La amenaza del hackeo no solo es para las empresas o compañías que pueden ofrecer un atractivo ambiente a los cibercriminales para obtener ilegalmente información y beneficios económicos. Cualquier ciudadano de a pie puede ser victima de delincuentes... o de su pareja, para obtener información personal que permita conocer las actividades, que de pronto no quiera que otros se enteren... De esto nos habla el presente artículo.
En la vida cotidiana de un hacker profesional, ocurre un fenómeno, que tal vez es el homólogo del que le ocurre a cualquier programador cuando amigos o conocidos le preguntan: “Tengo una idea de una app, es como un instagram-facebook-tiktok pero de...” De hecho, hay bastantes memes al respecto, a continuación uno de muchos:
Resulta, que en el contexto de los hackers, la misma pregunta reiterativa es, “será que puedes hackear a X persona. . . ” A veces “X persona”, es el novio de una amiga, o a veces al menos hay honestidad y es su propio novio(a). Sin embargo, cuando es un hacker profesional, no solo es una pregunta común que perdió la gracia, si no que atenta contra la propia ética hacker. Incluso, más allá de eso, es evidente que una persona que quiera espiar a otra persona no está psicológicamente bien, y probablemente lo que deba hacer es asistir a terapia para resolver sus problemas de la manera correcta. Si es algo relacionado a temas legales, como por ejemplo divorcios o demás, este proceso debería estar acompañado por un abogado conocedor del tema debido a que puede tener múltiples implicaciones legales.
Ahora, dejando claro lo anterior, ¿qué tan fácil es hackear a una persona del común?
Tristemente pasa, que esto puede ser bastante fácil, por lo tanto si existe un cibercriminal sin escrúpulos dispuesto hacerlo por algo de dinero, causaría que una persona sin preocupaciones empezara a estar bastante preocupada dado que sus diferentes conversaciones, que deberían ser privadas, ahora no lo son. Valga la pena aclarar, que en caso de que sea una persona cautelosa, hackearla puede ser tan difícil como hackear a las mismas empresas creadoras de las plataformas de software que utiliza, que en general es mucho más complejo, y de hecho, encontrar una forma de hackear software de gigantes del Silicon Valley puede valer una gran suma de dinero. Sin embargo, ¿por qué es esto así? ¿Por qué puede ser tan fácil hackear a una persona desprevenida? ¿Por qué es tan difícil hackear a una persona prevenida? Lo veremos a continuación.
Hackear un sistema
Primero que todo, hackear un sistema, es algo diferente a lo que se ve en las películas, o al menos en la gran mayoría de ellas. Por ejemplo, en la famosa cinta llamada “swordfish” del año 2001, que por cierto tiene un casting bastante costoso:
La trama central gira en torno a un hacker, que fantásticamente, realiza sus ataques informáticos haciendo algo parecido a armar una figura 3D:
Lo cual definitivamente es diferente a la realidad. Adicionalmente, se dice que en un fragmento la palabra “Algorithm” está deletreada incorrectamente como “algorhythm”. De hecho, hay memes al respecto también:
Ciertamente, ver esa escena, es lo mismo que vería una enfermera cuando en una película muestran que le están sacando sangre a alguien con una zanahoria en vez de usar una jeringa, algo absurdo. Pero, que en una película esté alejada de la realidad cotidiana de cómo es el procedimiento hacker, no significa que hackear un sistema, incluso el de un gobierno, que en muchos casos resulta ser mas fácil que del sector privado, sea algo irreal. De hecho, el hacking de la realidad puede ser más devastador que el de la película. La pantalla del computador de un hacker podría verse como algo así en la vida real:
En la anterior imagen vemos que se está utilizando un exploit conocido (lo cual es el código que usamos para realizar un ataque informático), tal vez con algunas modificaciones pertinentes, dado que un hacker de verdad no solo puede usar un exploit, sino puede crear uno nuevo o modificar uno existente. Vemos simplemente un editor de código, algunas terminales abiertas para ejecución, y por supuesto, Google, para resolver dudas, aprender cosas nuevas necesarias, o usar fragmentos de código previamente creado para no reinventar la rueda.
