Si usted encontrara una memoria USB tirada en la entrada de su trabajo, ¿se animaría a utilizarla en la computadora de la empresa para la que trabaja? Si la respuesta es sí, sería interesante que siguiera leyendo este artículo.
Steve Stasiukonis es un reconocido consultor en seguridad informática y volvió a demostrar lo sencillo que es obtener contraseñas de usuarios de una empresa.
En su artículo titulado “"Social Engineering, the USB Way", relata que fue contratado para realizar una auditoría de seguridad en una empresa.
Los dueños de la compañía le pidieron que se enfocara en la ingeniería social más que en las falencias técnicas de los equipos, es decir, orientarse hacia los usuarios antes que en las computadoras u otros dispositivos.
Debido a que los empleados fueron advertidos de la llegada de este consultor, Stasiukonis debió optar por un método distinto pero finalmente válido para demostrar que no hay sistema de seguridad suficiente para mantener a salvo información corporativa.
¿Qué hizo? Abandonó en el estacionamiento, la zona para fumadores y otras áreas 20 memorias USB antiguas, de poca capacidad. En esta oportunidad, en vez de tratar de convencer a los trabajadores de que las empleen se sentó a esperar.
El virus de tipo troyano que las memorias USB tenían dentro hizo el resto. Programado para enviar las contraseñas y demás información de la PC del trabajador al atacante, Stasiukonis recibió datos de 15 de los 20 dispositivos.
En otras palabras, la curiosidad de los trabajadores fue tal que dejaron en riesgo datos confidenciales de la empresa. Si esos datos llegan al creador de la trampa, sin dudas, la compañía podría verse severamente perjudicada. Imagínese que la experiencia se convierte en realidad en un banco, por sólo dar un ejemplo.
El artículo de Stasiukonis fue dado a conocer por Hispasec, un sitio especializado en tecnología que recuerda además lo sucedido en Londres.
Bajo la excusa de que el disco contenía información sobre una promoción especial, se iba regalando un CD a los ejecutivos que acudían a su trabajo.
La promoción no existía, de más está decirlo. En el interior del CD había un código que permitía informar a la empresa quién había ejecutado el programa. Los resultados fueron bastante sorprendentes, ya que entre ellos había personal de grandes bancos y aseguradoras multinacionales.
Como queda en evidencia, la ingeniería social continúa siendo una de las principales causas del éxito de los piratas informáticos. Algo que, sin duda, debería preocupar a cualquier empresa.
:roll: :roll: :roll: