La ingenier¨ªa social, el sistema m¨¢s usado para timar en la Red

La semana pasada, un n¨²mero indeterminado de personas recib¨ªa un correo electr¨®nico no solicitado donde se les instaba a rellenar el formulario de una p¨¢gina web, para ser clientes del servicio BBVAnet. Datos personales, n¨²mero de tarjeta de cr¨¦dito, fecha de caducidad e incluso el PIN iban a parar a la base de datos de los atacantes, cuya identidad se desconoce. Es la primera vez que este truco de ingenier¨ªa social se utiliza contra una entidad bancaria espa?ola. El BBVA actu¨® con celeridad y, en menos de 24 horas, la web fraudulenta y el sitio donde se recog¨ªan los datos estaban fuera de l¨ªnea.

La web estaba registrada en Estados Unidos, en la empresa Freeservers.com, que r¨¢pidamente la cerr¨®. Seg¨²n un experto consultado, "estaba todo hecho de forma profesional, ya que el c¨®digo de la p¨¢gina que suplanta al BBVA est¨¢ oculto. En vez de escribir el c¨®digo HTML directo, est¨¢ cifrado v¨ªa JavaScript y la construcci¨®n del formulario se hace en el navegador del usuario. As¨ª, pueden saltarse los sistemas de filtrado de contenido y hace que el rastreo sea relativamente complicado".

El origen del mensaje es igualmente oscuro: "Se ha enviado desde una conexi¨®n ADSL, pero viendo el nivel de complejidad de la p¨¢gina HTML, apostar¨ªa que se ha secuestrado una m¨¢quina con poca seguridad, para lanzar los mensajes. Me costar¨ªa mucho creer que se haya molestado tanto en ocultar el c¨®digo HTML y despu¨¦s utilizar para el env¨ªo una m¨¢quina f¨¢cilmente identificable y rastreable", afirma el experto.

Algo parecido suced¨ªa a principios de mayo en Gran Breta?a, seg¨²n publicaba eWeek: "Se est¨¢n enviando mensajes fraudulentos a los clientes de First Union, donde se les pide que visiten una web e introduzcan sus nombres de usuario y contrase?as. S¨®lo mirar la web ya trae problemas, porque instala autom¨¢ticamente un troyano en la m¨¢quina del visitante. No est¨¢ claro c¨®mo el atacante ha tenido acceso a las direcciones de correo de los clientes del banco".

La Ingenier¨ªa Social es el arte de hacer que otros hagan o digan lo que uno quiere, abusando de su confianza, inocencia o ganas de caer bien. El diccionario Jargon File habla de "t¨¦cnicas que se aprovechan de las debilidades de las personas, con el objetivo de conseguir sus contrase?as u otra informaci¨®n. Un truco cl¨¢sico es telefonear a la v¨ªctima diciendo que eres un t¨¦cnico con un problema urgente". La Ingenier¨ªa Social usa desde hace tiempo las herramientas de la red, igual que el tel¨¦fono o el contacto directo.

Uno de los trucos m¨¢s comunes en el chat ha sido enga?ar a alguien para obtener sus datos de acceso a Internet y usarlos gratuitamente. "El m¨¦todo m¨¢s f¨¢cil para conocer la contrase?a de alguien es pregunt¨¢ndoselo", dicen los expertos. Recientemente, se hac¨ªa la prueba, patrocinada por InfoSecurity Europe 2003, en una estaci¨®n central de Londres: nueve de cada diez oficinistas aceptaron revelar sus contrase?as a cambio de un bol¨ªgrafo.

M¨¢s enga?os

En su Curso de Ingenier¨ªa Social, LeStEr ThE TeAcHeR explica c¨®mo recopilar datos financieros: "Un caso que requiere una especial atenci¨®n es la simulaci¨®n de mails que provienen de servicios de banca por Internet. Como todo, son sencillamente suplantables. Basta con crear un mail en HTML utilizando las im¨¢genes y los formatos de alguna de estas entidades, pero envi¨¢ndolo desde cualquier otra cuenta. Conozco casos en los que un usuario recibe un mail que parece provenir de un banco conocido y que luego lo redirige a un formulario falso, en el que se le hace escribir su contrase?a de acceso y ¨¦sta es guardada en una tabla, o enviada por mail a una direcci¨®n donde luego se utiliza de forma fraudulenta. A continuaci¨®n, dicho usuario es enviado a la p¨¢gina real del banco, tras haber recibido una pantalla de error". Kevin Mitnick da cuenta tambi¨¦n de este tipo de enga?o en su libro The art of deception, con un ejemplo real y muy parecido al fraude del BBVA: "Un d¨ªa del verano de 2001, Edgar recibi¨® un mensaje de PayPal, una compa?¨ªa que permite hacer pagos r¨¢pidos por Internet y que Edgar usaba para hacer compras en eBay: "Apreciado cliente; Paypal quiere darle 5 d¨®lares de cr¨¦dito. S¨®lo tiene que ir a la p¨¢gina http://www.paypal-secure.com/cgi-bin y actualizar su informaci¨®n".

Pero ¨¦ste no fue el primer enga?o bajo el nombre de PayPal. En enero del 2000, la compa?¨ªa publicaba un aviso despu¨¦s que un correo masivo invitase a sus clientes a conectarse a www.paypai.com y dejar sus datos: "Hay muchos artistas del fraude que os enviar¨¢n correo pretendiendo ser vendedores o sitios con los que hab¨¦is tenido negocios en el pasado. Usualmente os dar¨¢n una direcci¨®n web duplicada, con la direcci¨®n ligeramente diferente de la aut¨¦ntica, y os pedir¨¢n que revel¨¦is los datos de vuestras tarjetas de cr¨¦ditoo contrase?as". En marzo del 2002, le tocaba el turno a Visa. Aunque, como dice Mitnick, "?por qu¨¦ dedicarse a robar los n¨²meros de tarjetas uno por uno, cuando puedes entrar en la mayor¨ªa de compa?¨ªas de comercio electr¨®nico y coger todas sus bases de datos?".