo hay personas que se dedican a investigar qué pasa allí dentro, y todos los que han diseñado estos programas que usamos continuamente entienden qué es lo que sucede entre las tripas de la máquina, cuál es su lógica, cómo se hace un programa de computadora. Con Internet, además, uno puede meterse en algún sitio desconocido, sacar información, revisarla e imprimirla. Esto ahora lo hacemos de manera cotidiana. Así, ahora encontramos gente que dice: "Bueno, si alguien se conecta a través de un cable telefónico a un sitio en Japón, ¿por qué no puedo hacer lo mismo pero hacia la computadora de esa persona? ¿Qué pasaría si hago eso?". No quiere decir que yo quiera entrar para ver lo que tiene en su computadora (aunque esa puede ser una razón), pero hay quienes se preguntan: "¿Cómo le hago para hacer este proceso al revés? ¿Cómo le hago para entrar en la máquina de un usuario?".

Batman y las contraseñas populares
López Michelone delinea la frontera entre la auténtica búsqueda del conocimiento y la mera intrusión:

Se trata de establecer el punto en que uno se puede conectar y hacer algo que nadie había hecho antes. Estamos hablando de la curiosidad del hacker que investiga mecanismos que normalmente las personas no conocen. Hasta ahí todo está bien, pero ¿qué pasa cuando alguien se propone entrar a la máquina de otro para extraer información privilegiada como su número de tarjeta de crédito y sus documentos personales más importantes? A este individuo se le conoce como cracker. Simplemente hay que pensar lo que pasó con Wikileaks. Lo interesante es que, a pesar de toda esta tecnología de cables y de entender cómo se transmite la información de manera digital mediante ceros y unos, la gran intrusión se hace a través del crackeo social.

Lo que llaman 'ingeniería social'.


Sí. Por ejemplo Kevin Mitnick, uno de los hackers más famosos del mundo (quien actualmente es dueño de una empresa de seguridad informática), cuando se empezó a meter en estas cosas consiguió contraseñas que compartió con sus amigos. Simplemente hay que saber que la contraseña más popular en Estados Unidos es 'Batman'. Entonces él probó las contraseñas más populares y, por supuesto, algunas funcionaban. No usó necesariamente un programa. Una de las defensas de Mitnick en los juicios que le hicieron por intrusión fue esa: "Yo no usé ningún programa. Le hablé a la gente, les dije quién era y me dieron la información". Eso es ingeniería social. No trataba de hacer hackeo a nivel computadora, de meterse en la máquina del otro y evitar o brincar un firewall (muralla de protección informática). No había nada de eso.

Contraseña de la pareja
En muchos casos los mecanismos de seguridad para acceder a los correos electrónicos requieren escribir el nombre de una mascota o una serie de datos que son fácilmente discernibles. No es tan complicado averiguarlo.

Conozco infinidad de personas que me dicen "quiero ver el correo de mi pareja", y siempre les respondo lo mismo: "¿Te gustaría que hicieran eso con tu correo?". Me responden: "No, a mí no, pero sí me gustaría ver el de otro". Esto es muy difícil de obtener porque, además, la contraseña no está en la máquina del usuario. Se halla en el servidor del servicio de correo electrónico, del que no sabemos su ubicación. ¿Cómo le hacen para buscar la información? Hay miles de técnicas, una es el phishing. Se imita una pantalla con el diseño de la interfase igual a la de hotmail o banco, entonces el incauto escribe su contraseña y no funciona, pero ya dio la información.

Son páginas patito.

Se ven idénticas a las originales, por eso ahora todos los navegadores avisan: "Esta página parece sospechosa". Es fraudulenta porque en general la dirección de Internet no corresponde a lo que debe ser. Pero incluso las páginas falsas le dicen a uno: "Ignorar la advertencia". Eso es otra vez ingeniería social, porque no se tiene manera real de saber la contraseña de alguien, se meten porque uno se las da. A mí me pasó una vez y se supone que yo estoy educado en informática y entiendo de estas cosas. Nadie es inmune a los ataques.

Fuente: Jaime F Duarte. Latinos con exito. Facebook