No es cuestión de pagar la novatada es que la ingeniería social está a la orden del día. Sí, toca insistir de nuevo en que hay que prestar atención porque muchos hacen uso de los principios y técnicas de ingeniería social para provocar que alguien haga un clic y esto sea el desencadenante de una ‘simple broma’ de la que aprender o convertirse en una auténtica pesadilla.
Bajo el título ‘No te fíes ni de tus amigos‘, que ya da una más que ligera idea del resultado, David Ojeda (@ojeeda_12) un joven estudiante de Sistemas microinformáticos y redes se subió al escenario de MorterueloCON en la última edición presencial para explicar lo pronto que él y sus compañeros de clase aprendieron a aplicar la frase que dio pie al título de su ponencia.
En la charla, disponible a continuación tanto en vídeo como en podcast, expuso como varios de sus compañeros de aula bajaron la guardia y se vieron ‘comprometidos’, por un lado con Piraña y una vez agotado este sistema dando paso a la explotación de EternalBlue. Conclusión: no hay que bajar la guardia nunca, ni entre amigos ni mucho mejor dejar el dispositivo en marcha aunque te alejes tan solo unos minutos del mismo.
Piraña y EternalBlue, explotando vulnerabilidades
La charla tiene un carácter divulgativo para mostrar lo sencillo que puede ser caer en una trampa que comprometa los equipos de ahí el necesario disclaimer como descargo de responsabilidad por si alguien no entiende que esto se debe hacer solo en entornos controlados y con fines educativos. Cualquier otro uso no es aceptable. Ambas métodos se usaron dentro de la clase y sirvieron para aprender lo que indica el título de la ponencia.
Piraña se enmascara bajo la apariencia de un juego pero durante el proceso de instalación y ejecución da margen para infectar el dispositivo de la víctima potencial y ¡oh, sorpresa! tomar por ejemplo una foto en 3, 2, 1 tras iniciar remotamente la cámara web.
Por su parte EternalBlue es un exploit que ataca una vulnerabilidad en el protocolo Server Message Block de Microsoft, una forma más sutil de comprometer el sistema de la víctima potencial que mediante la instalación activa como en el ejemplo anterior pero con idéntico resultado: control total del dispositivo.
Como complemento a esta ponencia, recomiendo conocer ‘¿Qué es una ciberarma? y las charlas ‘Malware moderno ¿por qué resulta tan sencillo crearlo?‘ y ‘APTs Amenazas dirigidas con herramientas avanzadas de espionaje‘. A ver si así contenemos el hacer clic sin pensar.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!
Muy interesante y preocupante. La verdad es que en esto días uno no se puede fiar de nadie… En la tercera pantalla ya me perdí
Lo bueno es ‘perderse’ con el propósito de seguir aprendiendo. Como siempre, muchas gracias por tu comentario.