El pasado viernes 20 de septiembre el político Albert Rivera denunciaba ante la Guardia Civil que su cuenta de Twitter había sido hackeada.
El ‘modus operandi’ se basó en técnicas de ingeniería social que consiguieron engañar al líder de la formación naranja para entregar un código enviado por WhatsApp a los atacantes. Estos, previamente, habían forzado el envío de este código denunciando, a través de la propia aplicación, que la cuenta había sido robada.
Al día siguiente una cuenta de Twitter denominada @anonktalonia, revelaba posibles grupos de whatsapp pertenecientes al líder del partido Ciudadanos. Aunque no se atribuía directamente la autoría, la revelación de esta información nos hace entrever que ellos podrían ser quienes estaban detrás del hackeo. Aunque todo esto les duró bien poco, ya que en la tarde del domingo 22 les fue cerrada la cuenta.
Cabe destacar que para llevar a cabo este ataque de ingeniería social, los atacantes solo necesitaron dos cosas: a saber, el número de móvil de Albert Rivera y la participación del propio político en una trampa que tuvo más que ver con las vulnerabilidades propias de la psicología humana, que con conocimientos técnicos especializados en seguridad informática.
La ingeniería social es una rama de la seguridad informática que tiene como objeto de estudio las vulnerabilidades asociadas a la infraestructura humana. Fundamentalmente, la ingeniería social entiende a la persona como un sistema más que puede ser vulnerado si se descubren sus fallos conduciendo a un recursos informático que es el objetivo del ataque. Típicamente, las acciones con éxito en ingeniería social desencadenan en la víctima o bien una liberación de información o bien la realización de una acción y tienen lugar tras explotar un fallo en la manera en que los seres humanos percibimos o gestionamos la información o las emociones. La ingeniería social ha sido siempre en seguridad informática un vector más de entrada a un posible sistema. Siempre se ha estudiado como un técnica válida y, de hecho, se pone en práctica en pruebas de penetración en sistemas controladas por todas las empresas de seguridad que desempeñan estos trabajos. Del mismo modo que una contraseña débil facilita el acceso a un sistema, un individuo no familiarizado con la seguridad, es un excelente vector de entrada a un sistema.
La ingeniería social basa su éxito en la debilidad del usuario, siendo piedra de toque la premisa que considera al humano como el eslabón más débil de la cadena que hace posible que se pueda comprometer todo un sistema. Por este motivo, dejar de auditar la llamada «infraestructura humana», esto es, el modo en el que las personas reaccionan a las trampas o estímulos por parte de un atacante, supone un completo riesgo para las empresas. Las tecnologías evolucionan a diario, no así la psicología humana, que lleva acompañándonos y establecida de forma inalterada, con sus virtudes y carencias, desde que nos constituimos como especie. Siendo esto así, es lógico concluir que para acceder a un sistema informático es más fácil atacar la tradicional psicología humana que un sistema actualizado y fuertemente securizado como un algoritmo de cifrado. He ahí la legitimidad de la Ingeniería Social como una rama más de la seguridad.
Todo esto viene a colación de haber leído en algunos medios, digamos tecnológicos, que no se puede hablar de hackeo puesto que el ataque ha tenido éxito gracias a técnicas de phishing. Si bien sería erróneo hablar de hackeo a Twitter, en tanto que ni su infraestructura humana ni su infraestructura tecnológica han sido objetivos de ataque, sí es técnicamente correcto, tal y como cita la prensa, hablar de un hackeo a la cuenta de Twitter de Albert Rivera. El objetivo del ataque era comprometer un recurso informático: su cuenta. Los vectores empleados incluían tanto factores técnicos -enlaces, comunicación digital – como factores psicológicos.
Otro asunto sería aclarar si el ataque en cuestión ha sido un phishing o no. Para mí y después de aclarar dudas leyendo la definición de Wikipedia, no cabría duda:
Phishing, conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Se trata de un phishing, bastante artesanal, pero un phishing al fin y al cabo, por lo que la mayoría de los titulares que he venido observando por la prensa en estos días no pueden ser tildados de incorrectos desde una perspectiva técnica. La cuenta de Albert Rivera ha sido hackeada, phishing mediante y, por tanto, aprovechando técnicas de ingeniería social que dejan en evidencia la falta de securización de la psicología humana con respecto a los avances tecnológicos.