INSEGURIDAD.

qxd

10/15/03

11:28 AM

Page 60

RUBEN GUTIERREZ

.hck

DESARROLLADOR WEB

rubeng@tectimes.com

LA INGENIERIA SOCIAL, AL
SERVICIO DE LOS CRACKERS

AUN SIN TENER DEMASIADOS CONOCIMIENTOS

TECNICOS, EN MENOS DE UN MINUTO PUEDEN
QUEDARSE CON LA CONTRASEA DE NUESTRA CUENTA
DE CORREO Y MESSENGER. UTILIZANDO INGENIERIA
SOCIAL, EL MAS ASTUTO PUEDE LOGRAR LO MENOS
ESPERADO. AQUI MOSTRAMOS UN POSIBLE MODUS
OPERANDI PARA ESTAR ATENTOS Y PREVENIDOS.

ROBO DE CUENTAS D
upongamos que, por algn motivo, alguien quisiera obtener la contrasea de
cierta persona. Normalmente, el atacante
tendra dos caminos: crackear la cuenta en cuestin
o hacer que la misma vctima le d su contrasea.
Sin duda, la segunda opcin parece la ms conveniente, ya que, en un principio, no requiere de demasiados conocimientos tcnicos (necesarios para
crackear cualquier tipo de cuenta), pero a la vez, parece la ms disparatada. Cmo alguien va a lograr
que su vctima le entregue su contrasea? Muy
simple, usando ingeniera social.

personas que conocemos y en quienes, en teora, confiamos.

Pero adems de la confianza, la ingeniera social suele aprovechar el miedo (Nuevo parche de seguridad sper importante!), la codicia (Hgase millonario al instante), la lujuria (Fotos
de Jennifer Lopez haciendo topless!) y dems debilidades que
toda persona posee.
Pero si bien la ingeniera social hoy en da se utiliza ms que
nada para propagar virus informticos, histricamente ha sido
aplicada para obtener informacin privada de blancos especficos. De esta manera, es posible conseguir fcilmente ciertos datos que, normalmente, requeriran de mucho conocimiento tcnico (al menos, dentro de la informtica).

INGENIERIA SOCIAL

HOLA, COMO HACKEO HOTMAIL?

Cualquiera que tenga una cuenta de correo electrnico

habr recibido alguna vez un mensaje de algn amigo invitndolo a probar un novedoso salvapantallas
o a ejecutar una divertida animacin que, oh, casualidad!, se encuentra en un archivo ejecutable. Ms de
un incauto no se percata de que estos mensajes no
son enviados por personas reales, sino que son generados automticamente por diversos virus que andan dando vueltas por la Red. Este tipo de virus es
muy popular debido a que no se vale de cuestiones
tcnicas para propagarse, sino que utiliza lo que se
conoce como ingeniera social.
En los casos mencionados anteriormente, lo que hacen los virus es tratar de ganarse nuestra confianza
hacindonos creer que los mensajes provienen de

Quien visite foros o chats de seguridad con frecuencia se habr

cruzado alguna vez con una pregunta de este tipo (que en el
99% de los casos son hechas por usuarios novatos o newbies). La
respuesta simple es: no se puede. Y si en algn momento se llega
a poder, en cuanto el exploit (implementacin de una falla de seguridad) se haga pblico, no pasarn ms que un par de horas
hasta que los desarrolladores del sitio corrijan la falla. Esto mismo se aplica a la mayora de los servicios de empresas muy populares, como Yahoo! o MSN. Es muy poco probable que exista
un mtodo conocido para crackear estos sistemas de login, al
punto tal que cualquiera que pregunte o investigue un poco pueda conocerlo. Por eso, la forma ms simple y efectiva que tienen
los crackers o cyberdelincuentes (como los llamaran en los medios sensacionalistas) de hackear una cuenta de mail (o similar)
es utilizando la ingeniera social.

FIGURA

01
60

EL ATACANTE LE ENVIA A LA VICTIMA UN MENSAJE DE CORREO

ELECTRONICO A SU CUENTA DE HOTMAIL, HACIENDOLE CREER
QUE LE ACABAN DE MANDAR UNA POSTAL A TRAVES DE YUPIMSN.

