No mucha gente conoce el trabajo de inspector de intrusión, penetración o “pentester”, pero es vital para garantizar la seguridad de los sistemas de vigilancia de cualquier institución… incluyendo las prisiones. John Strand trabaja en una agencia de este tipo, cuyo trabajo es atacar e infiltrarse en los sistemas informáticos (y las instalaciones físicas) de sus clientes para revelar sus puntos débiles, y tapar esos agujeros antes de que los “malos” los aprovechen.
En 2014, un correcionario de Dakota del Sur contrató a Black Hills Information Security, la agencia de Strand, para realizar uno de estos exámenes. Así que Strand preparó credenciales falsas, se disfrazó y se infiltró en la prisión. Pero no John Strand, sino Rita Strand, su madre, que por entonces tenía 58 años.
Al principio, John se mostró reacio de enviar a su madre a una misión de campo sin ninguna experiencia en este tipo de oficio, y a decir verdad, no exenta de peligro. Sin embargo, Rita insistió. Llevaba 30 años trabajando en restauración, y estaba segura que, con su experiencia, podría hacerse pasar por una inspectora de sanidad. “Se me acercó un día y me dijo, ‘Me gustaría colarme en algún sitio’. Y es mi madre, ¿qué se supone que tengo que decir?
La misión obtuvo luz verde, y Rita Strand se presentó en la prisión con unos documentos falsificados que la presentaban como una funcionaria de sanidad realizando una inspección sorpresa. Para solventar su total falta de experiencia informática, la equiparon con un USB malicioso (comúnmente conocido como Rubber Ducky) que daría acceso remoto a sus compañeros de misión y les permitiría entrar en los sistemas informáticos de la prisión.
Precisamente, John recuerda la tensión al esperar en la “base de operaciones” improvisada en un café cercano a la prisión, cuando pasó más de una hora sin noticias desde la entrada de su madre en el complejo. “Justo después de que ella entrara, ya pensé que es una mala idea. No tiene experiencia en este tipo de misiones, y tampoco en ‘hacking’ y tecnología. Le dije, ‘Mamá, si las cosas se tuercen coges el teléfono y me llamas inmediatamente’”.
Pero no hizo falta. En seguida, los portátiles del equipo se encendieron con acceso a todos los servidores de la prisión. Rita lo había logrado. Y sin encontrar un ápice de resistencia. No solo los guardias no sospecharon, sino que le permitieron quedarse el móvil (con el que grabó toda la operación) y le dieron acceso a todas las áreas de la prisión.
En la cocina, Rita comprobó la temperatura de los frigoríficos, fingió tomar muestras de las pilas y realizó fotos concienzudamente de todo el edificio. También pudo entrar en las áreas de servicio, las salas informáticas y hasta la sala del servidor, diciendo que iba a comprobar si había plagas, humedad y moho.
Tras la inspección, el director de la prisión llamó a Rita a su despacho y le preguntó qué podían hacer para mejorar el estado de sus cocinas. Amparada por treinta años de experiencia, Rita le dio consejos honestos sin que el director sospechara nada, y le dijo que le pasaría un documento con consejos para mejorar en caso de otra inspección. Así, Rita introdujo el USB malicioso en el ordenador del director, que expuso al equipo todos los secretos de la prisión.
Fuera, sus compañeros estaban “estupefactos”. Así lo contó John en un congreso de ciberseguridad de San Francisco: “Fue un éxito rotundo. Y revela muchas cosas que los responsables de seguridad podrían aprender sobre debilidades fundamentales y la importancia de que una institución de seguridad cuestione educadamente la autoridad. Incluso si alguien dice que son inspectores de ascensores o de sanidad o lo que sea, tenemos que asegurarnos de preguntarlo todo, no asumirlo sin pestañear.” Otros colegas de profesión, al escuchar esta historia, corroboran lo fácil que es colarse en cualquier sitio alegando ser alguien de autoridad, sin que casi nunca se enteren.
Desgraciadamente, Rita murió en 2016 a consecuencia de un cáncer de páncreas y no puedo continuar con esta inesperada carrera como examinadora de seguridad. La prisión en la que Rita entró cerró, pero su trabajo consiguió que mejoraran sus sistemas de seguridad. “Y creo que su programa de sanidad mejoró también”.
Fuente: arstechnica
Este artículo fue modificado el 20 abril, 2020 10:29 am