Memorias USB abandonadas para infectar sistemas

En el texto “Social Engineering, the USB Way” demostraba lo sencillo que había sido obtener contraseñas de los usuarios de una empresa utilizando las memorias USB como reclamo. Aunque sea un método curioso, no es nada nuevo.

Según cuenta en su artículo, fue contratado para realizar una auditoría de seguridad en una compañía. Se le pidió expresamente que hiciese hincapié en el escabroso asunto de la ingeniería social, más incluso que en el aspecto técnico. Esto resulta una buena idea, pues a menudo son los usuarios la mayor amenaza para la seguridad de una empresa.

Si anteriormente lo que solía hacer era un acercamiento físico a las personas, de manera que se las engatusaba de alguna forma para que revelaran información importante, en esta ocasión debía ser diferente. Los trabajadores estaban alerta, pues ya conocían que se iba a llevar a cabo una auditoría donde se realizarían técnicas de ingeniería social. Fue entonces cuando Stasiukonis cambió de técnica.

Recolectó memorias USB obsoletas e introdujo en ellas un troyano que enviaría las contraseñas y demás información sensible al atacante. En vez de intentar de nuevo convencerlos de que usaran aquellas memorias antiguas y de poca capacidad, pensó en abandonarlas casualmente en el aparcamiento, zonas para fumadores y demás áreas frecuentadas por los trabajadores. La curiosidad hizo el resto y poco después el atacante estaba recibiendo decenas de contraseñas. En concreto 15 de las 20 memorias fueron introducidas en un ordenador del trabajo y quedaron infectados.

Este suceso no se diferencia de otras noticias conocidas del pasado. En la “InfoSecurity Europe 2003 conference” se dieron a conocer unas escalofriantes cifras. El 95% de los hombres y el 85% de las mujeres revelaron sus contraseñas a cambio de un bolígrafo barato. También, como ya se habló en un boletín de una-al-día anterior, el experimento de autopromoción llevado a cabo por “The Training Camp” no ofrecía dudas. Bajo la excusa de que el disco contenía información sobre una promoción especial, se iba regalando un CD a los ejecutivos que acudían a su trabajo en Londres. Los compactos no contenían en realidad tal oferta, sino un simple código que permitía informar a la compañía de quién había ejecutado el programa en su interior. Entre ellos, según la noticia, se encontraba personal de grandes bancos y aseguradoras multinacionales.

La solución definitiva, aunque imprescindible, no pasa por utilizar más seguros o mejores sistemas operativos. En este caso concreto, fue el propio usuario el que ejecutó de forma consciente las supuestas imágenes almacenadas en el interior de la memoria. Un sistema operativo con restricciones de privilegios o bien protegido sólo habría mitigado el problema, no lo habría hecho desaparecer. ¿Cómo luchar contra la naturaleza humana?

Las conclusiones son las de siempre, aunque con matices. Este nuevo acercamiento a la ingeniería social supone una novedad en la medida en la que desvincula completamente a un atacante. No es necesario entrar físicamente en las oficinas, hablar con ningún empleado o regalar objetos que puedan ser rastreados más tarde, ni siquiera enviar un email que podría ser filtrado como correo basura. Basta abandonar un objeto anónimo que llame la atención para que sean los propios usuarios los que acudan al anzuelo.

También se puede reflexionar sobre la calidad de la formación que se le presta a los usuarios. Si resulta imprescindible una formación y concienciación para usuarios que trabajan a diario con sistemas de información sensible, cabe preguntarse si se está prestando la formación adecuada. Teniendo en cuenta que estos experimentos siguen evidenciando año tras año importantes deficiencias en la educación sobre seguridad en entornos laborales.

Por ejemplo, los administradores llevan años advirtiendo sobre la peligrosidad de los adjuntos en los correos, pero quizás nadie ha explicado de forma profesional por qué debe evitarse esta práctica, que no es más que una forma concreta de controlar, en general, la ejecución indiscriminada de archivos. Limitar la “formación” a recomendaciones informales o “sermones” esporádicos no es suficiente por sí mismo. Más que inculcar una serie de reglas, hacer comprender el peligro a través de un programa de formación adecuado y respetar una estricta política de seguridad resultan en una prevención mucho más efectiva.

Así se podrá evitar que desde el punto de vista de los atacantes, si muchos usuarios han aprendido a no ejecutar cualquier programa que les llegue por correo, no haya más que cambiar el método y distribuir los archivos infectados a través de cualquier otro medio para que vuelvan a tropezar en la misma piedra. Memorias USB abandonadas para infectar sistemas no deja de ser una manera más (ni la primera ni la última) de aprovechar el desconocimiento inherente del usuario no especializado y la morbosa curiosidad del usuario en general.