Los expertos en seguridad informática siempre inciden en que la primera barrera ante cualquier ataque es el sentido común de los usuarios; si se cierran puertas y ventanas siempre será más difícil entrar a robar. Esto es lo que quiso demostrar el informático John Strand con la ayuda de su madre, Rita, que se coló en una prisión y permitió que la ‘hackease’ armada con las dos mejores ganzúas disponibles: un USB y confianza en sí misma.

Strand es propietario de Black Hills Information Security, una empresa dedicada a la seguridad, mientras que su madre, que había trabajado 30 años como cocinera, ejercía de CFO. Black Hills estaba especializada en los pentesting (tests de penetración), una actividad que consiste en atacar a la compañía que contrata sus servicios para encontrar fallos y que podrían ser empleados por delincuentes reales antes de que estos tengan la oportunidad. Con lo que no contaba era con que fuese una señora de 58 años quien consiguiese acceder hasta el mismísimo despacho -y ordenador- del director de la prisión para la que trabajaban.

El experto contó todo esto en una conferencia titulada ‘Hice que mi madre se colase en una prisión. Después nos tomamos una tarta’. La idea era demostrar la importancia del elemento humano en la seguridad de empresas y organizaciones y para ello recurrió a esta anécdota protagonizada por su madre.

La idea, de hecho, se le ocurrió a la propia Rita, que también eligió la prisión como objetivo entre todos los clientes de Black Hills. Aprovechando su experiencia como cocinera se haría pasar por una inspectora de Sanidad, ya que había vivido decenas de visitas.

Eligieron la fecha -un viernes 5 de julio, para aprovechar la falta de personal ya que el jueves es festivo nacional-, crearon una tarjeta falsa, armaron a su madre con una carpeta y varios USB infectados y tomaron posición -y tarta- en una cafetería cercana. Rita se subió al coche en dirección a esta institución (de la que Strand solo revela que cerró años más tarde).

«Mientras se iba recuerdo que pensé que no era una buena idea», revela Strand. Y cuando 45 minutos después no tenían noticias de Rita estaba convencido de que se iban a meter en problemas. Sin embargo, poco después comenzaron a ver que podían acceder a equipos y servidores. De repente apareció uno nuevo: el del director de la prisión. «Mi madre no solo tuvo éxito; era la hostia».

Los tres cuartos de hora de retraso tuvieron su explicación cuando la madre de Strand apareció por la base de operaciones 90 minutos después de salir de ella («ni siquiera se preocupó por llamarnos desde el aparcamiento o algo; simplemente apareció»): se metió tanto en el papel de inspectora que se le olvidó que estaba haciendo un test de penetración y tuvo que volver a zonas en las que ya había estado -y analizado como experta en Sanidad- para introducir los USB maliciosos.

Por lo demás, todo había ido como la seda. Hasta pudo pasar con su teléfono, por lo que tuvo la posibilidad de grabar el proceso. Simplemente llegó, dijo que era inspectora y le preguntaron qué tenía que ver. Nada sospechoso: las zonas de trabajo de los empleados, las basuras, las neveras y… el Centro de Control de la Red. «Pase por aquí, señora».

Por supuesto, dejaron que hiciese su trabajo sin interrupciones. Al terminar, el director se reunión con ella en su despacho y le preguntó si había alguna forma de prepararse para una inspección en el futuro. «Sí, en este USB hay un documento». El documento, claro, era un archivo de Word con un macro que permitía acceder al ordenador que lo ejecutase.

En opinión de Strand, la clave estuvo en que su madre tenía experiencia (llegó a informar al director de las deficiencias sanitarias de su prisión), pero, sobre todo, autoridad y «la gente nunca cuestiona la autoridad«. «No era una persona con conocimientos técnicos, no era una hacker, pero sabía que hay un problema fundamental con la confianza». El informático considera importante que podamos cuestionar la autoridad y, si estamos en una posición de autoridad, permitamos que ocurra esto.

La prueba fue tan exitosa que Black Hills comenzó a incluirla en sus presentaciones y era normal que las empresas contratasen sus servicios, pero con la condición de que no empleasen a Rita. ¿El motivo? Sencillo: conseguiría colarse. Por desgracia, poco después de su breve experiencia le diagnosticaron un cáncer de páncreas y falleció tiempo después, convertida en una defensora de la seguridad y en la ‘hacker’ que atacó con éxito una prisión y luego se tomó una tarta.

Fuente: elmundo.es

Compartir