Recientemente un proveedor de alojamiento web muy popular en EEUU fue victima de un ataque por parte de un “Hacker” utilizando una técnica denominada “Ingeniería Social”, basada no tanto en medios tecnológicos sino usando la manipulación y el error humano. Generalmente pensamos que los ataques en el mundo de la computación e Internet vienen de como ataques DDoS, virus y programas maliciosos, pero ahora este tipo de ataques se dan a través de medios sociales e interactuando con herramientas como el chat.
Hay muchas otras armas que los delincuentes online usan para engañar, como el teléfono y el correo electrónico. Pueden conseguir las contraseñas de servicios de hosting y tener acceso a sitios web y otras cuentas de usuario. Muchos de los ataques se dan por deficiencias en el software y en medidas de autenticación del usuario. Son las personas las que pueden caer en la manipulación, ya que pueden tomar decisiones y pueden hacerlo muy mal en ciertas ocasiones.
El Incidente: Para dar un ejemplo de cómo pueden ser estos ataques, resulta que un mal viviente cibernético logró averiguar los cuatro últimos números de la tarjeta de crédito de la víctima al hacerse pasar como un empleado de paypal, y con ésto pudo acceder a las cuentas de GoDaddy y Twitter. Un buen ejemplo de cómo usaron los datos robados para realizar un ataque de ingeniería social. Este tipo de ataques se ha incrementado. Volviendo al caso, el delincuente llamó a GoDaddy a nombre de la víctima, reportando que había perdido su tarjeta de crédito pero que recordaba los cuatro últimos números. Los empleados de soporte de GoDaddy permitieron que el delincuente accediera a la cuenta de hosting de la víctima solo con esos cuatro dígitos. Soporte le preguntó al hacker por los primeros dos dígitos, pero está el hecho que la mayoría de las tarjetas de crédito casi siempre comienzan con los mismos cuatro dígitos porque los usan para identificar quién hizo la tarjeta.
Esta empresa de hosting negó haber sido totalmente negligente y afirmó que seguramente el hacker tenía en su poder la mayoría de la información para poder acceder a la cuenta y que solo usó la ingeniería social para recavar lo que le hacía falta. Pero la verdad es que según se investigó, GoDaddy no tenía medidas de autenticación muy potentes para identificar sí el usuario era quién decía ser.
Medidas de Seguridad: GoDaddy se comprometió a reforzar las medidas de seguridad y mantenerse al tanto para bloquear las últimas técnicas de ataque. Cabe mencionar que este no ha sido el único incidente pero ha encendido la bandera para que empiecen a tomar más medidas. La principal sería asegurarse de la identidad del usuario cuando pide ayuda a través del chat o por correo electrónico. También la capacitación adecuada al personal técnico de los proveedores de alojamiento web para que sepan cómo lidiar con estos ataques de ingeniería social. Esa es una buena pregunta antes de contratar los servicios de un proveedor web, qué políticas de seguridad aplican para garantizar la integridad de los datos y el acceso a las cuentas de usuarios del servicio.
Fotografía y Fuentes
