upongamos que, por algún motivo, al-guien quisiera obtener la contraseña decierta persona. Normalmente, el atacante

tendría dos caminos: crackear la cuenta en cuestióno hacer que la misma víctima le dé su contraseña.Sin duda, la segunda opción parece la más conve-niente, ya que, en un principio, no requiere de de-masiados conocimientos técnicos (necesarios paracrackear cualquier tipo de cuenta), pero a la vez, pa-rece la más disparatada. ¿Cómo alguien va a lograrque su “víctima” le entregue su contraseña? Muysimple, usando ingeniería social.

INGENIERIA SOCIALCualquiera que tenga una cuenta de correo electrónicohabrá recibido alguna vez un mensaje de algún “ami-go” invitándolo a probar un novedoso salvapantallaso a ejecutar una divertida animación que, ¡oh, casua-lidad!, se encuentra en un archivo ejecutable. Más deun incauto no se percata de que estos mensajes noson enviados por “personas reales”, sino que son ge-nerados automáticamente por diversos virus que an-dan dando vueltas por la Red. Este tipo de virus esmuy popular debido a que no se vale de “cuestionestécnicas” para propagarse, sino que utiliza lo que seconoce como “ingeniería social”.En los casos mencionados anteriormente, lo que ha-cen los virus es tratar de ganarse nuestra confianzahaciéndonos creer que los mensajes provienen de

personas que conocemos y en quienes, en teoría, confiamos.Pero además de la confianza, la ingeniería social suele aprove-char el “miedo” (¡Nuevo parche de seguridad súper importan-te!), la codicia (Hágase millonario al instante), la lujuria (¡Fotosde Jennifer Lopez haciendo topless!) y demás “debilidades” quetoda persona posee.Pero si bien la ingeniería social hoy en día se utiliza más quenada para propagar virus informáticos, históricamente ha sidoaplicada para obtener información privada de blancos específi-cos. De esta manera, es posible conseguir fácilmente ciertos da-tos que, normalmente, requerirían de mucho conocimiento téc-nico (al menos, dentro de la informática).

“HOLA, ¿COMO HACKEO HOTMAIL?”Quien visite foros o chats de seguridad con frecuencia se habrácruzado alguna vez con una pregunta de este tipo (que en el99% de los casos son hechas por usuarios novatos o newbies). Larespuesta simple es: no se puede. Y si en algún momento se llegaa poder, en cuanto el exploit (implementación de una falla de se-guridad) se haga público, no pasarán más que un par de horashasta que los desarrolladores del sitio corrijan la falla. Esto mis-mo se aplica a la mayoría de los servicios de empresas muy po-pulares, como Yahoo! o MSN. Es muy poco probable que existaun método conocido para crackear estos sistemas de login, alpunto tal que cualquiera que pregunte o investigue un poco pue-da conocerlo. Por eso, la forma más simple y efectiva que tienenlos crackers o cyberdelincuentes (como los llamarían en los me-dios sensacionalistas) de hackear una cuenta de mail (o similar)es utilizando la ingeniería social.

S

RUBEN GUTIERREZDESARROLLADOR WEBrubeng@tectimes.com

60 POWERUSR

.hck

LA INGENIERIA SOCIAL, ALSERVICIO DE LOS CRACKERS

ROBO DE CUENTAS D«

AUN SIN TENER DEMASIADOS CONOCIMIENTOSTECNICOS, EN MENOS DE UN MINUTO PUEDENQUEDARSE CON LA CONTRASEÑA DE NUESTRA CUENTADE CORREO Y MESSENGER. UTILIZANDO INGENIERIASOCIAL, EL MAS ASTUTO PUEDE LOGRAR LO MENOSESPERADO. AQUI MOSTRAMOS UN POSIBLE MODUSOPERANDI PARA ESTAR ATENTOS Y PREVENIDOS.

