Es increíble cómo la gente puede ser influenciada por un convincente orador a los puntos que hace con convicción, pero que pasa a estar detrás de la curva en términos de avances tecnológicos. Hablé con alguien que hace poco fue de la opinión de que los ataques técnicos es cómo la gente ha robado su identidad. El orador que había influido en su seguridad había dicho que el moderno sistema operativo era el culpable.
Había estado hablando hace 3 años, creo que ha estado al margen. Pero mira la situación actual. Ponte en los zapatos de los «CEO» de un sindicato del crimen organizado. En cuanto a la rentabilidad de la inversión, ¿qué harías? Las opciones son para realizar un ataque técnico (en la máquina o tu conexión a decir, un sitio web bancario) o un ataque humano (creando un sitio web de phishing).
Para los ataques técnicos: es necesario adquirir las habilidades. Tu nunca vas a romper una conexión segura moderna (por ejemplo una conexión SSL entre el equipo de tu víctima y su sitio web de banca). El costo de la potencia de cálculo es demasiado inmenso y sería demasiado lento para hacer algo útil. Así que hay que tratar de conseguir algo con tu software malicioso en la máquina de la víctima. Dos maneras: autenticado y no autenticado. Cosas como gusanos explotan las debilidades del sistema operativo en que ciertas instalaciones no requieren credenciales. En otras palabras, no necesitas un nombre de usuario/contraseña para obtener el código a ejecutar en el ordenador de alguien. Acceso autenticado – necesitas un nombre de usuario y contraseña para conseguir que se ejecute. Así que se crea el software malicioso y usas de algún tipo de subterfugio para hacer que el usuario lo descargue en su máquina y lo ejecute. De esa manera, ya han utilizado su nombre de usuario y contraseña para iniciar sesión en primer lugar. Vamos a llamar a este engaño lovebug.vbs y lo pones en un correo electrónico titulado «I Love you», por ejemplo.
Pero vamos a echar un vistazo a eso. ¿Es una técnica de ataque? No. El equipo ejecutará las instrucciones incorporadas en el software que se ejecuta en él. La pregunta es, ¿cómo lovebug (o keylogger) se sube a su máquina en el primer lugar? ¿Ese fue el subterfugio no es así? Eso es un ataque humano. No tiene nada que ver con la seguridad del sistema operativo. Así que estamos de vuelta nuevamente en los ataques sin autenticar.
Lo que tiene forma de ataques no autenticados en los últimos años ha sido el servidor de seguridad personal (firewal personal). En el caso de Windows XP, Vista y Windows 7, una función de software que no permite que los datos ingresen en el equipo a menos que hayas iniciado su solicitud. Así, por ejemplo, su interés en una página web, se permitiría, porque se inició la solicitud, pero si alguien trata de enviar algunos datos a su máquina no iba a funcionar porque nunca se había iniciado la solicitud en el primer lugar.
No se trata sólo de Windows, muchas distribuciones de Linux y de Mac o el uso de versiones integradas, o los propietarios de ordenadores van a la tienda de informática para comprar software de firewall personal.
Además, los parches de seguridad son liberados tan rápidamente cuando se descubren deficiencias, estos ataques no obtienen el dominio de antes.
Así que lo siguiente podría ser la creación de un peligroso control ActiveX (que es sólo una forma elegante de decir software) que hace algo, no en su mejor interés. Lo pones en un sitio web y animas a tus víctimas para descargarlo. Tal vez los controles busquen todos los archivos en el disco duro en busca de la cadena «password». Cuando lo encuentra, el archivo se copia en la página web del estafador, donde más tarde se examinará en detalle con la esperanza de extraer una combinación de sitio,usuario y una contraseña. Con suerte, será su sitio web bancario.
Pero, ¿cómo animar a mis víctimas a descargar el control? Especialmente en estos días en que el comportamiento predeterminado para la mayoría de los navegadores es no descargar controles. Bueno, supongo que poner un poco de instrucciones, que dicen algo así como: «Usted recibirá una advertencia acerca de este control. No haga caso de la advertencia y haga clic en Aceptar «. Si alguien se enamora de eso, es un ataque humano no un ataque técnico. Una vez más, tienen algún tipo de software en su máquina y tienes que ejecutarlo.
