Ayer, Alberto (un antiguo lector de mi antiguo blog y el presente, que ahora casualmente es compañero de instituto) me recordarba por el Tuenti que había hoy un evento sobre seguridad en el que hablaba el mismísimo Kevin Mitnick. Admiro a este hombre y tengo sus dos libros, así que no me lo pensé dos veces y fuímos con otra compañero más que se sumó.

Nos presentamos allí sobre las 10.30h, media hora antes del evento. El primer problema que nos encontramos es que se necesitaba invitación para entrar; algo esencial pero que con las prisas se nos había pasado. Afortunadamente no éramos los únicos y los organizadores no pusieron pegas en colarnos.

Empezaron con la presentación usual de cualquier evento, con una pequeña introducción sobre la seguridad informática, intentando concienciarnos del problema que existe entre el usuario y el monitor.

La ingeniería social es un tipo de ataque que se puede perpetuar con más facilidad que uno técnico, con poco o nulo riesgo para el atacante y OS independent. Digamos que el usuario es el eslabón débil en todo este proceso. Kevin mostró cómo hasta qué punto este abordaje puede llegar a ser el más peligroso de todos sin necesidad de tener amplios conocimientos de informática, tan “sólo” estudiando a la víctima. Todo esto lo podemos observar en cualquiera de sus dos libros.

Además, pudimos presenciar dos ejemplos prácticos muy interesantes. Por una parte, una pasarela telefónica que, una vez marcada, permitía mediante un sistema automatizado realizar llamadas con un remitente personalizado. Pidió al público un móvil, inició el proceso de la pasarela y al poco rato se podía observar en la pantalla del teléfono: “Llamada: 112″; ¡el remitente era el número de emergencias! Podemos hacernos una idea de lo que podríamos llegar a hacer haciéndonos pasar por el teléfono de alguien para obtener datos sensibles.

Por otra parte, se nos mostró un sistema automatizado que recibía llamadas (previamente la víctima tuvo conocimiento de este número por el phising que se le envió, pidiendo datos sobre su cuenta bancaria o PayPal) que iba requiriendo una serie de datos – como un número de tarjeta de crédito – que a la vez se iban mostrando en tiempo real en esta web:

Y aquí un par de fotos más del evento:

Lo más curioso de todo es que cogí un traductor para ir escuchando la charla en español, pero en realidad no lo utilicé y pude entenderla mientras hablaba en inglés. Los tres que asistimos nos quedamos impresionados al ver que le habíamos entendido, cuando nuestro nivel de inglés hablado es bastante reducido.

A pesar del nivel, que no era muy alto (los asistentes no daban para tanto), fue una buena acción para concienciar a esos empresarios y trabajadores que con tanta facilidad son engañados cada día.