Defcon tienta a trabajadores despistados

1. Defcon 2010, tentando a los empleados

Los organizadores del concurso Defcon, que un año más se ha celebrado en Estados Unidos, han retado a sus participantes a que, mediante ingeniería social, lograran sonsacar información a empleados de más de 30 compañías de Estados Unidos. Una acción que ha puesto los pelos de punta no sólo a las empresas afectadas sino al mismísimo FBI, grupos de seguridad y centros de análisis y servicios financieros que ofrecen información sobre las amenazas de seguridad que afectan, entre otros, a la industria de la banca.

Chris Hadnagy, director de operaciones de Offensive Security, y uno de los organizadores del Defcon Contest tranquilizó a los afectados asegurando que no se trataba de conseguir información personal ni sensible.
Durante tres días los participantes se esforzaron al máximo para desenterrar los datos de una lista no conocida de unas 30 empresas de Estados Unidos. El concurso se llevó a cabo en una habitación de un hotel de Las Vegas que permitía a los asistentes escuchar a los concursantes hacer las llamadas a las compañías y tratar de sonsacar los datos a los empleados sin que se dieran cuenta, es decir mediante ingeniería social.

Con este reto los organizadores de la conferencia han caminado cerca de lo ilegal, por lo que no sólo han establecido una serie de reglas, sino una lista de las cosas que no se podían hacer. Como ejemplo los concursantes no podían pedir datos sensibles o contraseñas, ni podían hacer que las víctimas se sintieran en riesgo; tampoco podían hacerse pasar por cuerpos de seguridad o cualquier cosa que, simplemente, no fuera ética.

Lo que los participantes sí podían hacer es recopilar información de temas menos sensibles como quién se ocupa de la trituración del papel o de llevarse la basura.

2. Las mujeres son más discretas

Normalmente las empresas de seguridad dan luz verde al uso de técnicas de ingeniería social contra sus clientes como una manera de probar lo que podría pasar si ocurriera un incidente en el mundo real e identificar posibles debilidades de seguridad. En estas pruebas los expertos en seguridad intentan entrar furtivamente en áreas seguras o intentar que los empleados cedan sus contraseñas mediante técnicas de phishing, algo que ha estado prohibido en el Defcon.

La herramienta principal este año ha sido el teléfono. Los concursantes han podido utilizar el ordenador para rastrear a sus objetivos y tenían sólo 20 minutos para llamar por teléfono a las compañías para intentar su ataque.

Entre los resultados destacar que sólo tres de los más de 50 empleados que respondieron a las llamadas fueron escépticos y dejaron a los concursantes sin la información que pedían, y las tres fueron mujeres.
En uno de los casos un hacker consiguió que le respondieran a una lista de más de 30 preguntas además de a información que no estaba en ella.