27 Oct 2015

Misión: Hackeando a una abuelita. Nivel: facilísimo

Noticias Seguridad

Muchos piensan que el origen de toda la maldad cibernética reside en la tecnología y que en cuanto le das la espalda a los dispositivos más modernos y sofisticados, todas esas aterradoras amenazas deberían desaparecer. Si no tienes una nevera o una lavadora inteligente conectada a una red wifi (o a interruptores o controles inalámbricos) deberías estar seguro. Bueno, pues resulta que todo el mundo tiene algo hackeable.

La señora Patsy Walsh, una anciana americana, tomó parte en un experimento que permitía a dos hackers de HackerOne, el director ejecutivo Reed Loden y su co-fundador Michael Prins, hackear algunos de sus datos. Walsh afirmaba que ¡no tenía nada hackeable! Los investigadores invitaron a los reporteros del New York Times a escribir una crónica al respecto.

Podemos considerar a Patsy Walsh como una “abuela moderna”: tiene seis nietos, un ordenador portátil, perfil en Facebook para mantenerse en contacto con sus amigos y familiares, ve la televisión vía satélite y tiene coche. Por lo tanto, podemos decir, en contra de su afirmación inicial, que tiene ¡un montón de cosas que pueden ser hackeadas!

En primer lugar, los hackers prepararon el terreno visitando las páginas de Facebook de la señora Walsh y descubrieron que firmó recientemente una petición en change.org. Los investigadores emplearon 10 minutos en la creación de un falso correo electrónico para Patsy en nombre de change.org pidiéndole que firmara otra petición sobre la propiedad de la tierra en el condado de Marin, California, donde ella vive.

La “abuela moderna” no pudo pasar por alto esta petición y, como era previsible, la firmó. Sin embargo, el enlace que aparecía en el correo electrónico la redirigía a una página web de phishing en lugar de a la de change.org. Así es cómo los hackers lograron obtener la contraseña de la señora Walsh, que, como reconoció más tarde, usaba en diferentes servicios.

Por lo tanto, un único correo electrónico falso fue suficiente para comprometer totalmente la vida digital de Patsy Walsh. Imagina lo que podría haber sucedido si se hubiera tratado de un hackeo real en lugar de tratarse de hackers de “sombrero blanco” realizando una investigación. Los atacantes podrían haber utilizado los datos de Patsy para cualquier actividad maliciosa.

Luego, los investigadores de HackerOne fueron a la casa de la señora Walsh. En tan solo una hora y media consiguieron forzar la cerradura digital de la puerta del garaje. Tardaron un rato en hackear su televisión por satélite DirectTV y no pudieron resistir la tentación de suscribir a la señora Walsh a los canales de la sección de adultos.

Después, los investigadores echaron mano al portátil de la señora Walsh. Ella tenía todas sus contraseñas escritas en un post-it pegado al router, así que no tardaron casi nada en el proceso de hackeo. Una vez introducidos en su portátil, los hackers obtuvieron información personal de la señora Walsh, incluyendo su número de la seguridad social, su contraseña de PayPal, su perfil de viajero frecuente de una compañía aérea y los datos de su seguro. Consiguieron llegar incluso a una carta de poderes notariales.

Los hacker también descubrieron que no eran los primeros en introducirse en el mundo digital de la señora Walsh. Su portátil estaba infectado con docenas de programas maliciosos, incluyendo algunos que instalan otros malware, que rastrean el historial del navegador y envían publicidad maliciosa y cosas por el estilo. Un portátil con una protección débil perteneciente a una persona con bajo nivel de alfabetización digital es un blanco muy deseable para los atacantes.

La señora Walsh se benefició de este experimento de hackeo. En primer lugar, se puso al día en los fundamentos básicos de la seguridad cibernética, se percató de la necesidad de instalar una nueva cerradura en su garaje y se dio cuenta de la necesitad de utilizar contraseñas únicas y más sofisticadas para los diferentes servicios web.

En segundo lugar, los hackers se comprometieron a ir a su casa en algún momento de las fiestas de Acción de Gracias y purgar el portátil de la señora Walsh de todo el malware que contenía. En resumen, este ejemplo real demuestra lo fácil que puede ser comprometer toda la vida digital de una persona que no controla el mundo cibernético, aunque esta persona piense que no tiene nada que se pueda hackear.

Realmente, estamos rodeados de una gran variedad de objetos potencialmente hackables. Todos usamos ordenadores y la mayoría de nosotros estamos muy unidos a nuestros smartphones. Muchos también tenemos routers, relojes inteligentes, consolas de videojuegos y televisores inteligentes, todos ellos posibles objetivos para los cibercriminales.Muchas de estas cosas se perciben como objetos poco propensos a ser hackeados, pero, por el momento, cuentan con un nivel de protección mucho más bajo que el de los ordenadores (por ejemplo, la cerradura del garaje). ¿Un coche con un sistema integrado de navegación vía satélite que es capaz de descargar los datos de tráfico en tiempo real? Es hackeable. ¿Y un coche sin un sistema de navegación vía satélite, pero que cuenta con un llavero de proximidad para abrir la puerta? Aún más hackeable.

Por otra parte, para que algo pueda ser hackeado no tiene por qué contar con un dispositivo digital. Gran cantidad de datos digitales de cualquier persona están almacenados en las bases de datos del gobierno o en las de diversos locales comerciales, hospitales, ayuntamientos, líneas aéreas, bancos, tiendas, compañías de seguros, etc.

Estos datos también son potencialmente hackeables. En ese caso, las consecuencias podrían ser indescriptibles. Por ejemplo, un caso reciente demostró que en algunos países occidentales un hacker es capaz de incluir a una persona en una base de datos de “fallecidos” sin ni siquiera hackear nada, y la víctima podría tener muchas dificultades para demostrar lo contrario.

No puedes estar completamente a salvo de todas estas amenazas, de la misma forma que si navegas en un barco no tienes la certeza de que ese barco no se hundirá por cualquier motivo. Pero, si compruebas el tiempo que va a hacer antes de zarpar, controlas por lo menos los conceptos básicos de la navegación y llevas puesto un chaleco salvavidas, minimizarás la amenaza y pasarás un buen rato.

Podemos aplicar el mismo sistema a los temas de seguridad cibernética. Debemos saber cómo pueden verse comprometidos nuestros datos y tratar de evitarlo de la mejor forma posible. Usa un buen software de seguridad y, desde luego, no tengas todas tus contraseñas escritas en un post-it pegado a tu router.