Defcon tienta a trabajadores despistados

1. Defcon 2010, tentando a los empleados

Los organizadores del concurso Defcon, que un año más se ha celebrado en Estados Unidos, han retado a sus participantes a que, mediante ingeniería social, lograran sonsacar información a empleados de más de 30 compañías de Estados Unidos. Una acción que ha puesto los pelos de punta no sólo a las empresas afectadas sino al mismísimo FBI, grupos de seguridad y centros de análisis y servicios financieros que ofrecen información sobre las amenazas de seguridad que afectan, entre otros, a la industria de la banca.

Chris Hadnagy, director de operaciones de Offensive Security, y uno de los organizadores del Defcon Contest tranquilizó a los afectados asegurando que no se trataba de conseguir información personal ni sensible.
Durante tres días los participantes se esforzaron al máximo para desenterrar los datos de una lista no conocida de unas 30 empresas de Estados Unidos. El concurso se llevó a cabo en una habitación de un hotel de Las Vegas que permitía a los asistentes escuchar a los concursantes hacer las llamadas a las compañías y tratar de sonsacar los datos a los empleados sin que se dieran cuenta, es decir mediante ingeniería social.

Con este reto los organizadores de la conferencia han caminado cerca de lo ilegal, por lo que no sólo han establecido una serie de reglas, sino una lista de las cosas que no se podían hacer. Como ejemplo los concursantes no podían pedir datos sensibles o contraseñas, ni podían hacer que las víctimas se sintieran en riesgo; tampoco podían hacerse pasar por cuerpos de seguridad o cualquier cosa que, simplemente, no fuera ética.

Lo que los participantes sí podían hacer es recopilar información de temas menos sensibles como quién se ocupa de la trituración del papel o de llevarse la basura.

2. Las mujeres son más discretas

Normalmente las empresas de seguridad dan luz verde al uso de técnicas de ingeniería social contra sus clientes como una manera de probar lo que podría pasar si ocurriera un incidente en el mundo real e identificar posibles debilidades de seguridad. En estas pruebas los expertos en seguridad intentan entrar furtivamente en áreas seguras o intentar que los empleados cedan sus contraseñas mediante técnicas de phishing, algo que ha estado prohibido en el Defcon.

La herramienta principal este año ha sido el teléfono. Los concursantes han podido utilizar el ordenador para rastrear a sus objetivos y tenían sólo 20 minutos para llamar por teléfono a las compañías para intentar su ataque.

Entre los resultados destacar que sólo tres de los más de 50 empleados que respondieron a las llamadas fueron escépticos y dejaron a los concursantes sin la información que pedían, y las tres fueron mujeres.
En uno de los casos un hacker consiguió que le respondieran a una lista de más de 30 preguntas además de a información que no estaba en ella.

ITespresso Redacción

La redacción de ITespresso está compuesta por periodistas especializados en Tecnologías de la Información y Comunicaciones.

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago