Alet Denis: cómo una hacker engañó a toda una corporación

Una hacker logró ingresar a un gran edificio en una de las megaciudades para robar datos confidenciales, vulnerando tanto el espacio físico como la red Wi-Fi corporativa. Sin embargo, el hackeo no fue necesario: las puertas y los ascensores estaban abiertos.

Alet Denis, haciéndose pasar por una empleada, subió al piso requerido en el ascensor sin usar una tarjeta de acceso. La puerta de la oficina estaba entreabierta y el guardia de seguridad en su puesto no prestó atención a su presencia. Una vez en la sala de conferencias, instaló un dispositivo malicioso previamente configurado. La noche anterior, Denis encontró el nombre de usuario y la contraseña de la red Wi-Fi en un contenedor de basura del edificio. Conectando el dispositivo a la red y ocultándolo detrás del televisor de la sala de conferencias, Denis pudo descargar datos de la empresa durante una semana a través de su propia red.

En este caso, el control del dispositivo estaba en manos del equipo de seguridad contratado por los dueños del edificio para verificar la seguridad física y cibernética. La hacker Alet Denis es consultora senior de seguridad en la empresa Bishop Fox. Su especialidad principal es la evaluación de seguridad física. No obstante, Alet es más conocida por ganar el concurso de ingeniería social en DEF CON, lo que le otorgó un lugar en el Salón de la Fama de la Insignia Negra.

Denis se dedica a pruebas de penetración y utiliza a menudo métodos de ingeniería social. En su práctica, hay muchos ataques que se realizan a través de llamadas telefónicas o correos electrónicos, pero lo que más le gusta es el "contacto personal". Esto le ayuda a crear personajes convincentes y desarrollar pretextos complejos para engañar. Denis suele hacerse pasar por ex o actuales empleados, así como por representantes de empresas proveedoras, para obtener acceso a redes corporativas mediante engaño.

En una de sus misiones, el equipo de Denis necesitaba ingresar a la sede de un proveedor de software. Los especialistas se hicieron pasar por contratistas que debían evaluar el sistema de videovigilancia. Crearon una empresa ficticia, números de teléfono y órdenes de trabajo. Todo iba según lo planeado hasta que, en la recepción, apareció un gerente de seguridad que sospechó de inmediato y llamó a un colega: un experto en seguridad que había escrito un libro sobre vigilancia encubierta. Como resultado, el engaño fue descubierto y el equipo de Denis se vio obligado a abandonar el edificio.

A pesar de las tecnologías modernas, como la inteligencia artificial y los deepfakes, los métodos más efectivos de ingeniería social siguen siendo las conversaciones con personas, ya sea por teléfono, correo electrónico o encuentros cara a cara. Denis señala que los métodos de los delincuentes son diferentes a los que se presentan en los entrenamientos de seguridad. Las nuevas herramientas relacionadas con la IA no siempre valen la pena, y algunos delincuentes vuelven a métodos tradicionales, como el phishing por voz (vishing).

El objetivo principal de un ciberdelincuente es provocar una reacción emocional en la víctima. Los atacantes suelen enviar correos electrónicos que describen políticas de la empresa, pero en realidad contienen archivos maliciosos. Según Denis, la tarea principal de la ingeniería social es aprovechar la respuesta emocional de una persona para acceder a sus credenciales.

En el trabajo de los equipos rojos (grupos de pruebas de seguridad) se utilizan los mismos métodos que los hackers para evadir los sistemas de detección y prevención de phishing. Las llamadas telefónicas también son comunes para mantener la leyenda. Por ejemplo, después de enviar un correo con un archivo malicioso, los hackers pueden llamar a la víctima y convencerla de que abra el correo, supuestamente olvidado o no enviado anteriormente. Para no convertirse en víctima de estos ataques, Denis recomienda hacer preguntas para poner al estafador en apuros y detener sus intentos de hackeo.