Casi a diario oímos que x empresa ha sido «hackeada». En la mayoría de los casos, el ataque se salda con miles de datos personales de los clientes o usuarios de esa compañía, que pasarán a engordar la base de datos de la industria del crimen.
Y lo peor de todo es que para realizar este tipo de ataques no tienes que ser un experto en seguridad. Es más, hay una vía mucho más sencilla: Atacar al eslabón más débil, que sigue siendo el trabajador.
Pero no nos vale cualquier trabajador, así que en este nuevo capítulo de la serie #MundoHacker, veremos varias de las estrategias habituales para obtener información crítica de la víctima, ganarnos su confianza, y luego tomar el control de los sistemas informáticos donde están almacenados los datos que de verdad nos interesan, que espero sirva para que si formas parte de una organización avises de los riesgos a los que previsiblemente estáis expuestos.
Empecemos.
Índice de contenido
Objetivo y elección de la víctima
Es lo primero que alguien interesado en nuestra información va a fijar. Ataques los hay de muchísimos tipos, y según los objetivos finales, interesará obtener en la fase de análisis OSINT una u otra información.
Pero supongamos que en este ejemplo a priori no tenemos ni idea de cómo atacar a esa organización, por lo que haremos un barrido inicial con el fin de encontrar posibles víctimas.
¿Qué nos interesa? Alguien que tenga un puesto de responsabilidad, o acceso a la tecnología que está detrás de los sistemas informáticos de la empresa.
Y la mejor manera de empezar a buscar es por la web.
Fase 1: Extracción de información en bruto
Entramos en la página de la empresa objetivo. En este caso, me he decidido por una del sector servicios. Una pyme al azar (la primera que me salió en internet buscando empresas de ese sector en particular).
Después de navegar un rato por su web, me he dado cuenta que hay poco donde rascar. Pero es importante hacer este paso por la sencilla razón de que lo que necesitamos primero es información. Quizás en su página tengan un blog, y quizás alguna de las entradas nos de alguna idea de por dónde podemos continuar. En esta web específica, de datos críticos únicamente obtuve el teléfono, ya que ni contaban con página de Quienes Somos ni formulario de contacto. Y tirando del hilo, que la empresa está formada por dos hermanos. A nivel técnico, estamos ante un WordPress (con mirar el código es casi inmediato saber el tipo de software que están usando), y lamentablemente, el archivo robots.txt no nos muestra información extra (a veces este archivo puede servirnos para conocer otros archivos o directorios que podrían ser vector de ataque).
Viendo que con esto no voy a ningún sitio, el siguiente punto pasaría por consultar el WHOIS de la web, y de los servicios disponibles en internet que conozcamos de la víctima. El WHOIS es información pública que todo dominio ofrece de sus dueños y de los stakeholders que están involucrados en su buen funcionamiento (network). A un servidor personalmente le encanta centralops.net (EN) por la gran cantidad de información que ofrece con realizar una sola búsqueda. Inserto el dominio de la empresa objetivo, y empieza a lloverme información:
Con esto se que la página está en Hostinet, y también las fechas de caducidad del dominio.
Además, podría interesarme la dirección física de la compañía, y sobre todo, el email, ya que el teléfono ya lo teníamos.
A nivel de Hostinet, también obtengo información interesante:
Estos dos son los contactos que Hostinet ofrece a sus clientes. Datos que como veremos pueden ser de vital importancia para el éxito del ataque.
Para terminar, recopilo también la información de las DNS, que podrían servirme para reconocer el tipo de servidor utilizado en algún buscador de tecnología como shodan (EN), conocer el sistema que está detrás (en este caso un Ubuntu Server con Apache) y aprovecharme de alguna vulnerabilidad conocida:
Fase 2: Extracción de conocimiento a partir de la información bruto
Llega el momento del hacking con buscadores.
Tenemos un correo, que probaremos (por si hay suerte) a buscarlo en Pastebin (EN) o servicios como ZoneH (EN) utilizados habitualmente por los crackers para difundir las listas de correos sustraídas de bases de datos robadas. La mayoría de las veces no encontraremos nada, pero vaya, que por intentarlo no sea.
Luego nos vamos a Google, que es la mejor herramienta de un auditor de seguridad, y buscaremos por el nombre y apellido de nuestra potencial víctima: nuestro amigo Ignacio, acortando por el sector profesional al que pertenece.
Como era de esperar, obtenemos su nombre completo, e incluso alguno de sus perfiles en redes como LinkedIn (tiene perfil, pero está muy abandonado). Aquí podríamos seguir tirando del hilo como hicimos en el tutorial ¿Qué datos se pueden obtener de una persona en Internet?. Información crítica que podríamos usar más adelante, para por ejemplo hacernos pasar por una preciosa rusa o un potencial cliente. También para realizarle cualquier tipo de extorsión que se nos ocurra (seguramente nuestro amigo Ignacio tenga un perfil en Facebook del que podríamos sacar oro).
Además, he visto que Ignacio mantiene relaciones profesionales con los miembros de un grupo de afiliados que le suministran las herramientas para desempeñar su trabajo, y del que públicamente tengo acceso a su número de miembro.