FIGURA

02

EL E-MAIL NO PARECE TENER NADA EXTRAO: EL TIPICO TEXTO

GENERADO AUTOMATICAMENTE POR YUPIMSN; POR LO QUE
LA VICTIMA HACE CLIC EN EL ENLACE PARA VER SU POSTAL.

POWERUSR

INSEGURIDAD.qxd

10/15/03

11:28 AM

Page 61

*
DE HOTMAIL

QUIEN VISITE FOROS O CHATS DE SEGURIDAD CON FRECUENCIA SE HABRA CRUZADO ALGUNA
VEZ CON UN USUARIO NOVATO QUE PREGUNTA COMO HACKEAR UNA CUENTA DE HOTMAIL.
LA RESPUESTA SIMPLE ES: NO SE PUEDE.

UN ATAQUE EXITOSO
La siguiente es una historia verdica de un ataque exitoso en el que se utiliz la
ingeniera social. Un da, una persona a la cual llamaremos Leonel Zellwegger
(cualquier similitud con nuestro benemrito Secretario de Redaccin es pura
coincidencia...) recibi en su cuenta de Hotmail un mensaje de YupiMSN (ambas
empresas, propiedad de Microsoft) a nombre de un tal Ricardo Haveice. Como
Leonel conoca a Ricardo, no le pareci extrao que le hubiera enviado una
postal. El ataque comenzaba a perpetrarse. Para ver dicha postal, Leonel no tena ms que hacer clic en el enlace que apareca en el mensaje: ste apuntaba
(o al menos eso pareca) a una pgina dentro del dominio postales.yupimsn.
com. Al hacer clic sobre el enlace, se abri una nueva ventana, pero a diferencia de lo que uno podra suponer, lo que apareci no era la postal, sino una
ventana de Hotmail en la que se le peda volver a ingresar su contrasea para
continuar. El hecho de que todos los enlaces de los mensajes de Hotmail tengan
un marco superior con el logotipo de la empresa, y que por ese entonces la pgina pidiendo volver a ingresar la contrasea (el nombre de usuario apareca
automticamente en la pgina) era muy comn en este servicio de mail, ayud
a que Leonel no sospechara nada, o al menos no lo suficiente. Ansioso por ver
la postal de su amigo Ricardo, Leonel ingres su password tal y como se le peda. Tras hacer clic en el botn correspondiente, fue redirigido a una pgina
dentro de YupiMSN y pudo disfrutar de su tarjeta postal virtual. Minutos despus, la vida de Leonel se volvera un calvario al darse cuenta de que su contrasea haba sido robada por cybercriminales (ejem...) que le cambiaban su
nick en Messenger por obscenidades de todo tipo.

COMO SE HIZO
El sistema que haban utilizado los atacantes era bastante simple. Por empezar, el mensaje que recibi la vctima no era un mail enviado en texto puro,
como los que manda el sistema de postales de YupiMSN, sino un mail en formato

FIGURA

03
POWERUSR

UNA VEZ QUE LA VICTIMA INGRESE SU CONTRASEA

(SU E-MAIL YA FIGURA) Y PRESIONE EL BOTON [CONTINUAR],
SUS DATOS DE LOGIN SERAN ENVIADOS AL ATACANTE.

FIGURA

04

ATENCION: ATAQUES CREIBLES!

Para que un ataque que utiliza ingeniera social
sea efectivo, los hackers necesitan que sea lo
ms creble posible. Un ataque ideal es aquel
en el que todos los elementos que lo componen son reales, excepto los del paso en el que
se lleva a cabo el perjuicio para el usuario. Tomemos el caso de un virus que promociona un
salvapantallas. Para que la vctima no sospeche que est siendo engaada, hay algunos
factores clave que deben cumplirse:

El mensaje tiene que estar en el

mismo lenguaje que habla la vctima
y la persona que supuestamente lo enva.

El mensaje debe provenir de alguien

conocido o de confianza para la vctima,
y adems de la direccin de correo
electrnico, debe incluir su nombre.

El caballo de Troya, que en este caso

sera el salvapantallas, adems de
cumplir su funcin malvola (propagar
el virus), debe cumplir su funcin
normal (ser un salvapantallas real).

