Ingeniería social

Junto al phreaking, la ingeniería social era una valiosa herramienta para aquellos primeros hackers a la hora de conseguir información. Uno de los mayores expertos en ingeniería social fue el gallego LeStEr ThE TeAcHeR, quien escribió un conocido

Curso de ingeniería social, del que a continuación reproducimos algunas partes.

4.1. Qué es Ingeniería Social

El conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.

Puede ser ingeniería social el obtener de un profesor las preguntas de un examen o la clave de acceso de la caja fuerte del Banco de España. Sin embargo, el origen del término tiene que ver con las actividades de obtención de información de tipo técnico utilizadas por hackers. En muchos casos los ingenieros sociales no tocan un ordenador ni acceden a sistemas, pero sin su colaboración otros no tendrían la posibilidad de hacerlo.

En el mundo de las empresas de alta tecnología en las que se desarrollan proyectos reservados, donde la calificación técnica necesaria para entender la

información que se quiere obtener es muy alta, las operaciones de ingeniería social de este nivel pueden llevar meses de cuidada planificación y de evaluación de

muchos parámetros, yendo más allá de una actuación puntual basada en una llamada con más o menos gracia o picardía.

Otras veces, el ingeniero social simplemente observa el entorno y aprovecha datos que están a la vista. Es el caso de un servidor de la Agencia Tributaria española cuya contraseña está puesta en un “post-it” en su pantalla.[65]

4.2. Primero, el phreaking

Lo que uno podía encontrar en una BBS de aquella época eran ficheros agrupados por temas y mensajes que corrían de unos usuarios a otros, utilizando la base de lo que después sería la red Fidonet u otras basadas en la misma tecnología.

corrían con el precio de esas llamadas. Los módems eran muy lentos, 1200 o 2400 bps. los más rápidos, y las llamadas eran muy caras. Esto tenía como consecuencia que un usuario no pudiera bajarse toda la información que quería ni conectarse a demasiadas BBS, so pena de arruinarse con la factura del teléfono... o arruinar a sus padres.

Así las cosas, era difícil compartir información propia con otros usuarios y más aún conseguir información técnica interesante que sí se podía encontrar en otros

lugares de Europa y Estados Unidos. Los grupos de hackers buscaban formas de abaratar las llamadas de teléfono y conectarse a otros lugares. En su mayoría menores con edades entre los 11 y los 20 años, no disponían de más ingresos que la paga del domingo.

El phreaking era casi una necesidad y había en nuestro país verdaderos magos del sistema telefónico que proveían de “soluciones” para que los demás pudieran pasar el mayor tiempo posible conectados con el menor coste. Es importante entender que si un usuario español deseaba una información de una BBS finlandesa, debía llamar a Finlandia y conectarse a dicha BBS, ya que no había redes que compartieran la información de las BBS del Underground.

En muchos casos, para conseguir informaciones de cómo utilizar ciertas

funcionalidades de una central de telefónica, o el acceso a una red, era necesario el uso de ingeniería social. Así, algunos hackers comenzaron a especializarse en esas tareas. El abanico de posibilidades se multiplicó: no sólo el sistema telefónico sinó las configuraciones de servidores, contraseñas de sistemas, datos de

compañías empezaron a ser objetivo de los ingenieros sociales, que al facilitárselos a otros hackers les facilitaban en mucho sus tareas, ya que se podían dedicar a lo que realmente les interesaba, aprender sistemas.

Son los tiempos en los que nacen !Hispahack, Apòstols, AFL, KhK Conspiradores y muchos otros grupos ya extinguidos. En cada uno de ellos hay por lo menos un experto en ingeniería social, o bien buscan a especialistas en esta materia para temas concretos.

Se produce un fenómeno interesante a este respecto: la práctica de técnicas de ingeniería social para conseguir información de otros grupos de hackers.[66]

4.3. Algunos ingenieros sociales españoles

LeStEr les conoció en la BBS God’s House y escribió una aventura de cada uno, que reproduce en su Curso de ingeniería social. Pueden leerse también en

Hackstory.net: Agnus Young, D-Orb, LeStEr ThE TeAcHeR, Omega. Por falta de

espacio, reproducimos sólo una operación de ingeniería social, protagonizada por

The Saint, que mezcla la técnica del trashing (mirar en la basura), el uso del teléfono y, lo más delicado en ingeniería social: la visita presencial.

