sábado, 4 de agosto de 2012

La grabación al Scotiabank es auténtica

¡¡Exijamos lo Imposible!!
Todo sobre la llamada a Scotiabank sobre @LVidegaray - Parte 3: Ingeniería social (cc @Ricardomonreala)
Por Victor Hernández

En la parte uno de esta serie mostré cómo los alegatos del PRI contra la grabación de la llamada a Scotiabank que confirmaría la cuenta de Luis Vidgaray, que presentó ayer Ricardo Monreal, no se sostienen. En la parte dos mostré las claves de cómo se usó ingeniería social para lograr infiltrarse en el sistema de Scotiabank y obtener una confirmación de que Videgaray es el titular de la cuenta.

Como sospeché que a muchos les iba a parecer muy fantasioso eso de la "ingeniería social", esta tercera parte se enfoca en presentar la evidencia de la existencia de la ingeniería social y de dónde saqué la información al respecto.

Para entender esto nos tenemos que remontar al 2 de marzo de 2000. Ese día se presentó a atestiguar ante el Senado de Estados Unidos un ex hacker llamado Kevin Mitnick para decir lo siguiente:

"Tengo 20 años de experiencia saltándome medidas de seguridad informática, y puedo reportar que he comprometido exitosamente todos los sistemas a los que he apuntado para acceso no autorizado excepto por uno. Tengo dos años de experiencia como investigador privado, y mis responsabilidades, incluyendo encontrar a gente y sus propiedades, usando técnicas de ingeniería social."

Mitnick explicó lo que la ingeniería social significa:

"Se define como el obtener inteligencia mediante engaños. Los empleados están entrenados para ayudar, y para hacer lo que les dicen que hagan en el lugar de trabajo. El ingeniero social hábil usará esos elementos para su ventaja mientras busca información que permitirá lograr su objetivo."

Luego explicó a detalle:

"La igeniería social involucra engañar o persuadir gente para revelar información o usar ciertas acciones a petición del intruso."

Dijo que por medio de ingeniería social logró entrar a los sistemas de la empresa de celulares Motorola, brincándose los sistemas de seguridad simplemente con engaños.

"Primero, pude convencer a empleados de operaciones de Motorola para que me dieran, varias veces, su clave de acceso de seguridad y un NIP estático...cada vez que quise tener acceso no autorizado, sólo tuve que llamar al centro de operaciones y preguntar la clave para ese minuto."

(El testimonio completo de Mitnick, en inglés, se encuentra en este link.)

Basicamente lo que Mitnick estaba admitiendo es que logró "hackear" sin usar una computadora, y simplemente choreando gente.

Dos años después, en 2002, Mitnick publicó un libro titulado The Art of Deception (El Arte del Engaño), en el cual relata diversos ejemplos de cómo la ingeniería social se puede usar para robar información sensible de empresas.

Nueve años después, Mitnick publicó una autobiografía llamada Ghost in the Wires (Fantasma en los Cables) en el que describió a detalle diversos casos en los que logró obtener información de empresas y bancos simplemente preguntando y contando choros.

Uno de los casos más interesantes involucra a Bank of America. Hace varios años Bank of America le daba un NIP de 4 cifras a todos sus empleados para que, si alguien llamaba diciendo ser un empleado, pudiera identificarse.

Los NIP se entregaban en juegos de 5: A, B, C, D y E. Lo que Mitnick hizo para obtener esas claves de acceso fue lo siguiente:

1. Llamar a una sucursal de un banco haciéndose pasar por un posible inversionista y preguntar cuáles eran sus mejores opciones de inversión. Pero para eso primero preguntaba con quién estaba hablando. La empleada o empleado le decía entonces "me llama fulana". Bingo. Eso es lo que realmente necesitaba Mitnick: el nombre de la empleada.

2. Mitnick llamaba entonces al banco nuevamente a la hora en que la empleada con la que habló salía a comer y se presentaba como empleado de otro banco; decía que tenía un fax urgente para la empleada fulana -que estaba fuera en su hora de comer- y que si podía dárselo mejor al empleado con el que estaba hablando. El empleado, tratando de ayudar, decía que si. La conversación iba más o menos por este estilo:

"Muy bien, ¿cuál es la clave de empleado hoy?"

"¿Qué? ¡Pero si tú me estás llamando a mi!"

"Sí, pero fulana me llamó a mi primero y tengo que verificar la clave antes de darle la información. ¿Tienes la clave para B?"

", es 5638."

"No, esa no es."

"Claro que . Me pediste B."

"No, no dije B. Dije E."

