Actualidad
La madre de un 'hacker' accedió al ordenador del director de una prisión sin saber nada de seguridad cibernética
Rita Strand, que tenía entonces 58 años, fingió ser una inspectora de salud. Una vez dentro del centro penitenciario le dio al director una memoria USB que en realidad era un dispositivo de 'hackeo'.
En julio de 2014 John Strand, fundador de la compañía estadounidense de seguridad informática Black Hills, recibió el encargo de penetrar en el sistema informático de una prisión de Dakota del Sur para comprobar su nivel de seguridad. Su trabajo consistía en entrar en el sistema interno del centro penitenciario a través de un dispositivo local, un método conocido como 'prueba de penetración', o 'pentest'.
Inesperadamente se ofreció a ayudarle su madre, Rita Strand, que entonces contaba con 58 años y no tenía ninguna experiencia en el campo de la seguridad cibernética.
"Se me acercó un día y me dijo '¿Sabes?, quiero hackear algún ordenador'. Y es mi madre, ¿qué se supone que debía decir?", recordó John durante una conferencia este miércoles, según The Wired.
Para facilitar la tarea de Rita, su hijo le dio solo una herramienta, lo que en inglés se llama 'pato de goma', un dispositivo especial oculto bajo la forma de una memoria USB, que cuando es insertado a un ordenador intenta acceder al sistema. En caso de que el 'hackeo' tenga éxito, ofrece al ordenador del intruso (que puede estar fuera del edificio) acceso a la computadora intervenida, y a través de esta a la red interna.
En el día determinado, John y sus colegas se sentaron en un café mientras Rita se dirigía al centro penitenciario. Cuando al cabo de 45 minutos todavía no tenía noticias de su madre, John empezó a preocuparse, ya que, aunque según el contrato los 'pentesters' no pueden ser juzgados por hacer su trabajo, no son inusuales los incidentes poco agradables con los guardias y policías.
"Pasa alrededor de una hora y empiezo a sentir pánico. Creo que debería haberlo pensado mejor [...] estoy en el medio de la nada en una cafetería sin una forma de llegar a ella", confesó Strand.
"Éxito abrumador"
Pero finalmente su computadora dio una señal de conexión con el 'pato de goma'. Rita no solo había logrado hacerse pasar por una inspectora, sino que también le dio al director de la cárcel la falsa memoria USB y le dijo que el dispositivo contenía una lista de control que le ayudaría a prepararse para inspecciones futuras. De este modo, Strand tuvo acceso directo a la computadora del director de la cárcel.
"Estábamos atónitos. Fue un éxito abrumador. De aquí la comunidad de seguridad tiene mucho que aprender sobre las debilidades fundamentales y la importancia que tiene para la seguridad institucional desafiar amablemente a la autoridad", dijo John.
"Incluso si alguien dice que es un inspector de ascensores o un inspector de salud o lo que sea, necesitamos hacerlo mejor y preguntar a las personas. No asumir a ciegas", advirtió.
Si te ha gustado, ¡compártelo con tus amigos!
comentarios