VIERNES TARDE EN NUEVA YORK
Viernes. 16.20. Planta 32 de un edificio en Park Avenue. La empresa X celebra el cumpleaños del jefe. Todo el mundo espera el fin de semana. Se abre la puerta del ascensor y entra un técnico. Lleva tejanos, una gorra de la compañía telefónica y un cinturón lleno de herramientas. En sus manos, una extraña pieza electrónica. Le dice a la recepcionista: "Vaya día...". Ella está más interesada en la fiesta: "Sí, gracias a Dios es viernes".
-Odio estas emergencias de último minuto, estaba a punto de irme de fin de semana..
-¿Qué pasa?
-Nada por lo que tenga que preocuparse -sonríe-. ¿Dónde está la habitación de los teléfonos?
-Oh, sí, es aquella. Y, ¿puede hacerme un favor? -dice ella dándole las llaves.
-Lo que sea.
-Si no estoy cuando haya acabado, ¿volverá a dejar las llaves en mi cajón?
-No hay problema.
-Gracias -dice ella, con una gran sonrisa
El hombre entra en la habitación, donde están también los controles de la red. "Pincha" algunos cables y lo empalma todo a una cajita, que esconde. Abre la puerta, cierra las luces y devuelve las llaves a la recepcionista.
-¿Ya está?
-Sí, he tenido suerte, sólo una conexión sucia. Buen fin de semana.
El falso técnico ha instalado un programa espía en la red corporativa, con un radiotransmisor que envía todos los datos a un receptor remoto.
Fuente: Michael Noonan. Intel
MITNICK, EL RÁPIDO
Kevin trabajaba en una oficina de Denver administrando sistemas, pero pasaba la mayor parte del tiempo llamando a empresas, para ponerse a prueba. Una noche que nevaba, al salir del trabajo, paseando de camino a su casa, llamó desde el teléfono móvil a un directorio de números 800 de una gran compañía de celulares. Antes de haber cruzado la manzana ya había conseguido un número interno del departamento de ingenieros. Llamó y, al momento, estaba hablando con un técnico sobre el código fuente de unos programas y dándole una dirección donde enviárselo. Cuando llegó a casa, con el frío en los huesos, en su ordenador tenía el código propietario completo del teléfono móvil de una de las mayores compañías electrónicas del mundo. Cinco manzanas andando, un móvil y una directorio de números 800, todo lo que necesitó.
Fuente: Brian Martin, en el juicio de Kevin Mitnick
TAMPOCO HOY FUNCIONA LA RED
-Buenas tardes, llamo de la red X. ¿Tuvo problemas con su cuenta últimamente?
La respuesta era obvia, ya que la red nunca funcionaba bien.
-Sí, el otro día traté de acceder y me decía CLR NC y un número.
-¡Otro caso! Exactamente lo que suponíamos. El problema es que se borraron algunas claves de nuestra máquina, por eso las estamos ingresando a mano. ¿Puede darnos su contraseña?
-Sí, como no. N91...
El usuario confiaba en la voz del teléfono. Si hubiese leído el manual que le entregaron con su cuenta, hubiera sabido que CLR NC significaba que la red estaba congestionada.Fuente: "Llaneros solitarios". Raquel Roberti
¿CUÁL ES SU CONTRASEÑA?
Mendax había encontrado en la red una lista parcial de usuarios del sistema Minerva. Ya tenía dos años y era incompleta, pero había unas treinta páginas de nombres de usuario, direcciones y teléfonos. Algunos sería aún válidos.
Necesitaba sonido de fondo de oficina para ser creíble. Grabó una cinta en su casa, con teléfonos, impresoras, teclados y voces del televisor, y empezó con la lista hasta que encontró un número válido.
-Soy John Keller, operador de la red Minerva. Uno de nuestros DO90 se ha estropeado. Hemos recuperado los datos y creemos que tenemos la información correcta, aunque puede haberse corrompido. ¿Podríamos comprobarla?
-Sí, por supuesto
Mendax leyó la información que tenía en su lista, pero dio, con intención, un número de fax incorrecto. La víctima le avisó del error y le dió el correcto. Había llegado el momento de la Gran Pregunta.
-Bien, tenemos su número de usuario pero no su contraseña. ¿Cuál es?
-Sí, es: L-U-R-C-H
Fuente: "Underground". Suelette Dreyfus y Julian Assange
MENTIRAS EN EL CHAT
Lugar: canal de chat
Hora: domingo por la tarde (hora ideal)
Sujeto: José Luis Vera, casado, cuarentaitantos
JLuis> Hola. ¿Alguien es de Alicante?
