El jueves pasado tuve la suerte de participar en un hangout de HangoutON (ES/enlace roto) enfocado a la ingeniería social.
Y créame si le digo que llevamos meses intentando montar esta charla. Bien fuera por la agenda de alguno de los que íbamos a participar, bien fuera por las labores propias de HangoutON (que también está cubriendo eventos del sector), no ha sido hasta este día que por fin se ha materializado.
Por si todavía no conoce el canal, HangoutON imparte charlas semanalmente sobre temas relacionados con la seguridad informática, con el desarrollo, con la marca personal, con el marketing y en definitiva, con todo lo que tenga que ver con Internet. El primer jueves de cada mes suele estar destinado a la seguridad (si no se acopla con otro evento de la agenda).
El hangout, como viene siendo habitual dentro de la programación de HangoutON, dura más de una hora. En este caso, una y tres cuartos, así que recomiendo ponerlo como fondo mientras hace sus labores diarias (en mi caso, suelo escuchar sus hangouts mientras cocino o recojo la casa).
En él participamos Marcelo Rivero, José Adalid y un servidor, cuya información dejo justo debajo:
- Marcelo Rivero (@MarceloRivero): Analista de seguridad. Microsoft MVP (Most Valuable Professional) en Consumer Security. Fundador y director de InfoSpyware (ES), la mayor comunidad de información y ayuda contra el malware y otras amenazas informáticas en idioma español.
- José Adalid Medrano (@H3dicho): Abogado especialista en delitos informáticos y ciberseguridad, conferencista internacional y consultor sobre temas de ciberdelincuencia. Consultor en comunicación en medios sociales, director de Ticoblogger (ES), la comunidad y plataforma de blogs más importante en Costa Rica. Y cuya web es adalidmedrano.com (ES).
- Pablo F. Iglesias, al que creo que ya conoce :D.
Así como Antonio Postigo (ES) y Yolanda Corral (ES), que son los padres de la «criatura», además de grandes amigos de las redes sociales.
Y en casi dos horas, da tiempo de sobra para pincelar muchísimos temas relacionados con la ingeniería social, que intento resumir brevemente agregando algunos de los enlaces que en ese momento estuve compartiendo por redes sociales:
- ¿Qué es la ingeniería social? Cita ineludible, acompañada de algunos de los principios que dictan este «noble» arte.
- ¿Qué se saca de beneficio al robar la identidad a una persona? Tanto directamente (explotación de contactos para timos y fraudes) como indirectamente (cazar nuevas víctimas partiendo de un perfil aparentemente legítimo).
- Hablar de ingeniería social es hablar, la mayoría de las veces, de phishing: un phishing que ha sabido evolucionar con el tiempo, y que cada vez es más sutil, amparándose en estrategias de ofuscación de URLs y copiado automático (o compra de templates) que emulan páginas oficiales. Y con especial atención al ransomware de moda por España, el de Correos.
- También hubo cabida a pincelar algunos tips sobre el malvertising: Otra joyita de la ingeniería social, cuyo objetivo es instalarnos habitualmente adware o herramientas que no hacen únicamente lo que nos dicen.
- No hay campaña de ingeniería social sin un estudio OSINT preliminar: La información que podemos obtener de una víctima (empresa, persona,…) simplemente analizando fuentes de información abiertas (RRSS, hacking con buscadores, …) es terrible. Y para muestra, un botón.
- La industrialización del crimen digital: Ahora quien realiza los delitos no es un experto en informática, sino simplemente un cibercriminal. El crimen pasa a ser un servicio que contratas en la dark web a terceros. Y estos son los encargados de realizar, como si fueran auténticos departamentos de una gran empresa, las diferentes acciones. Que si darte una base de datos con cuentas bancarias robadas, que si atención al cliente, que si acceso al centro de control de una botnet,…
- Black SEO e ingeniería social: Posicionar los servicios del cibercrimen es complicado en un escenario donde tanto el cliente como el «vendedor» deben ser anónimos. Por ello, se utilizan estrategias de marketing muy pero que muy curiosas, amparadas en la confianza y reputación de perfiles en mercados negros.
- ¿En qué afecta el Jailbreak o el ROOT a la seguridad? Algo que solo recomiendo hacer si entendemos bien todos sus riesgos.
- La confianza que podemos depositar en los markets de aplicaciones y/o extensiones, que pueden ser usados para propagar malware y realizar extorsiones.
Me dejo muchos otros temas, pero tampoco creo que sea objetivo de esta entrada desgranar uno a uno todo lo que hablamos (más que nada porque seguramente sea imposible).
Así pues, le dejo con el hangout. Que lo disfrute :).
Doble felicitación para tí Pablo, la primera por participar en esta sesión, que como dices en tu post ha costado lo suyo sacar adelante con tanto líos de agenda, la segunda por el excelente resumen que haces en esta entrada.
Un placer haber compartido pantalla contigo y ya sabes que a la primera oportunidad que tengamos estaremos encantados de repetir la experiencia.
Un abrazo.
Lo mismo digo Antonio. Para mí todo un placer. Mucho tiempo llevaba viéndoos al otro lado, así que ha sido todo un honor :).
Y tranquilo, que se volverá a repetir, G.G
Estimado Pablo: no sé si has visto esta noticia que sale en el Financial Times:
Operadoras europeos de móviles planean bloquear anuncios:
http://www.thedrum.com (EN).
Si esto llega a concretarse plantearía un escenario novedoso. Discúlpame por salirme del tema que has planteado. No quiero abusar de tu hospitalidad.
Lo he visto lo he visto. La cuestión es que no sé si me dará tiempo a hablar de ello. Estoy actualmente visitando a la familia en Asturias, y este fin de semana no voy a poder «trabajar», y para el próximo tengo otro viaje por trabajo.
En todo caso muy muy interesante. A ver si saco un rato para tratarlo el lunes.
Saludos, y gracias por avisar!