En medio de una ola de ataques cibernéticos de alto nivel sobre objetivos que van desde Sony Corp hasta el Fondo Monetario Internacional, uno podría pensar que muchas empresas le prestarían especial atención a la seguridad en estos días.
Pero los hackers que tomaron parte en la competición del viernes y sábado encontraron ridículamente fácil, en algunos casos, engañar a los empleados de algunas de las mayores empresas de EE.UU. a revelar información que podía ser utilizada para planificar ataques contra ellos mismos.
Los concursantes también se las arreglaron para conseguir que los empleados utilizaran sus computadoras para navegar por sitios web corporativos que los hackers sugerían. Si hubiesen sido hackers criminales, los sitios web podría haber cargado software maliciosos en los PCs.
En un caso, un concursante pretendió trabajar para una empresa y persuadió a un empleado a que le diera información sobre la configuración de su PC, los datos podrían haber ayudado a un hacker a decidir qué tipo de malware funcionaba mejor para un ataque.
“Para mí fue una llamada de atención, porque estaba tan dispuesto a cumplir!”, dijo Chris Hadnagy, uno de los organizadores del concurso en la conferencia Defcon en Las Vegas.
“Mucho de esto podría facilitar ataques graves si son usados por las personas inadecuadas”, dijo Hadnagy.
Defcon es organizado por hackers benévolos, en parte para promover la investigación sobre las vulnerabilidades de seguridad con el fin de presionar a las empresas a solucionarlos. El concurso fue patrocinado por los llamados “hackers de sombrero blanco” para mostrar la debilidad de la seguridad en las empresas y alentar a educar mejor a sus empleados sobre los riesgos de la piratería.
La compañía, cuyos empleados entregaron más información fue Oracle Corp, de acuerdo con Hadnagy., (uno de los fabricantes más grandes de software del mundo, tiene sus inicios hace más de 30 años mediante la venta de bases de datos seguras a la Agencia Central de Inteligencia).
La portavoz de Oracle, Deborah Hellinger declinó el hacer comentarios.
Otros objetivos incluyen a Apple Inc, AT&T Inc, ConAgra Foods Inc, Delta Air Lines Inc, Symantec Corp, Sysco Corp, United Continental Holdings Inc’s, United Airlines and Verizon Communications Inc.
Fue el segundo año que Defcon realizó un concurso de “ingeniería social”, utilizada con frecuencia en los ataques donde los hackers envían un “spear phishing” o e-mail en el que se hacen pasar por un amigo del destinatario y le piden abrir un archivo contaminado o visitar un sitio web malicioso.
“Es mejor siempre, dentro de lo posible, obtener los datos no conflictivamente”, dijo Johnny Long, un consultor al que las compañías contratan para “Hackear” sus redes de datos, utilizando herramientas tales como la ingeniería social, para identificar las debilidades.
A los concursantes se les fueron dando puntos según la manera de obtener la información específica de sus objetivos, incluyendo información sobre cómo la compañía respalda y asegura sus datos, el uso de la red inalámbrica, y los nombres de las compañías que proporcionan seguridad de sitios, el tóner y el papel de fotocopiadora.
Via: Reuters