Este martes pasado participé en un debate que Yolanda Corral montaba para el programa PalabraDeHacker (ES), centrado en varios aspectos de la ingeniería social.
No es la primera vez que participo en una “mesa redonda” de este tipo. En su día estuve también presente en otro de HangoutON que casualmente versaba sobre los mismos temas, por lo que ya venía con las lecciones aprendidas :).
El hangout, como viene siendo habitual dentro de la programación de PalabraDeHacker, dura algo más de una hora. En este caso, una y media, así que recomiendo ponerlo como fondo mientras hace otra cosa.
Esta vez estuve acompañado de dos compañeros de trabajo cuya información dejo justo debajo:
- Manuel Camacho (@ManoloGaritmo): CyberSecurity Analyst en SVT Security Services donde planifica y coordina el equipo de Auditorías, realizando pruebas técnicas de tests de intrusión en infraestructuras (Externas/Internas), Web OWASP, etc… así como pentesting a aplicaciones Android. Ponente habitual en Hack&Beers y miembro del staff del propio evento así como del congreso QurtubaCON. Blogger desde sus inicios en Hacking-Etico (ES).
- Manuel Guerra (@CiberPoliES): Policía Nacional, miembro de la Sección Técnica de la Unidad de Investigación Tecnológica. Investigador especializado en delitos cometidos a través de las nuevas tecnologías o con la ayuda de estas, especialmente aquellos delitos que requieren de conocimientos técnicos avanzados para su persecución. Analista Forense de sistemas Linux, Android y Windows. I+D.
Precisamente con Manuel había estado dos semanas antes disfrutando del taller de Forense que impartió en Guadalajara, y que me animó a escribir ese artículo sobre los riesgos de tener root/jailbreak (entre otras cosas) activos en nuestros dispositivos.
Tiempo que dedicamos a pincelar muchísimos temas relacionados con la ingeniería social, que como ya hice en su día, intento resumir brevemente agregando algunos de los enlaces que en ese momento estuve compartiendo por redes sociales:
- ¿Qué es la ingeniería social? Cita ineludible, acompañada de algunos de los principios que dictan este “noble” arte.
- ¿Qué se saca de beneficio al robar la identidad a una persona? Tanto directamente (explotación de contactos para timos y fraudes) como indirectamente (cazar nuevas víctimas partiendo de un perfil aparentemente legítimo).
- Hablar de ingeniería social es hablar, la mayoría de las veces, de phishing: un phishing que ha sabido evolucionar con el tiempo, y que cada vez es más sutil, amparándose en estrategias de ofuscación de URLs y copiado automático (o compra de templates) que emulan páginas oficiales. Y con especial atención al ransomware y a las distintas tipologías de phishing que podemos encontrar hoy en día..
- También hubo cabida a pincelar algunos tips sobre el malvertising: Otra joyita de la ingeniería social, cuyo objetivo es instalarnos habitualmente adware o herramientas que no hacen únicamente lo que nos dicen.
- No hay campaña de ingeniería social sin un estudio OSINT preliminar: La información que podemos obtener de una víctima (empresa, persona,…) simplemente analizando fuentes de información abiertas (RRSS, hacking con buscadores, …) es terrible. Y para muestra, un botón.
- La industrialización del crimen digital: Ahora quien realiza los delitos no es un experto en informática, sino simplemente un cibercriminal. El crimen pasa a ser un servicio que contratas en la dark web a terceros. Y estos son los encargados de realizar, como si fueran auténticos departamentos de una gran empresa, las diferentes acciones. Que si darte una base de datos con cuentas bancarias robadas, que si atención al cliente, que si acceso al centro de control de una botnet,…
- Black SEO e ingeniería social: Posicionar los servicios del cibercrimen es complicado en un escenario donde tanto el cliente como el “vendedor” deben ser anónimos. Por ello, se utilizan estrategias de marketing muy curiosas, amparadas en la confianza y reputación de perfiles en mercados negros.
- ¿En qué afecta el Jailbreak o el ROOT a la seguridad? Algo que solo recomiendo hacer si entendemos bien todos sus riesgos.
- La confianza que podemos depositar en los markets de aplicaciones y/o extensiones, que pueden ser usados para propagar malware y realizar extorsiones.
- Y por supuesto, la importancia de ser nosotros quienes gestionemos la información que internet tiene de nuestra persona.
Me dejo muchos otros temas, pero tampoco creo que sea objetivo de esta entrada desgranar uno a uno todo lo que hablamos (más que nada porque seguramente sea imposible).
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la presencia digital sana, ayudándote paso por paso a parametrizar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Así pues, le dejo con el hangout.
Buen fin de semana!
Ver en Youtube (ES)