Maria> sí yo
JLuis> Encantado de conocerte ¿qué edad tienes?
Maria> cumplo 23 en julio[siguen hablando y vuelven a quedar dos veces más]
Maria> El otro día me dijiste que había que poner la contraseña que te da el proveedor en la casilla de abajo, pero salen asteriscos y no se ve nada
JLuis> Sí, en el mío también salen. Mira, por ejemplo mi configuración es: Usuario: JLuis@X, Clave... Bueno, eso no te lo digo.[casi...]
Maria> Pues estoy usando la cuenta de mi hermano, pero se le acaba dentro de un par de semanas y dice que no la va a renovar
JLuis> Es una pena
Maria> A lo mejor si me dejaras tu clave podríamos seguir hablando
JLuis> Es que no sé... me dijeron que no se la diese a nadie..
Maria> venga, si nadie se va a enterar..
JLuis> bueno, es XXXXX pero no se lo dejes a nadie
Fuente: eljaker. SET 4
CÓMO LO HACEN
*Por teléfono
"La ingeniería social no es un proceso sencillo y espontáneo, requiere una gran cantidad de preparación. Por ejemplo, si quieres saber la contraseña de alguien sólo basta con llamarle, pero tiene que parecer que sabes de lo que hablas. Siempre hay que hacerle creer que tenemos gran conocimiento y mantener una presencia dominante. Nunca hay que ponerse nervioso y se debe pensar bien lo que se dirá y cómo. Planear un guión y preguntas inesperadas. Lo más importante es mantener la calma y, si algo va mal, colgar".
Fuente: Carlos Truco. Raregazz 6
*En el chat
"Aquí no te ven ni te oyen, puedes hacerte pasar por una persona totalmente opuesta y soltar la mentira más gorda, ya que no perciben tu reacción al mentir. Empieza por donde se reúna la gente que no controle mucho. Ante una chica o novato, se debe mostrar seguridad, aparentando un cargo importante. Al tratar con "chulillos", hay que cambiar de estrategia, debe creer que no tienes ni idea. Así se hará el listo, hasta que suelte algo importante. Ser convincente, no parecer dudoso, hacerle hablar de lo que le guste, para que se confíe y, cuando esté despistado, le sueltas la pregunta gorda. Promete cosas a cambio, contraseñas, una cita, un fichero".
Fuente: eljaker. SET 1
*En vivo
"Ésta es la única ocasión en la cultura hacker donde el aspecto juega un gran papel. Viste con dignidad. Ponte un traje. Sé educado. Si quieres que parezca que trabajas en una oficina, debes actuar como ellos. Es fácil construirse una tarjeta de identificación falsa con foto o un pase de visitante plastificado. Haz como si supieras donde vas".
Fuente: "The Complete Social Engineering FAQ"
TÉCNICAMENTE, ESTAFA
Para Alfons Cano, jefe de la Unidad de Delitos en Tecnologías de la Información de los Mossos d'Esquadra, la IS no es más que la estafa de toda la vida: "Se usa especialmente para atentados contra la intimidad, como conseguir contraseñas de gente o, en canales de adolescentes, el adulto que pide el teléfono a una niña y la acosa. También hay estafas lucrativas, de antes de Internet, como el que compra una radio y le llega un ladrillo. El medio, por su opacidad y anonimato, es más propicio. Alguien que hace transferencias fraudulentas no se atrevería a hacer un atraco a mano armada".
Uno de los más viejos fraudes traspasados a Internet es el del gobierno Nigeriano que necesita guardar dinero fuera del país y pregunta si puede hacerlo en la cuenta de la víctima, a cambio de una comisión. Cuando ésta envía sus datos, se la vacían. Más de 3.000 estadounidenses cayeron en la trampa el pasado año, según el Internet Fraud Complaint Center. Otro clásico son las webs pornográficas que ofrecen un programa para acceder gratuitamente. En realidad, es un "troyano" que llama a un número internacional o un 906. En las subastas online, los fraudes en compras y con tarjetas de crédito son moneda corriente.
Algunos de estos engaños bailan en el filo de la ilegalidad, cuando lo que se roba no es dinero sino datos, explica Noelia García, especialista en Derecho Informático: "Generalmente, el gancho para la obtención de datos es un regalo por cumplimentar un formulario y otras promociones. Con estos datos se pueden hacer registros de usuarios y bases de datos de gran valor para envío de publicidad, o venderlos a compañías de márketing".