EL ATACANTE LE ENVIA A LA VICTIMA UN MENSAJE DE CORREOELECTRONICO A SU CUENTA DE HOTMAIL, HACIENDOLE CREERQUE LE ACABAN DE MANDAR UNA POSTAL A TRAVES DE YUPIMSN.01

FIGURA EL E-MAIL NO PARECE TENER NADA EXTRAÑO: EL TIPICO TEXTOGENERADO AUTOMATICAMENTE POR YUPIMSN; POR LO QUE LA VICTIMA HACE CLIC EN EL ENLACE PARA VER SU POSTAL.02

FIGURA

INSEGURIDAD.qxd 10/15/03 11:28 AM Page 60

61POWERUSR

S DE HOTMAILUN ATAQUE “EXITOSO”La siguiente es una historia verídica de un ataque exitoso en el que se utilizó laingeniería social. Un día, una persona a la cual llamaremos Leonel Zellwegger(cualquier similitud con nuestro benemérito Secretario de Redacción es puracoincidencia...) recibió en su cuenta de Hotmail un mensaje de YupiMSN (ambasempresas, propiedad de Microsoft) a nombre de un tal Ricardo Haveice. ComoLeonel conocía a Ricardo, no le pareció extraño que le hubiera enviado unapostal. El ataque comenzaba a perpetrarse. Para ver dicha postal, Leonel no te-nía más que hacer clic en el enlace que aparecía en el mensaje: éste apuntaba(o al menos eso parecía) a una página dentro del dominio postales.yupimsn.com. Al hacer clic sobre el enlace, se abrió una nueva ventana, pero a diferen-cia de lo que uno podría suponer, lo que apareció no era la postal, sino unaventana de Hotmail en la que se le pedía volver a ingresar su contraseña paracontinuar. El hecho de que todos los enlaces de los mensajes de Hotmail tenganun marco superior con el logotipo de la empresa, y que por ese entonces la pá-gina pidiendo volver a ingresar la contraseña (el nombre de usuario aparecíaautomáticamente en la página) era muy común en este servicio de mail, ayudóa que Leonel no sospechara nada, o al menos no lo suficiente. Ansioso por verla postal de su amigo Ricardo, Leonel ingresó su password tal y como se le pe-día. Tras hacer clic en el botón correspondiente, fue redirigido a una páginadentro de YupiMSN y pudo disfrutar de su tarjeta postal virtual. Minutos des-pués, la vida de Leonel se volvería un calvario al darse cuenta de que su con-traseña había sido robada por cybercriminales (ejem...) que le cambiaban sunick en Messenger por obscenidades de todo tipo.

COMO SE HIZOEl sistema que habían utilizado los atacantes era bastante simple. Por empe-zar, el mensaje que recibió la víctima no era un mail enviado en texto puro,como los que manda el sistema de postales de YupiMSN, sino un mail en formato

UNA VEZ QUE LA VICTIMA INGRESE SU CONTRASEÑA (SU E-MAIL YA FIGURA) Y PRESIONE EL BOTON [CONTINUAR], SUS DATOS DE LOGIN SERAN ENVIADOS AL ATACANTE.03

FIGURA EL ATACANTE SOLO DEBE SENTARSE A ESPERAR LOS DATOS DE LOGIN DE LA VICTIMA, QUE LE LLEGARAN POR MAIL, AUNQUE TAMBIEN PODRIA GUARDARLOS EN UNA BASE DE DATOS.04

FIGURA

QUIEN VISITE FOROS O CHATS DE SEGURIDAD CON FRECUENCIA SE HABRA CRUZADO ALGUNAVEZ CON UN USUARIO NOVATO QUE PREGUNTA COMO “HACKEAR” UNA CUENTA DE HOTMAIL.LA RESPUESTA SIMPLE ES: NO SE PUEDE.

ATENCION: ¡ATAQUES CREIBLES!

Para que un ataque que utiliza ingeniería socialsea efectivo, los hackers necesitan que sea lomás creíble posible. Un ataque ideal es aquelen el que todos los elementos que lo compo-nen son reales, excepto los del paso en el quese lleva a cabo el perjuicio para el usuario. To-memos el caso de un virus que promociona unsalvapantallas. Para que la víctima no sospe-che que está siendo engañada, hay algunosfactores clave que deben cumplirse:

El mensaje tiene que estar en el mismo lenguaje que habla la víctima y la persona que supuestamente lo envía.

El mensaje debe provenir de alguien conocido o de confianza para la víctima, y además de la dirección de correo electrónico, debe incluir su nombre.