Con esta información, no tendría por qué ser descabellado enviarle un email haciéndonos pasar por uno de los administradores invitándole a recibir una oferta en su próximo pedido. La página de aterrizaje sería una copia de la real (que por cierto, tampoco contaba con certificación de seguridad), en la que su número de usuario ya está escrito, a falta de que inserte la contraseña. ¿Usará Ignacio una contraseña distinta para cada servicio? ^.^
Teníamos además información sobre el contacto de Hostinet. Este tipo de información es muy interesante ya que nos permitirá seguramente usurpar la identidad de un tercero, en el que para colmo la víctima ya tiene depositada la confianza.
Hay que tener en cuenta que no siempre nos encontraremos con perfiles como Ignacio, que aunque no está en el mundo de la tecnología, si parece tener una presencia relativamente activa en Internet. Pero en el caso de Amaia o Xavier, al trabajar en este sector, tenemos casi asegurado que sus perfiles son de lo más completo:
Un ataque bastante habitual sería el de hacernos pasar por Xavier o Amaia, teniendo en mano toda la información que tenemos actualmente del cliente. Podríamos enviar un correo desde el supuesto dominio de Hostinet (con un sencillo script en PHP se puede hacer) o contratando un dominio muy parecido (como explicamos en su día en la guía de cómo ofuscar URLs en campañas de phishing) avisando a Ignacio de un posible problema (por ejemplo, con la factura), con el fin de que nos envíe los datos de acceso al servicio o a la red interna de la empresa. Y es posible que si resultamos lo suficientemente convincentes, Ignacio acabe por caer en la trampa.
Habremos atacado esta pyme sin tener que tirar una sola línea de código. Simplemente analizando fuentes de información abierta, y utilizando la ingeniería social como arma.
[Tweet «¿Es tu empresa vulnerable a ataques de ingeniería social basados en datos abiertos?»]
¿Qué podemos aprender y cómo podemos defendernos?
Las primera pregunta es sencilla de responder. Si sirve de algo esta guía es para poner cara a uno de los principales riesgos que una empresa tiene que solventar en pleno siglo XXI: la formación de sus trabajadores (de todos ellos) en el buen uso de la tecnología y saber localizar los timos por la red al igual que hacen en el mundo físico.
El eslabón más débil de la cadena no es la máquina, sino el que está sentado en la silla. Y como veíamos, no hace falta ser un experto en seguridad para hackear una web, un servicio o una intranet.
Sobre la pregunta de cómo defendernos, hay algunos puntos que son relativamente sencillos de aplicar:
- Contratar un WHOIS privado: Los WHOIS están ahí para que en buena fe cualquiera pueda ponerse en contacto con el administrador de un servicio online y avisarle de que algo no está funcionando bien. Pero en la práctica, pueden ser utilizados para este tipo de ataques. Por ello, recomendaría que se ofuscara esta información, ya que si en verdad estuviéramos ante un delito, el organismo competente tendría seguramente la potestad de pedir directamente al proveedor información sobre quién está gestionando esa página.
- Una buena política de permisos: En este caso el objetivo era una pyme formada por dos hermanos (desconozco tan siquiera si tendrían trabajadores), pero en la práctica este tipo de ataques podrían realizarse a cualquier tipo de empresa. Y conforme más grande es, más posibles objetivos tenemos. El trabajador del departamento de IT suele tener acceso (a veces innecesario) a servicios críticos de la compañía, y los directivos, la mayoría de las veces, también lo tienen (y la mayoría de las veces de forma innecesaria). Establecer una buena política de permisos minimiza los riesgos de fuga de información.
- Formar a los trabajadores: Ya lo hemos dicho pero lo repito por si a alguien no le ha quedado claro. Son el objetivo número 1 de la industria del crimen. Son fáciles de manipular, y este tipo de campañas salen más baratas que lanzar una APT específica al sistema de una compañía que seguramente cuente con sus propias contramedidas.
- Estar alerta y forzar la activación de protecciones perimetrales: Este tipo de ataques van contra los trabajadores, no contra los sistemas de la empresa. Pero al final tiene que haber un punto en el que los dos mundos se toquen. Si el email que envíabamos a Ignacio acaba en la bandeja de spam, es posible que evite el daño. Si la cuenta de acceso a administrador requiere una doble autenticación, ya no solo tendremos que engañar a Ignacio, sino también robarle físicamente su smartphone. Todo acaba sumando…
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Excelente explicación. Me ha gustado mucho el artículo porque es claro y conciso. Gran descubrimiento este blog.
Muchas gracias Manuel. Me alegro que te haya gustado. Es justo lo que buscaba. La idea es que cualquiera, tenga o no nociones tecnológicas, sepa entender los riesgos a los que todos estamos sometidos.
Nos seguimos leyendo!
Lo malo en ese preciso momento es que a A le llegue el correo de factura de B. Cuando A y B sus oficinas sean la misma habitacion donde esten, y A se de la vuelta en su silla y le diga, B que te paso con la factura, y B le conteste no se de lo que hablas.
…..
Pero el atacante ya se habrá salido con la suya, y seguramente ese dinero jamás volverá a las manos de su dueño :(.
Excelente aporte.
Me alegro que te haya gustado Jesús :). Muchas gracias!
Este post vale oro, a favoritos y la pagina también.
Me alegra que te haya gustado Jared. Nos seguiremos leyendo entonces :).
Hola Pablo to. Excelente el contenido. Un abrazo
Daniel Ferrer
Muchas gracias Daniel!