Las noticias más importantes en materia de ciberataques suelen estar enfocadas sobre blancos de muy alto perfil como corporaciones y agencias gubernamentales, pero más allá de que las probabilidades sean bajas, el usuario promedio puede ser hackeado también, y cuando un experto aplica todas sus habilidades… tal vez no haya límites. Un periodista decidió ser la «víctima voluntaria» de hackers durante dos semanas, y los resultados fueron escalofriantes.
Si una persona decide visitar la conferencia DEF CON, debe entender muy bien que necesita pisar con cuidado, especialmente si no sabe nada sobre seguridad informática. En general, aquellos que recorren ese lugar sólo desean demostrar sus habilidades, pero bajo semejante entorno, ser precavido es una muy buena idea. Entusiastas y expertos en informática despliegan su destreza de forma sorprendente, sin embargo, lo más perturbador es que en algunos casos, no necesitan escribir ni una sola línea de código. El periodista Kevin Roose del programa Real Future se dirigió a Las Vegas en agosto del año 2015 para vivir de cerca la actividad de la DEF CON 23, y llevó a cabo un experimento muy arriesgado:
¿Cómo podría un hacker arruinar su vida?
Los primeros participantes fueron Chris Hadnagy y Jessica Clark, de Social Engineer Inc, compañía que se dedica a evaluar las «vulnerabilidades humanas» de otras empresas, como un empleado que durante una sesión normal de trabajo simplemente entrega demasiada información. Con un poco de «vishing» (voice phishing), un vídeo en YouTube con el llanto de un bebé, un tono desesperado en su voz y una pizca de «spoofing» sobre el número de teléfono, Jessica logró obtener la dirección de correo personal de Roose en 30 segundos, pero eso no es todo: A través de información falsa, también creó su propia vía de acceso personal a la cuenta de Roose… y pudo cambiar su contraseña. Todo esto, con «cero» código.
Roose decidió subir la temperatura un poco, y buscó al investigador seguridad Dan Tentler, quien inició su «ataque» contra Roose con un enlace falso que parecía ser de Squarespace, el CMS en donde Roose tiene su blog. Roose hizo clic en el enlace… y eso fue todo. Contraseña del «keychain», información bancaria, número de seguro social, sus acciones, RATting (dos días de vigilancia)… en resumen, robo total y absoluto de identidad.
Para finalizar, Roose exploró la posibilidad de un hacker atacando no a un individuo, sino a infraestructura. Eso lo llevó a hablar con Marina Krotofil de la Red Europea para la Ciberseguridad. ¿El blanco más riesgoso? Satélites, GPS. Los barcos petroleros navegan de forma automática, y cualquier ataque al sistema podría causar un desastre económico y ecológico. El vídeo entero no llega a los 12 minutos, pero vale la pena cada segundo.