Taller de Ciberseguridad

Caso de Estudio 3: Ingeniería Social

Analic Ser Humano Panorama de Ingeniería Social

e

Eran poco más de las ocho de la mañana cuando estacioné mi auto a unos cientos de
pies del edificio de uno de nuestros clientes. Antes había determinado que la mayoría de
los empleados venían a trabajar con su automóvil y se estacionaban detrás de la oficina
central en el estacionamiento privado. Parecía mejor imitar este hábito porque caminar
por el aparcamiento probablemente llamaría la atención sobre mi presencia. En el espejo
de mi auto, vigilaba a los empleados que conducían hasta el estacionamiento.
Después de unos diez minutos, apareció un automóvil gris. Una vez que el auto me pasó,
me fusioné y seguí de cerca. Desafortunadamente, el automóvil pasó junto al edificio del
objetivo de hoy y me vi obligado a volver a mi posición inicial. La segunda vez, Tuve más
suerte y después de que el empleado usó su tarjeta de acceso para abrir la puerta, pude
seguir de cerca para entrar al estacionamiento privado detrás del edificio.
Esperé hasta que el empleado dejó su auto y entró por la entrada del personal en la parte
trasera del edificio. Caminé hacia la zona de fumadores cerca de la entrada. Saqué un
nuevo paquete de cigarrillos de mi bolsillo y encendí uno. Afortunadamente, no había
cámaras en este lado del edificio, por lo que podía esperar tranquilamente hasta que un
empleado desprevenido se uniera a este no fumador que estaba haciendo alarde de un
cigarrillo para la ocasión. Una mujer que quería fumar apareció después de un rato.
Hablamos un poco y volvimos a caminar juntos, a través de la puerta abierta con su
insignia de empleado, hacia el edificio. Estaba dentro!
La seguí hasta el cuarto piso y entré en la oficina, una vez más ella cortésmente nos abrió
la puerta a los dos. Afortunadamente, había una máquina de café para poder quedarme
allí un rato y observar el piso sin entrar en una parte sin salida del edificio. Un poco más
lejos, pude ver algunas salas preparadas para reuniones. Me llevé el café a una sala de
reuniones, quité el cable del teléfono VoIP y lo inserté en mi computadora portátil.
Mientras mi computadora portátil arrancaba, eché un vistazo a la pila de papel que había
agarrado de la papelera cerca de la impresora mientras caminaba. Incluía correos
electrónicos con muchas direcciones de empleados en los campos "Para" y "CC".
¡Perfecto! Estas serían las "víctimas" en mi próximo ataque.
Después de arrancar mi computadora portátil, realicé un escaneo de puertos en el puerto
80 en direcciones IP cercanas para buscar páginas web internas. También utilicé mi
navegador web para intentar abrir algunas URL obvias como "intranet.clientname.com",
"intraweb.clientname.com", "search.clientname.com", "directory.clientname.com", y así
sucesivamente. No tardé mucho en encontrar una página web interna. Copié la página y
ajusté un texto y después de quince minutos había reunido una página de votación de
"empleado del mes" que se parecía exactamente a las páginas web de la compañía,
incluidos logotipos y colores. Luego, inicié un servidor web en mi computadora portátil
para poder acceder a la página recién creada a través de la red interna.
 Taller de Ciberseguridad
Caso de Estudio 3: Ingeniería Social

Un segundo escaneo de puertos limitado me permitió identificar un servidor de correo