Generalmente los ataques, incluso los que son “fáciles”, requieren persistencia, dado que aparecen diferentes pequeño problemas que evitan que se logre correr el exploit de manera ideal. Entonces, después de unos minutos, horas o días, si el sistema que se está atacando es vulnerable, habremos logrado explotarlo. Si no encontramos ninguna vulnerabilidad en el sistema, después de haber probado muchas cosas, tal vez sea momento de desistir para pasar a proyectos nuevos, o tal vez la obsesión con ese sistema consuma al atacante y logré descubrir un “zero day exploit”, es decir, un exploit innovador que nunca nadie antes había logrado en el sistema. Entre mejores prácticas de seguridad tenga la empresa o individuos que desarrollaron el sistema, más difícil será de hackear.
Hackear una persona
Por otro lado, hackear una persona, puede ser mucho más sencillo debido a que las personas no pueden recibir una actualización en su mente para que eviten comportamientos vulnerables como sí lo puede hacer un sistema. Si una persona hace click en el link de cualquier correo que recibe, o si entrega información sensible, es una presa sumamente fácil de atacar.
Generalmente, es mucho más fácil “hackear” por medio de ingeniería social a una persona. Ciertamente, la ingeniería social es el área menos prestigiosa del hacking, pero definitivamente es efectiva. Esta consiste en engañar a las personas, por medio de un gran espectro de estrategias, para que entreguen información confidencial, o incluso, sus credenciales de autenticación de una plataforma, banco, o número de tarjeta de crédito. A continuación, se enumeran algunos errores fatales y comunes por los que se logra hackear a una persona desprevenida:
1. Ingresar las credenciales para acceder a un juego grátis, en una página que parece la de una plataforma, pero no es la de esta. En este caso, se debe verificar cuidadosamente la URL.
2. Responder con datos personales a una llamada o correo electrónico, debido a que indican que hay una citación a la fiscalía, o alguna entidad gubernamental por una supuesta multa o infracción.
3. Actualizar la contraseña en un formulario que recibió en un link por correo electrónico indicando que sus credenciales expiraron.
4. Abrir un archivo adjunto de un desconocido o de un correo electrónico del cual no tenga la plena seguridad que es legítimo.
5. Entregando información personal por whatsapp. Solo entregar la cédula, fecha de nacimiento, o fecha de expedición de su documento lo puede poner en riesgo.
Ahora, si conocemos a la persona que se está atacando, es mucho más fácil, debido a que conocemos sus intereses y acciones. Por ejemplo, en que banco tiene su cuenta, si usa ciertas aplicaciones, si tiene un crédito en el banco o algún proceso en una entidad privada o pública, sus gustos o aficiones, y demás elementos que nos pueden llevar a construir un correo electrónico, llamada o mensaje falso, que sea mucho más creíble.
Entonces, en la mayoría de los casos, hackear a un conocido puede ser trivial si dicho conocido no es cauteloso.
Por el contrario, un usuario de los sistemas cuidadoso, normalmente tendría activado el doble factor de autenticación en sus redes sociales, no haría click en links que recibe en el correo electrónico, no abriría adjuntos si no provienen de alguien de su misma organización, mantendrá todas sus aplicaciones/OS actualizados y demás prácticas de seguridad básicas, que tal vez se expliquen en detalle en un siguiente artículo. En caso de ser seguidas todas las buenas prácticas de seguridad, el atacante tendría pocas opciones, de tal modo que para lograr hackear a la persona, tendría que explotar una de las plataformas usadas por esta, lo cual es considerablemente más retador.
Si deseas tener siempre a la mano el artículo escrito por nuestro ingeniero Samuel Sabogal, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
Referencias:
Las imagenes usadas en esta nota fue tomada de archivos.
Consúltenos vía email a: info@cyte.co acerca de las preguntas que pueda tener sobre cómo puede adquirir la herramienta Crypto-Vault® para cifrado y descifrado de documentos sensibles de su organización.