Entonces, si a la vctima le llega un mensaje con la direccin de mail de su mejor

amigo, pero no incluye su nombre y en el
mail se lo trata de usted, esta persona comenzar a sospechar que est siendo vctima de un engao. Si en cambio se dej
convencer por el aspecto del mensaje, pero al ejecutar el salvapantallas (o lo que
fuera que le estn enviando), ste no hace
lo esperado, tambin entrar en duda y, si
es una persona precavida, ejecutar un antivirus para verificar si ha sido engaada.
En ambos casos, el ataque habr fallado.

EL ATACANTE SOLO DEBE SENTARSE A ESPERAR LOS DATOS

DE LOGIN DE LA VICTIMA, QUE LE LLEGARAN POR MAIL,
AUNQUE TAMBIEN PODRIA GUARDARLOS EN UNA BASE DE DATOS.

61

INSEGURIDAD.qxd

10/15/03

11:28 AM

Page 62

EL FORMULARIO WEB APUNTABA A OTRA PAGINA DINAMICA

QUE SE ENCARGABA DE ENVIAR LA CONTRASEA POR MAIL AL ATACANTE
Y LUEGO REDIRECCIONABA A LA VICTIMA A LA PAGINA DE LA POSTAL.

EL CRACKER PUEDE CREAR UN FORMULARIO AUTOMATICO QUE GENERE

LAS PAGINAS DINAMICAS. ESTAR PREVENIDOS Y CONOCER SUS TACTICAS
NOS AYUDARA A NO CAER EN LA TRAMPA.

HTML. De esta manera, les fue muy sencillo hacer que

el texto del link para ver la postal fuera el link verdadero, pero que el enlace propiamente dicho apuntara a
otro lado. Cualquier persona con un mnimo conocimiento de HTML puede hacerlo. Un ejemplo sencillo
sera el siguiente:
<a href=http://www.yahoo.com/>http://www.google.com/</a>

El hipervnculo parece apuntar a Google pero, en realidad, va hacia Yahoo.

El enlace de la postal apuntaba a una pgina dinmica
(que puede haber estado escrita en PHP o ASP, por ejemplo) en un servidor ajeno a Hotmail y YupiMSN, y gene-

FIGURA

05
62

LA POBRE VICTIMA SERA REDIRIGIDA A LA PAGINA QUE CONTIENE

LA POSTAL QUE LE ENVIO EL ATACANTE, A NOMBRE DE ALGUNA
PERSONA QUE LE SEA CONOCIDA.

raba la pantalla falsa de login con la direccin de e-mail

de la vctima. El formulario web de esta pgina de login
apuntaba a otra pgina dinmica que se encargaba de
enviar la contrasea por mail al atacante y luego redireccionaba a la vctima a la pgina de la postal (que haba
sido creada previamente). Adems, los atacantes haban
tomado algunos recaudos especiales, como no utilizar un
dominio para acceder al servidor maligno, sino una direccin IP, por lo cual era ms difcil que la vctima se
diera cuenta de que estaba siendo engaada. Tambin,
mediante JavaScript, modificaban la barra de estado del
navegador para que cada vez que se acceda al servidor
apcrifo, en ella se indicara que se estaba cargando una
pgina dentro del dominio postales.yupimsn.com.
Otro de los factores por el cual el ataque de la postal
surti efecto es que fue realizado cerca de una poca festiva, momento en el cual es comn recibir este tipo de
tarjetas virtuales, por lo que la probabilidad de que la
vctima sospechara era an ms baja. Evidentemente, este ataque fue muy bien pensado y planificado.

A ESTAR ATENTOS
En el momento menos pensado, hasta el usuario ms
avanzado y precavido puede ser vctima de un ataque o
robo de este tipo. Muchas veces, el xito de un ataque
que utiliza ingeniera social no depende tanto de la ingenuidad de la vctima, sino de la astucia del victimario.
Por eso, en la Red de Redes, hay que estar siempre con
los dos ojos bien abiertos. [N. de la R.: Rubn, la prxima te corto las manos!]

FIGURA

06

EN UNA EPOCA ERA COMUN VER ESTA PANTALLA PIDIENDONOS

REINGRESAR EL PASSWORD DE HOTMAIL. NUESTRO AMIGO
LEONEL NUNCA SOSPECHO NADA...

POWERUSR