#MundoHacker: Cmo se

realiza una campaa OSINT de

ingeniera social?

Casi a diario omos que x empresa ha sido hackeada. En la mayora de los

casos, el ataque se salda con miles de datos personales de los clientes o usuarios
de esa compaa, que pasarn a engordar la base de datos de la industria del
crimen.
Y lo peor de todo es que para realizar este tipo de ataques no tienes que ser
un experto en seguridad. Es ms, hay una va mucho ms sencilla: Atacar al
eslabn ms dbil, que sigue siendo el trabajador.
Pero no nos vale cualquier trabajador, as que en este nuevo captulo de la
serie #MundoHacker, veremos varias de las estrategias habituales para
obtener informacin crtica de la vctima, ganarnos su confianza, y luego
tomar el control de los sistemas informticos donde estn almacenados los
datos que de verdad nos interesan, que espero sirva para que si formas parte
de una organizacin avises de los riesgos a los que previsiblemente estis
expuestos.
Empecemos.

Objetivo y eleccin de la vctima

Es lo primero que alguien interesado en nuestra informacin va a fijar. Ataques los
hay de muchsimos tipos, y segn los objetivos finales, interesar obtener en
la fase de anlisis OSINT una u otra informacin.

Pero supongamos que en este ejemplo a priori no tenemos ni idea de cmo atacar
a esa organizacin, por lo que haremos un barrido inicial con el fin de encontrar
posibles vctimas.
Qu nos interesa? Alguien que tenga un puesto de responsabilidad, o
acceso a la tecnologa que est detrs de los sistemas informticos de la
empresa.
Y la mejor manera de empezar a buscar es por la web.

Fase 1: Extraccin de informacin en bruto

Entramos en la pgina de la empresa objetivo. En este caso, me he decidido por
una del sector servicios. Una pyme al azar (la primera que me sali en internet
buscando empresas de ese sector en particular).
Despus de navegar un rato por su web, me he dado cuenta que hay poco donde
rascar. Pero es importante hacer este paso por la sencilla razn de que lo que
necesitamos primero es informacin. Quizs en su pgina tengan un blog, y
quizs alguna de las entradas nos de alguna idea de por dnde podemos
continuar. En esta web especfica, de datos crticos nicamente obtuve el
telfono, ya que ni contaban con pgina de Quienes Somos ni formulario de
contacto. Y tirando del hilo, que la empresa est formada por dos hermanos. A
nivel tcnico, estamos ante un WordPress (con mirar el cdigo es casi inmediato
saber el tipo de software que estn usando), y lamentablemente, el
archivo robots.txt no nos muestra informacin extra (a veces este archivo
puede servirnos para conocer otros archivos o directorios que podran ser vector
de ataque).
Viendo que con esto no voy a ningn sitio, el siguiente punto pasara
por consultar el WHOIS de la web, y de los servicios disponibles en internet que
conozcamos de la vctima. El WHOIS es informacin pblica que todo dominio
ofrece de sus dueos y de los stakeholders que estn involucrados en su buen
funcionamiento (network). A un servidor personalmente
le encanta centralops.net (EN) por la gran cantidad de informacin que ofrece con
realizar una sola bsqueda. Inserto el dominio de la empresa objetivo, y empieza a
lloverme informacin:

Con esto se que la pgina est en Hostinet, y tambin las fechas de caducidad
del dominio.

Ya tengo el primer dato. Quien

registr el dominio se llama Ignacio, y viene acompaado de un apellido. Lo
perfecto hubiera sido que viniera con el nombre completo, pero esperemos que un
poco de hacking con buscadores ms adelante desvele ms informacin.
Adems, podra interesarme la direccin fsica de la compaa, y sobre todo, el
email, ya que el telfono ya lo tenamos.
A nivel de Hostinet, tambin obtengo informacin interesante:

Estos dos son los contactos que Hostinet ofrece a sus clientes. Datos que
como veremos pueden ser de vital importancia para el xito del ataque.
Para terminar, recopilo tambin la informacin de las DNS, que podran servirme
para reconocer el tipo de servidor utilizado en algn buscador de tecnologa
como shodan (EN), conocer el sistema que est detrs (en este caso un Ubuntu
Server con Apache) y aprovecharme de alguna vulnerabilidad conocida:

Fase 2: Extraccin de conocimiento a partir de la

informacin bruto
Llega el momento del hacking con buscadores.
Tenemos un correo, que probaremos (por si hay suerte) a buscarlo
en Pastebin (EN) o servicios como ZoneH (EN) utilizados habitualmente por los
crackers para difundir las listas de correos sustradas de bases de datos
robadas. La mayora de las veces no encontraremos nada, pero vaya, que por
intentarlo no sea.
Luego nos vamos a Google, que es la mejor herramienta de un auditor de
seguridad, y buscaremos por el nombre y apellido de nuestra potencial vctima:
nuestro amigo Ignacio, acortando por el sector profesional al que pertenece.

