4 de febrero. El objetivo ha sido proporcionado y hemos iniciado la primera fase; llevamos 48 horas realizando un gran número de pruebas y hemos identificado que Banco Mixteca posee una gran muralla a nivel de seguridad perimetral, ya que cuenta con dispositivos que impiden cualquier intento de acceso desde el exterior.

Veamos qué tan protegidos creen estar…

Esta mañana hemos visto nuevamente a E.Ramos entrar a Strbooks, como de costumbre, a las ocho en punto, un capuchino descafeinado y una dona glaseada. De acuerdo con la información recolectada en redes sociales y diversas fuentes de Internet, su pasatiempo es el baile, tiene una carrera en matemáticas aplicadas y un perro llamado Risk; a simple vista, es una persona común y corriente, pero para nosotros es el blanco perfecto.

  1. Ramos tiene un puesto de especialista en seguridad en Banco Mixteca. Lleva poco más de un año en la empresa e ingresó gracias a las buenas relaciones laborales que ha logrado durante su trayectoria profesional; tiene a su cargo el monitoreo y seguimiento de todos los temas de seguridad, desde reuniones con proveedores, hasta análisis de vulnerabilidades, una gran responsabilidad para una persona que lleva muy poco en el ámbito de la seguridad.

Banco Mixteca es el banco líder en el mercado comercial y financiero de México y América Latina, siendo su fuente principal de ingresos los servicios financieros establecidos dentro de tiendas departamentales a través de líneas de crédito (en pocas palabras 6 de cada 10 personas en la cuidad “vendieron” su alma a Banco Mixteca).

8 de febrero. Hoy será nuestro primer acercamiento. Con 15 minutos de retraso E.Ramos entra a Strbooks. Desde otra mesa, uno de nuestros expertos lo observa, su nombre es Rafael, Ralph el consultor. Nuestra víctima pide lo mismo de siempre y se sienta en la mesa de enfrente, me sorprende lo rutinario y predecible que las personas pueden llegar a ser. E. Ramos degusta el primer trago de café mientras comienza a revisar sus redes sociales, le da “me gusta” al video de gatitos compartido por una de sus colegas de trabajo, video que lo hizo reír mucho; revisa el correo corporativo y otras páginas Web desde su dispositivo móvil que se encuentra conectado a la red de invitados de Strbooks.

De repente suena su celular y pareciera ser una llamada del trabajo. Menciona nombres, áreas y puestos de trabajo; además, comenta que llegará retrasado a la junta de seguimiento con el director de Infraestructura debido a una manifestación en periférico y que el congestionamiento que se genera en la puerta de acceso al edificio durante la hora en la que todos los empleados ingresan le tomará tiempo adicional. No, definitivamente no llegará a tiempo. 

El primer acercamiento ha sido un éxito: Ralph el consultor acaba de obtener información valiosa de Banco Mixteca gracias al descuido de E.Ramos.

9 de febrero. Son las 9:00 a.m. y la entrada al edificio pareciera ser la del metro en hora pico, repleta de vendedores ambulantes, artistas callejeros. Es fácil pasar desapercibido y acceder a las instalaciones de Banco Mixteca; gracias a esto Ralph el consultor evade el primer filtro de seguridad para entrar.

Ya en la recepción, Ralph, con un poco de simpatía y gracias a la distracción generada por el señor de los desayunos, que llega en ese momento a entregar a la recepcionista su torta de huevo y su jugo verde, entra a las instalaciones sin ningún problema, como si se tratase de un empleado del banco. Una vez adentro, hace un recorrido por las diferentes áreas y pisos del edificio sin ser cuestionado por los empleados; se da a la tarea de buscar información sensible, obtener algunos datos en botes de basura, bandejas de fotocopiadoras e impresoras. Es increíble la cantidad de información que puede conseguirse en estas fuentes: cuentas de nómina, información relacionada con proyectos, pases de salida de los equipos de cómputo con los nombres de los empleados y hasta la impresión de la tarea de los hijos.

Ralph logra llegar al piso 4, donde está el área de Finanzas. Al final de un pasillo, en el último cubículo del lado derecho, se encuentra Mary Luz, una empleada no muy hábil, Ralph la ha observado por varios minutos y parece ser una persona muy distraída, risueña y amante de los animales. Ralph, haciéndose pasar por alguien nuevo en la organización, se acerca y le pregunta por el área de Administración, por un supuesto problema con su primer cheque.

Al principio Mary Luz se muestra insegura y dudosa, pero gracias a su carisma y simpatía, nuestro consultor logra su confianza y hace que ella le revele información sobre el personal del área de Administración. Para colmo de buena suerte, Ralph observa un post-it pegado en el monitor de la computadora de Mary Luz, con lo que pareciera ser un nombre de usuario y contraseña; los memoriza, se despide y agradece la ayuda a Mary Luz, quien ha quedado satisfecha al pensar que ha hecho su obra buena del día.

“Hasta este punto hemos obtenido más información que cualquier fuente en Internet”, piensa Ralph. El día ha sido muy productivo: tuvo acceso al edificio, recolectó información de utilidad y, lo que es más sorprendente, pasó desapercibido para todos, desde el policía que se encuentra en el acceso principal, hasta Mary Luz del área de Finanzas.

Es momento de pensar en grande y hacer algo con toda la información recolectada. Se realizan diferentes tipos de pruebas en servicios y aplicaciones del banco expuestas a Internet ¡Vaya que Ralph no es guapo, pero tiene suerte! Las credenciales obtenidas han permitido acceder a la cuenta de correo corporativo de Mary Luz. Con tan solo diez líneas de código, Ralph decide probar su nuevo script y poner en aprietos a toda la organización, enviando un correo malicioso a todos los empleados a través de la lista de distribución «bancomixteca.seguridad».

10 de febrero. Esta mañana hemos observado a E.Ramos llegar más temprano de lo normal a las oficinas de Banco Mixteca. Esta vez rompió la rutina, el capuchino descafeinado y la dona glaseada tendrán que esperar, ya que ha recibido una llamada del director de Seguridad, quien le ha comentado que 30% de los equipos de cómputo han sido atacados por el ransomware «WanaRalph».

14 de febrero. Ralph se encuentra algo nervioso, y no precisamente porque olvidó el regalo del Día del Amor y la Amistad, sino porque se llevará a cabo la reunión con los directores de Banco Mixteca, en la que se presentarán los hallazgos de las pruebas realizadas. Afortunadamente, las actividades arriba descritas fueron parte de una prueba de ingeniería social, ¿se imaginan si Ralph hubiera sido un hacker real?

Fin de la historia.

PD.- Se sabe que al menos 43 % de los ataques a empresas se perpetra mediante algún vector de ataque relacionado a ingeniería social; hoy en día la concientización de los empleados es un complemento para todas las soluciones de hardware que se deben tener en una organización.