Microsoft introdujo características como User Account Control (UAC), donde las cosas raras que suceden cuando tu haces algo que tiene todas las características de una actividad peligrosa. Un cuadro de diálogo aparece, el fondo se oscurece y no se puede hacer otra cosa que responder el diálogo. Aún con todo esto sucediendo raramente, hay gente que va directo hacia delante, ignora lo raro y hace clic en Aceptar para instalar el software. Ellos por lo general han estado ebrios por un mensaje inteligente que describe exactamente lo que sucederá y alentándoloshaga clic en Aceptar. Es un ataque humano.
La gran mayoría de los ataques que se realizan en los equipos tendrá lugar en los últimos 60cm de la conexión desde el servidor web hacia el ser humano. Los 60cm entre la pantalla y el usuario.
El ataque de phishing clásico lo hace. Recibes un correo electrónico que dice que es de tu banco. Que, aparentemente, han hecho un retiro grande y te ánima a que accedas a su sitio aquí. En el pánico de ir adelante y hacer clic en aquí para revelar lo que parece ser tu sitio web bancario. Se te pide el número de cuenta y contraseña, y por lo que obedientemente escribes la contraseña que no le darias siquiera a tu mejor amigo. Ahora los criminales tienen tu número de cuenta y la contraseña, son unos condenados. Según anti-phishing.org, 54 horas más tarde, el sitio web falso ha desaparecido de la faz de la tierra – con tu dinero.
Pero eso no es un ataque técnico. Es un ataque humano. Se utilizan subterfugios para engañar a un ser humano para hacer algo que va contra sus intereses. ¿Por qué funciona? Debido a que los seres humanos hemos sido condicionados a dos cosas. Escribimos nuestras contraseñas en páginas web. Esperamos ver que todas las páginas web, algún día pidan nuestro nombre de usuario de una manera diferente. Es una debilidad trágica de la web que permite una creatividad impresionante. Cada sitio le gusta mostrar su individualidad.
Compara esto con la forma en que te conectas a un sistema operativo como Windows. La debilidad de Windows es que la experiencia de inicio de sesión es diferente entre cada versión de Windows. Pero si estás ingresando al Windows 7 en tu trabajo. No importa si tu accedes a tu propia máquina, la máquina de tus amigos o una máquina en el 5to piso propiedad de otra persona – se te pedirá las credenciales secretas exactamente de la misma manera. Cada vez. Con absoluta coherencia. Tanto es así que si la pantalla se veía diferente, si la experiencia fue diferente, si es que simplemente no era «correcto», sospecharías de que algo ha salido mal. Esta coherencia no existe y ciertamente no se espera en Internet. Es una de las razones por las que un sitio de phishing en realidad no tiene por qué ser una reproducción fiel de su contraparte real. En muchos casos, si el color de la marca es aproximadamente el correcto y el logotipo correcto aparece en el sitio en alguna parte, eso es suficiente. Así que podemos decir que es la falta de coherencia la mayor ayuda para engañar al ser humano. Yo estaba un poco sorprendido cuando esta señora sugirio que es esta misma falta de consistencia la que nos protege de estos ataques. Sostuvo que si todos los sitios utilizan una tecnología diferente, hace más difícil poner en peligro el «sistema completo». Pero, por supuesto, ella está hablando de ataques técnicos, no de ataques humanos. Como he dicho antes, no muchos delincuentes realizan ataques técnicos. No pueden contratar las habilidades abrumadoramente cerebrales necesarias, y no pueden adquirir suficiente potencia de los ordenadores. Ellos escriben software simple que registra las pulsaciones de teclado o busca en el disco duro las contraseñas de texto sin formato y utilizan ataques humanos para tratar de conseguir su ejecución. Yo sólo hablé con ella durante unos 40 minutos, en el teléfono y se retiro de la conversación todavía convencida de que el problema es la tecnología.