Como era de esperar, obtenemos su nombre completo, e incluso alguno de sus

perfiles en redes como LinkedIn (tiene perfil, pero est muy abandonado). Aqu
podramos seguir tirando del hilo como hicimos en el tutorial Qu datos se
pueden obtener de una persona en Internet?. Informacin crtica que
podramos usar ms adelante, para por ejemplo hacernos pasar por una
preciosa rusa o un potencial cliente. Tambin para realizarle cualquier tipo de
extorsin que se nos ocurra (seguramente nuestro amigo Ignacio tenga un perfil
en Facebook del que podramos sacar oro).
Adems, he visto que Ignacio mantiene relaciones profesionales con los miembros
de un grupo de afiliados que le suministran las herramientas para
desempear su trabajo, y del que pblicamente tengo acceso a su nmero de
miembro.
Con esta informacin, no tendra por qu ser descabellado enviarle un email
hacindonos pasar por uno de los administradores invitndole a recibir una
oferta en su prximo pedido. La pgina de aterrizaje sera una copia de la real
(que por cierto, tampoco contaba con certificacin de seguridad), en la que su
nmero de usuario ya est escrito, a falta de que inserte la contrasea. Usar
Ignacio una contrasea distinta para cada servicio? ^.^
Tenamos adems informacin sobre el contacto de Hostinet. Este tipo de
informacin es muy interesante ya que nos permitir seguramente usurpar la
identidad de un tercero, en el que para colmo la vctima ya tiene depositada
la confianza.
Hay que tener en cuenta que no siempre nos encontraremos con perfiles como
Ignacio, que aunque no est en el mundo de la tecnologa, si parece tener una
presencia relativamente activa en Internet. Pero en el caso de Amaia o Xavier, al
trabajar en este sector, tenemos casi asegurado que sus perfiles son de lo ms
completo:

Un ataque bastante habitual sera el de hacernos pasar por Xavier o Amaia,

teniendo en mano toda la informacin que tenemos actualmente del cliente.
Podramos enviar un correo desde el supuesto dominio de Hostinet (con un
sencillo script en PHP se puede hacer) o contratando un dominio muy parecido
(como explicamos en su da en la gua de cmo ofuscar URLs en campaas de
phishing) avisando a Ignacio de un posible problema (por ejemplo, con la factura),
con el fin de que nos enve los datos de acceso al servicio o a la red interna de la
empresa. Y es posible que si resultamos lo suficientemente convincentes, Ignacio
acabe por caer en la trampa.
Habremos atacado esta pyme sin tener que tirar una sola lnea de cdigo.
Simplemente analizando fuentes de informacin abierta, y utilizando la
ingeniera social como arma.

Es tu empresa vulnerable a ataques de ingeniera

social basados en datos abiertos?
CLICK TO TWEET

Qu podemos aprender y cmo podemos

defendernos?
Las primera pregunta es sencilla de responder. Si sirve de algo esta gua es para
poner cara a uno de los principales riesgos que una empresa tiene que
solventar en pleno siglo XXI: la formacin de sus trabajadores (de todos ellos)
en el buen uso de la tecnologa y saber localizar los timos por la red al igual que
hacen en el mundo fsico.
El eslabn ms dbil de la cadena no es la mquina, sino el que est sentado
en la silla. Y como veamos, no hace falta ser un experto en seguridad para
hackear una web, un servicio o una intranet.
Sobre la pregunta de cmo defendernos, hay algunos puntos que son
relativamente sencillos de aplicar:
Contratar un WHOIS privado: Los WHOIS estn ah para que en buena fe
cualquiera pueda ponerse en contacto con el administrador de un servicio
online y avisarle de que algo no est funcionando bien. Pero en la prctica,
pueden ser utilizados para este tipo de ataques. Por ello, recomendara que
se ofuscara esta informacin, ya que si en verdad estuviramos ante un
delito, el organismo competente tendra seguramente la potestad de pedir
directamente al proveedor informacin sobre quin est gestionando esa
pgina.
Una buena poltica de permisos: En este caso el objetivo era una pyme
formada por dos hermanos (desconozco tan siquiera si tendran
trabajadores), pero en la prctica este tipo de ataques podran realizarse a
cualquier tipo de empresa. Y conforme ms grande es, ms posibles
objetivos tenemos. El trabajador del departamento de IT suele tener acceso
(a veces innecesario) a servicios crticos de la compaa, y los directivos, la
mayora de las veces, tambin lo tienen (y la mayora de las veces de forma
innecesaria). Establecer una buena poltica de permisos minimiza los riesgos
de fuga de informacin.
Formar a los trabajadores: Ya lo hemos dicho pero lo repito por si a alguien
no le ha quedado claro. Son el objetivo nmero 1 de la industria del
crimen. Son fciles de manipular, y este tipo de campaas salen ms
baratas que lanzar una APT especfica al sistema de una compaa que
seguramente cuente con sus propias contramedidas.
Estar alerta y forzar la activacin de protecciones perimetrales: Este tipo
de ataques van contra los trabajadores, no contra los sistemas de la
empresa. Pero al final tiene que haber un punto en el que los dos mundos se
toquen. Si el email que envabamos a Ignacio acaba en la bandeja de spam,
es posible que evite el dao. Si la cuenta de acceso a administrador requiere
una doble autenticacin, ya no solo tendremos que engaar a Ignacio, sino
tambin robarle fsicamente su smartphone. Todo acaba sumando