De esa manera, Mitnick obtenía 2 claves de empleado del día y, ya con esa información, llamaba a otra sucursal para buscar información financiera de cualquier persona.

Como pueden ver, hasta a Bank of America se pudo meter un hacker simplemente con choros.

A lo que voy con todo esto es que cuando escuché la grabación que presentó ayer Monreal de inmediato identifiqué las tácticas de ingeniería social para obtener información: pedir información aparentemente sin valor -en este caso verificar información que se suponía que el cliente ya tenía- pero con el objetivo de obtener una pieza de información más importante: confirmación del banco de que Luis Videgaray es quien maneja la cuenta de Scotiabank en la que se triangularon miles de millones de pesos de Edomex.

Pero explicar cómo funcionó ese "hack" necesitaba forzosamente de una explicación sobre ingeniería social que ahora ya tienen ustedes en sus manos.

La ingeniería social es usada, desde luego, por delincuentes para hacer estafas, fingiendo, por ejemplo, ser un pariente lejano en Estados Unidos que necesita que le envíen diero para una emergencia. No es algo nuevo. Pero no creo que se le haya identificado plenamente como lo que es: el arte del engaño, como dice Mitnick.

¿Por qué no creo que la llamada sea falsa? Por que si huiera sido una fabricación no hubiera tenido un sólo error. Y tuvo varios tropezones propios de la ingeniería social -que no siempre es una ciencia exacta. Algunos de los tropezones despertaban sospecha, inclusive. ¿Por qué querría quien hizo la grabación dejar cabos sueltos en la grabación para que lo acusaran de mentiroso?

Todos los cabos sueltos de la llamada, me parece, quedan bien explicados en la parte 1 y en la parte 2 de esta serie.

Lo que me parece idiota por parte del PRI -y de sus lambiscones- es que de inmediato descalificaron a la llamada sin ponerse a analizarla. Y cuando la "analizaron" encontraron "errores" que no eran tales, y que, de hecho, los auto-balconeaban.

El más grave fue admitir que la empleada de Scotiabank le debió haber detectado al falso Videgaray que la dirección de Videgaray es en Huixquilucan y no en Toluca. Al decir eso, los priistas admiten que saben que parte de la información que hay en el sistema de Scotiabank es ¡una dirección en Huixquilucan de Luis Videgaray! lo cual debería ser imposible si, según los priistas, Videgaray no la maneja.

Llevo suficientes años estudiando la cultura de internet y de información como para saber perfectamente de lo que hablo. Además, para hacer esta serie de columnas hablé con gente que hace operaciones bancarias por internet y por teléfono más o menos con frecuencia, con lo cual pude corroborar varios datos de la grabación y pude desmentir varios de los alegatos del PRI.

Los priistas en lo único que se basaron fue en habladas de sus labiscones, quienes no sólo han mostrado ignorancia de internet en el pasado (afirmando, por ejemplo, que trendsmap.com muestra la ubicación geográfica de usuarios de Twitter cuando no es el caso) y que lo único que dejan claro es su deseo por venderse al PRI por dinero, pero, en algunos casos, disfrazándose de supuestos lopezobradoristas cuando no es el caso.

¿Qué es lo que esos mercachifles le venden al PRI? Pues la promesa de que lograrán "convencer" a la izquierda de que EPN y el PRI son la neta del planeta cuando en realidad son unos corruptos, unos autoritarios y unos asesinos.

Con pésimo resultados, desde luego, porque no convencen a nadie.

Hay manera de contrarrestar a esos mercachifles, desde luego: señalándolos como lo que son: esbirros del PRI. Ellos y los que están con ellos. Y desde luego no volviendo a darles clicks ni seguirlos en redes sociales.

¿Y si me equivoco y la llamada es falsa? Lo dudo, pero si fuera el caso sería el primero en aceptarlo. Sin embargo, quien debe determinar eso es la PGR y el IFE por medio de una investigación judicial. En mi opinión la evidencia que ha presentado Ricardo Monreal ha sido sólida. Pero las que deben valorar realmente las pruebas son las autoridades.

Creo que eso fue eso fue precisamente lo que le molestó al PRI; que ahora sí hubiera un indicio muy fuerte para una investigación muy seria sobre uso de dinero ilícito en la campaña de Peña Nieto. Pero si están tan seguros de que no hay nada chueco, en vez de responder con bravuconadas, insultos y acusaciones falsas, lo que debieron haber hecho es ponerse a disposición de las autoridades para que investiguen. Punto.

Para ver las partes 1 y 2 de esta serie visiten este link:
http://www.blogdeizquierda.com/search/label/scotiagate

No hay comentarios: