Historia divertida. Un buen amigo mío, lo llamaremos Jeff, es un programador de seguridad de TI líder para una corporación multinacional que por razones de confidencialidad no revelaré aquí. Sin embargo, en un caso particular, Jeff estaba tratando de probar la seguridad del cliente de correo electrónico del “sitio web”, por lo que fingió ser un usuario que olvidó su contraseña.
La historia fue algo como esto: después de elegir una “víctima”, Jeff creó una dirección de correo electrónico alternativa que se parecía a la dirección de correo electrónico que eligió atacar. Luego, envió un correo electrónico al “sitio web” alegando que había olvidado su contraseña y que estaba enviando un correo electrónico desde su dirección alternativa para poder recuperarla.
Jeff tenía un poco de información sobre su víctima y sabía que se llamaba Nick y que tenía un mejor amigo llamado Brian. (Esto se descubrió olfateando en una red wifi pública para capturar fragmentos de mensajes cifrados) Al ver que Jeff era un descifrador de programadores de TI con mucha experiencia, fue increíblemente simple. Los correos electrónicos hablaban de reunirse en un bar local para tomar una copa los jueves (aparentemente siempre salían juntos los jueves). Los mensajes también dieron los nombres de las esposas de ambos hombres y el nombre del perro de Nick. Al buscar el nombre de la barra en un motor de búsqueda estándar (irónicamente, el propio motor de búsqueda del “sitio web”), Jeff pudo establecer de qué ciudad, condado y estado eran residentes. Con una simple búsqueda en todos los archivos de registros de estudiantes de la escuela secundaria local, Jeff pudo establecer a qué escuela secundaria asistió Nick y cuál fue su año de graduación. Con esta información, Jeff pudo realizar una búsqueda en las páginas blancas para establecer la dirección, el número de teléfono, la fecha exacta de nacimiento e incluso la ciudad de nacimiento.
- ¿Los datos de Google extraen sus datos en aplicaciones de Fotos, Chrome, Drive y Gmail? Si es así, ¿para qué usan los datos y qué tan seguros están sus datos almacenados?
- ¿Cómo podría usarse un algoritmo eficiente de factorización prima para explotar protocolos de seguridad criptográfica como SSH o RSA?
- ¿Qué posibilidades hay de que la autenticación biométrica reemplace el uso de contraseñas en los sitios web?
- ¿Cuál es la mejor manera de proteger los datos empresariales de las amenazas de seguridad?
- ¿Hay alguna manera en Confluence para obligar a un usuario a cambiar su contraseña?
Ahora, Jeff tenía todo lo que necesitaba para el robo de identidad y cuando el “sitio web” le hizo la serie estándar de preguntas de verificación, Jeff respondió a cada una de ellas con facilidad. Aún así, el “sitio web” le negó la contraseña sin un número de identificación que cada usuario mantiene para restaurar su cuenta en casos como estos.
Ahora, la historia se vuelve un poco más complicada. Jeff explicó que nunca había anticipado que tendría que usar su número y, por lo tanto, lo había perdido. Preguntó si podrían enviárselo por correo y, por supuesto, dijeron que estaba bien. Jeff conocía la dirección de Nick, así que ahora era simplemente cuestión de jugar bien sus cartas. Como el envío estándar demora entre 3 y 5 días, Jeff esperó pacientemente calle abajo desde la casa de Nick cada uno de los 3 días en la ventana de entrega esperando al cartero. Se enteró de que tanto Nick como su esposa trabajaban de 8 a 6 todos los días y que el correo siempre llegaba a 1. Con un par de binoculares básicos, Jeff observaba al cartero poner el correo en la caja todos los días y, si no se veía nada de interés, condujo a casa (solo a unos 20 minutos). Al cuarto día, Jeff vio el sello fácilmente reconocible en una de las cartas, por lo que esperó a que el cartero se apartara y luego pasó por el buzón lo más rápido posible y enganchó la carta.
Tan pronto como llegó a casa, volvió a llamar al sitio web y les leyó el código. Así de fácil, el “sitio web” envió a la dirección de correo electrónico falsa de Jeff un enlace para restablecer la contraseña y Jeff entró. En el buzón, Jeff encontró el número de ruta bancaria de Nick, los números de tarjeta de crédito, el nombre de usuario y la información de contraseña para varios otros sitios, su horario diario e incluso su número de seguro social enviado al azar a un agente de seguros. Jeff podría literalmente robar la identidad de Nick si quisiera y así de simple.
Cabe decir que Nick no era una persona aleatoria, era un sujeto de prueba voluntario que trabajaba para la misma compañía que Jeff, sin embargo, esta historia no es exclusiva de un solo caso. Historias como la de Nick tienen lugar todos los días y es responsabilidad de sitios web como Google, Facebook y Paypal proteger a sus usuarios de tener que lidiar con situaciones como estas. La historia de Jeff es el ejemplo perfecto de cómo los grandes sitios web cometen sus mayores defectos en la vulnerabilidad de sus empleados y parece ser que este problema es el más importante de solucionar.