Como otros muchos, utilizaba un acceso intermedio en un sistema local para poder conectarse a Internet, ya que cuando esto sucede no había proveedores en nuestro país.

Durante mucho tiempo utilizó el mismo acceso, pero ahora sabía que los datos para el acceso al sistema local se cambiaban a primeros de mes. Sabía también que las claves llegaban por carta al apartado de correos que el CPD de aquella caja de ahorros tenia en una ciudad de Aragón. Lo había sabido porque al lado de su instituto tomaban todos los días café algunos directivos de la compañía y a él le gustaba ir allí a “estudiar”. Tardó mas o menos un par de meses en enterarse de ello ya que estos directivos siempre se sentaban en la misma mesa y era sencillo escuchar lo que decían.

Conocía varios datos más acerca de la compañía porque cuando las limpiadoras sacaban las bolsas de basura él buscaba entre los papeles listados de las aplicaciones en Cobol o trabajos del Host IBM que tenían allí, un 3090 Sierra. Se acercaba final de mes y necesitaba conseguir la llave de aquel apartado de correos y así poder conseguir las claves de acceso por X.28. Buscó en la guía el teléfono de la oficina de correos cercana a aquellos edificios y preguntó por el responsable de los apartados. Utilizó un micrófono preamplificado y un altavoz que realzaba los graves para hablar, curiosamente de un órgano electrónico muy barato que hacia sampling .

- Buenos días, Emiliano Pérez al habla dígame que desea?

-Hola, me llamo Federico Tomas de la “caja grande y azul” tenemos ahí un apartado de correos al que va a llegarnos una carta urgente y la llave la tengo en mi poder aquí en Paris. He tenido que venir en viaje de trabajo y no vuelvo hasta dentro una semana. Si le parece bien mandaré a un mensajero para retirar la copia y así poder revisar el correo que es muy urgente.

- No se preocupe, que venga que yo le espero hasta las 2, dígale que venga de su parte para que no haya confusión.

No pasaron más allá de 30 minutos cuando The Saint con un casco de moto y una cazadora de cuero (ambas cosas prestadas) entraba en aquella pequeña oficina de correos y

preguntaba por don Emiliano de parte de Don Federico.

- Hola, venía porque mi jefe se ha marchado con la llave del apartado de correos de la empresa y me han dicho que tenía que darme una copia o no sé qué.

- Sí, precisamente aquí la tengo preparada.

- Pues muchas gracias por todo, vuelvo corriendo a la oficina. - De nada chaval, hasta otra.

Cada vez que llegaba una nueva contraseña The Saint la obtenía y la depositaba de nuevo en aquel apartado de correos solo unas horas después.

A partir de ese momento y durante varios meses The Saint estuvo entrando por una conexión X.28 a aquel banco y desde él y gracias a las contraseñas que recibía cada mes saltaba a otros servidores de la red X.25 que le permitían la salida fuera del país. No hubo denuncia alguna, nadie se enteró nunca y sólo dejó aquellas entradas cuando cambió de ciudad. The Saint trabaja ahora en una importante compañía de seguridad fuera de nuestro país.[67]

5. Notas

1. ↑Código Hispano. Mercè Molist (13/02/01) 2. ↑LeStEr ThE TeAcHeR

3. ↑Scene. Es.Wikipedia

4. ↑Subculture of the subcultures. Linus Walleij. “Copyright Does Not Exist” (1998) 5. ↑Subculture of the subcultures. Linus Walleij. “Copyright Does Not Exist” (1998) 6. ↑Anuncio antipiratería de los 80’s . Comentario de musg0. Menéame (09-08-09) 7. ↑Duro golpe a la piratería. “Microhobby” (15/21-10-85)