El caballo de Troya, que en este caso sería el salvapantallas, además de cumplir su función malévola (propagarel virus), debe cumplir su función normal (ser un salvapantallas real).

Entonces, si a la víctima le llega un men-saje con la dirección de mail de su mejoramigo, pero no incluye su nombre y en elmail se lo trata de usted, esta persona co-menzará a sospechar que está siendo víc-tima de un engaño. Si en cambio se dejóconvencer por el aspecto del mensaje, pe-ro al ejecutar el salvapantallas (o lo quefuera que le estén enviando), éste no hacelo esperado, también entrará en duda y, sies una persona precavida, ejecutará un an-tivirus para verificar si ha sido engañada.En ambos casos, el ataque habrá fallado.

««

«

*

INSEGURIDAD.qxd 10/15/03 11:28 AM Page 61

62 POWERUSR

LA POBRE VICTIMA SERA REDIRIGIDA A LA PAGINA QUE CONTIENELA POSTAL QUE LE ENVIO EL ATACANTE, A NOMBRE DE ALGUNAPERSONA QUE LE SEA CONOCIDA.05

FIGURA

EL CRACKER PUEDE CREAR UN FORMULARIO AUTOMATICO QUE GENERELAS PAGINAS DINAMICAS. ESTAR PREVENIDOS Y CONOCER SUS TACTICASNOS AYUDARA A NO CAER EN LA TRAMPA.

EN UNA EPOCA ERA COMUN VER ESTA PANTALLA PIDIENDONOSREINGRESAR EL PASSWORD DE HOTMAIL. NUESTRO AMIGO LEONEL NUNCA SOSPECHO NADA...06

FIGURA

EL FORMULARIO WEB APUNTABA A OTRA PAGINA DINAMICA QUE SE ENCARGABA DE ENVIAR LA CONTRASEÑA POR MAIL AL ATACANTE Y LUEGO REDIRECCIONABA A LA VICTIMA A LA PAGINA DE LA POSTAL.*

HTML. De esta manera, les fue muy sencillo hacer queel texto del link para ver la postal fuera el link verda-dero, pero que el enlace propiamente dicho apuntara aotro lado. Cualquier persona con un mínimo conoci-miento de HTML puede hacerlo. Un ejemplo sencillosería el siguiente:

<a href=”http://www.yahoo.com/”>http://www.google.com/</a>

El hipervínculo parece apuntar a Google pero, en reali-dad, va hacia Yahoo.El enlace de la postal apuntaba a una página dinámica(que puede haber estado escrita en PHP o ASP, por ejem-plo) en un servidor ajeno a Hotmail y YupiMSN, y gene-

raba la pantalla falsa de login con la dirección de e-mailde la víctima. El formulario web de esta página de loginapuntaba a otra página dinámica que se encargaba deenviar la contraseña por mail al atacante y luego redirec-cionaba a la víctima a la página de la postal (que habíasido creada previamente). Además, los atacantes habíantomado algunos recaudos especiales, como no utilizar undominio para acceder al servidor “maligno”, sino una di-rección IP, por lo cual era más difícil que la víctima sediera cuenta de que estaba siendo engañada. También,mediante JavaScript, modificaban la barra de estado delnavegador para que cada vez que se accedía al servidorapócrifo, en ella se indicara que se estaba cargando unapágina dentro del dominio postales.yupimsn.com.Otro de los factores por el cual el ataque de la postalsurtió efecto es que fue realizado cerca de una época fes-tiva, momento en el cual es común recibir este tipo detarjetas virtuales, por lo que la probabilidad de que lavíctima sospechara era aún más baja. Evidentemente, es-te ataque fue muy bien pensado y planificado.

A ESTAR ATENTOSEn el momento menos pensado, hasta el usuario másavanzado y precavido puede ser víctima de un ataque orobo de este tipo. Muchas veces, el éxito de un ataqueque utiliza ingeniería social no depende tanto de la inge-nuidad de la víctima, sino de la astucia del victimario.Por eso, en la Red de Redes, hay que estar siempre conlos dos ojos bien abiertos. [N. de la R.: Rubén, ¡la próxi-ma te corto las manos!] �

INSEGURIDAD.qxd 10/15/03 11:28 AM Page 62