interno que tenía habilitada la retransmisión de correo (permitiendo el envío de correo
electrónico anónimo). En ese momento, había estado en el edificio durante al menos
veinte minutos y nadie me había preguntado sobre lo que estaba haciendo allí. Luego, me
concentré nuevamente en las "víctimas". Primero, envié un correo electrónico a través del
servidor de correo identificado que contenía el contenido de un correo electrónico que
había copiado de mi carpeta de correo no deseado, a algunas de las direcciones en los
correos electrónicos impresos.
Esperaba que este correo electrónico desencadenara un mensaje de fuera de la oficina
de uno de los empleados. Cuando recibí un correo electrónico de ese tipo, copié la firma y
cambié el nombre y la función a ficticios. Ahora tenía una página web y un mensaje de
correo electrónico que se parecía exactamente a los utilizados en la organización.
Luego, Creé un correo electrónico con un recordatorio de la invitación para votar por el
"empleado del mes". El mensaje indicaba que una selección aleatoria de empleados
podría nominar a sus colegas para este premio. Esto podría hacerse a través de una
página web interna incluida en el enlace en la parte inferior del correo electrónico.
Naturalmente, era necesario iniciar sesión para evitar que las personas hicieran votos
duplicados.
El recordatorio indicó que aquellos que se perdieron el primer correo todavía tenían la
oportunidad de ingresar su voto hasta las 12:00 en punto del mismo día. Cambié a una
segunda ventana y esperé con calma hasta que la contraseña de los primeros empleados
entusiastas apareció en la segunda ventana. Esto tomó exactamente dos minutos
después de enviar el recordatorio por correo electrónico.
El mensaje indicaba que una selección aleatoria de empleados podría nominar a sus
colegas para este premio. Esto podría hacerse a través de una página web interna
incluida en el enlace en la parte inferior del correo electrónico. Naturalmente, era
necesario iniciar sesión para evitar que las personas hicieran votos duplicados. El
recordatorio indicó que aquellos que se perdieron el primer correo todavía tenían la
oportunidad de ingresar su voto hasta las 12:00 en punto del mismo día.
Cambié a una segunda ventana y esperé con calma hasta que la contraseña de los
primeros empleados entusiastas apareció en la segunda ventana. Esto tomó exactamente
dos minutos después de enviar el recordatorio por correo electrónico. El mensaje indicaba
que una selección aleatoria de empleados podría nominar a sus colegas para este
premio. Esto podría hacerse a través de una página web interna incluida en el enlace en
la parte inferior del correo electrónico. Naturalmente, era necesario iniciar sesión para
evitar que las personas hicieran votos duplicados.
Al iniciar sesión en el sitio, los empleados, además de su contraseña y nombre de
usuario, también dejan automáticamente su dirección IP. Esta fue toda la información que
necesitaba. Inicié Metasploit (un kit de herramientas para hackers) que me permitió iniciar
sesión de forma remota en la PC del primer participante de la encuesta. Mientras tanto,
también había encontrado al usuario en el directorio telefónico interno en línea.
 Taller de Ciberseguridad
Caso de Estudio 3: Ingeniería Social

Desafortunadamente, resultó que el primer empleado trabajó en el departamento de

finanzas.
En esta etapa, realmente estaba buscando un administrador de TI porque a menudo
tienen privilegios para acceder a una gran cantidad de sistemas. Decidí volcar los hash de
contraseña locales en el sistema de los usuarios. Usando el hash de la cuenta de
administrador local, traté de autenticarme contra el sistema de un usuario arbitrario en la
red. Este "truco" ha funcionado en varios sitios de clientes y ahora también fue exitoso.
Dado que todos (o al menos muchos) escritorios se instalaron desde la misma imagen, las
contraseñas para las cuentas locales también eran idénticas.
En este punto, había estado dentro durante aproximadamente tres cuartos de hora sin
que nadie lo notara y ya había tomado el control total de dos sistemas.
Desafortunadamente, el hash de contraseña no funcionó en el controlador de dominio, por
lo que decidí seguir iniciando sesión en los sistemas de escritorio hasta que encontré un
sistema con un usuario (o proceso) que se ejecutaba con los más altos privilegios (por
ejemplo, el administrador de TI). Después de veinte minutos, encontré un sistema en el
que había iniciado sesión un administrador de TI. La herramienta gratuita Metasploit tiene
una función incorporada que le permite asumir la identidad de un usuario y con todos sus
privilegios.
Después de asumir la identidad del administrador de TI, tenía derechos de administrador
de dominio y acceso completo a todos los sistemas Windows y a los datos presentes en la
red, incluidos todos los servidores con administración financiera y los buzones de la junta
directiva. Hice algunas capturas de pantalla y decidí que era hora de una segunda taza de
café.
Intervención:
1. ¿Qué estrategias utilizo el atacante y por qué?
2. ¿Qué sucedió con la victima?
3. ¿Fueron o no satisfactorias las técnicas utilizadas por el atacante y explique?
4. ¿Qué técnicas de ingeniería social y de psicología social y/o forense utilizo el
atacante y por qué?
5. ¿Supongamos que usted sea el atacante que técnicas innovadoras realizaría para
lograr el objetivo?
6. ¿Qué medidas debió de tomar la empresa ante y durante esta situación?
7. ¿Cuáles controles de ciberseguridad son deficientes y eficientes en el escenario?
8. ¿Usted cómo atacante qué escenario le permitiría lograr el objetivo y cuánto
tiempo le tomaría?
9. ¿Cuál fue el rol del área de Tecnología de la Información, desde la postura de
Infraestructura TI?
10. ¿Usted cómo CEO de la organización que medida tomaría y por qué al informarse
que esta situación ocurrió? (Explique)
 Taller de Ciberseguridad
Caso de Estudio 3: Ingeniería Social

Discusión y Análisis
1. Exprese su argumento frente al caso como analista de Red Team desde su
postura ofensiva.
2. Explique la postura del Blue Team desde el contexto defensivo en la organización.
3. Explique y de análisis a detalles que impacto podría tener en la organización el
caso desde aspectos financieros, reputaciones y de riesgos tecnológicos.