8. ↑Pacto “AFYVE”-”ANEXO” contra la piratería. “Microhobby” (1986)

9. ↑El punto de vista de los piratas del Rastro. Especial La piratería. “Microhoby” (12-86) 10. ↑ Lester, en conversación privada

11. ↑ Lester, en conversación privada

12. ↑ Depeche Mode, en conversación privada 13. ↑ Depeche Mode, en conversación privada

14. ↑Daley Thompson’s Decathlon. Videojuegos Olvidados. Poetamaldito.com 15. ↑ Depeche Mode, en conversación privada

16. ↑Copinones. Es.comp.sistemas.sinclair 17. ↑ Depeche Mode, en conversación privada

18. ↑Comentario #16. La historia de !Hispahack, los primeros hackers españoles. Menéame (16/01/08)

19. ↑Asalto a La Moncloa. Ildefonso Olmedo “El Mundo” (15-08-99) 20. ↑ Depeche Mode, en conversación privada

21. ↑ Depeche Mode, en conversación privada 22. ↑ Depeche Moden, en conversación privada 23. ↑ Depeche Mode, en conversación privada 24. ↑El tercer hombre. @rroba, 95 (04-05) 25. ↑ Depeche Mode, en conversación privada

26. ↑El último apòstol. Mercè Molist. @rroba, 130 (07/08). 27. ↑El último apòstol. @rroba, 130 (07/08).

28. ↑ Jordi Murgó, en conversación privada

29. ↑Ramón Martínez: El último apóstol. Mercè Molist para “@rroba” (28-05-08)

30. ↑El tercer hombre. @rroba, 95 (04-05) 31. ↑Chats. The Hacker Chronicles II.

32. ↑Renegade Legion Technical Report 1.0: TRW Information 33. ↑BBS. Es.Wikipedia

34. ↑ The Phreaker, en conversación privada

35. ↑Descripcion de las cajas de colores. Case Zer0. Iberhack 36. ↑El último apòstol. @rroba, 130 (07/08)

37. ↑El último apòstol. @rroba, 130 (07/08) 38. ↑ Depeche Mode, en conversación privada 39. ↑ The Phreaker, en conversación privada 40. ↑ Ender Wiggins, en conversación privada

41. ↑Manual del novicio al hack/phreack. Culturahack 42. ↑Unix. Es.Wikipedia

43. ↑VAX. Es.Wikipedia 44. ↑PAD. En.Wikipedia 45. ↑Líneas 900 (1998)

46. ↑ The Phreaker, en conversación privada 47. ↑El tercer hombre. @rroba, 95 (04-05) 48. ↑El tercer hombre. @rroba, 95 (04-05) 49. ↑Chaos Computer Club

50. ↑El tercer hombre. @rroba, 95 (04-05) 51. ↑ Depeche Mode, en conversación privada 52. ↑ Ender Wiggins, en conversación privada 53. ↑El último apòstol. @rroba, 130 (07/08) 54. ↑El tercer hombre. @rroba, 95 (04-05)

55. ↑Qué es el par piloto. Santiago Fernández. EMTT (29-10-08)

56. ↑Absuelto un acusado de estafar casi veinte millones a Telefónica. Mercè Molist para “Ciberpais” (1998)

57. ↑Savage: El tercer hombre. Mercè Molist para la revista “@rroba” (23-05-05) 58. ↑The Anarchist Cookbook. En.Wikipedia

59. ↑EncomIX, by Ramón Martinez. Historia de Internet en Aragón. Rampa 1995 60. ↑Historia de la creación, El Genesis. Encomix (12-03-09)

61. ↑Mapa de las lineas de EncomIX en 1997. Encomix (05-08-08) 62. ↑ Ender Wiggins, en conversación privada

63. ↑ Depeche Mode, en conversación privada 64. ↑Página web de Apòstols

65. ↑Ingeniería Social 1.0. LeStEr ThE TeAcHeR 66. ↑Ingeniería Social 1.0. LeStEr ThE TeAcHeR 67. ↑Ingeniería Social 1.0. LeStEr ThE TeAcHeR.