Un gato peligroso: El Dr. Zaius

No creerá lo adorable que es este gato, haga clic para ver más
Por Geoffrey A. Fowler

Empleados, tengan cuidado. No caigan en las garras de un gato llamado Dr. Zaius.

Un correo electrónico con el encabezado «¡Mire estos gatitos! :-)» y con una foto de un gato angora turco con pelo violeta ha sido enviado a casi dos millones de empleados hasta ahora. Incluye un archivo adjunto o enlace que promete más fotos de felinos. Los que hacen clic se encuentran con una sorpresa: una advertencia severa del departamento de soporte técnico de su respectiva compañía.

El e-mail de Dr. Zaius es un simulacro de ciberataque y forma parte de las estrategias que las empresas están usando para entrenar a sus empleados a no caer tan fácilmente en trampas electrónicas. La idea es que al persuadirlos para que realicen acciones no seguras aprendan a ser más cautelosos.

Muchas violaciones importantes a las redes no comienzan con un sofisticado código de hacker sino con empleados que son engañados por la llamada ingeniería social, la cual manipula a la gente para que revele información confidencial. Por lo tanto, que las compañías están intentando lograr que los trabajadores se porten mal antes que los criminales entren en acción.

«Es un servicio para atrapar a alguien con las manos en la masa», dice Tom DeSot, vicepresidente ejecutivo de Digital Defense Inc. de San Antonio, cuyos 10 mercenarios de confianza —»hackers éticos» como se los conoce en la jerga del rubro— idean ataques para explotar las debilidades humanas. Su objetivo, sostiene, no es que nadie sea despedido o se meta en problemas, sino ayudar a todos los empleados a aprender las técnicas que también usan los hackers maliciosos.

En 2005, el estado de Nueva York envió un e-mail de phishing o engañoso a 10.000 empleados y contratistas. El mensaje instaba a divulgar contraseñas en un sitio web al que los redirigía. La primera vez, 15% cayó en la trampa, pero la segunda vez, sólo 8%, explica Will Pelgrin, quien realizó la prueba en su rol de jefe de seguridad de información en ese momento y ahora es presidente ejecutivo del Centro de Seguridad en Internet en East Greenbush, estado de Nueva York.

PhishMe Inc., la empresa con sede en Chantilly, Virginia, que creó los e-mails del Dr. Zaius y otros simulacros de ataques cibernéticos que las empresas pueden usar para hacer pruebas, afirma que los clientes han usado sus servicios para enseñarles una lección a 3,8 millones de empleados.

A Ryan Jones, quien dirige media decena de hackers éticos en Trustwave Holdings Inc., una compañía de seguridad digital en Chicago, le gusta dejar memorias portátiles y CD en los baños, estacionamientos y cafés cercanos a empresas que lo contratan. A menudo, le agrega el logo de la compañía cliente o el de un competidor o una etiqueta que diga «confidencial».

Casi siempre, un empleado encuentra uno de los señuelos y lo conecta a una computadora. «Comienza por la curiosidad», dice. «Es parecido al motivo por el cual la gente mira reality TV: quieren ver qué pasa en las vidas de las personas».

Los dispositivos de Jones contienen software que se apodera de la computadora y toma control de las cámaras incorporadas para sacar fotos de los empleados.

Para identificar las debilidades de seguridad, su arsenal incluye simulacros de ataques en persona, en los que engaña a otros para ingresar a oficinas y tener acceso a sistemas sensitivos. Jones tiene una variedad de disfraces, incluyendo uniformes de mensajero y bombero. Varias veces ha usado exitosamente muletas para lograr entrar por puertas bajo llave con al ayuda de alguien demasiado atento.

Los hackers éticos sacan ventaja de los pecados virtuales de la vida en la oficina.

La envidia y la curiosidad, por ejemplo, son los factores en el corazón del atractivo de uno de los engaños por e-mail más potentes del cofundador de PshishMe, Aaron Higbee, este año. Primero, un empleado recibe un e-mail supuestamente de un alto gerente, con un archivo adjunto sobre potenciales bonificaciones para una cantidad de personas. Luego llega otro e-mail que intenta «retirar» el primero.

«Eso genera curiosidad», afirma Higbee sobre los mensajes. Abrir un archivo adjunto o enlace en el correo activa el software de PhishMe. Lo correcto ante esta situación, como en otras, es consultar con quien lo envió o con el departamento de soporte técnico de la empresa.

Fuente: The Wall Street Journal, 22/04/13.

Ryan Jones, directivo de una empresa de seguridad digital, usa muletas o se disfraza de mensajero para ganar acceso a áreas sensitivas en empresas y demostrarles a sus clientes cuan vulnerables son.

Un gato con pelo púrpura es usado como señuelo para entrenar a los empleados a no caer en trampas cibernéticas.