La historia de una presentación en el Gartner Symposium de Barcelona

Esta semana asistí al Gartner Symposium en Barcelona. Es un acontecimiento para líderes y ejecutivos de la industria de la informática, y se está realizando en un precioso lugar con la mejor organización.

Como iba a dar una charla allí, me preguntaba qué tipo de mensaje debería dar a este tipo de oyentes. Esta gente lidera grandes compañías y recibe informes regulares de los mejores analistas del mundo. Recibirían mucha información durante la conferencia, y quería que no olvidaran mi mensaje, así que fui más práctico.

Cuando hablaba sobre las futuras y más peligrosas amenazas para las grandes compañías, no quería entrar en detalles técnicos que hicieran que mi público se alejara o aburriera en los primeros cinco minutos, así que decidí centrar mi presentación en los ataques dirigidos y la influencia del mercado en la tecnología de la información. En esencia, estamos frente a un nuevo paradigma en el que creo que no estamos considerando que el factor humano puede ser el punto débil de nuestra seguridad.

El mensaje fue claro y útil. Lo que tenía que hacer después era preparar algo impactante para que los asistentes recordaran mi presentación y aplicaran medidas de seguridad para proteger sus organizaciones contra las amenazas descritas. Quería que supieran lo “difícil” que es crear un ataque dirigido, así que escogí algunas herramientas populares para recopilar información del estilo de The Harvester, para preparar ataques de ingeniería social similares a SET.

Básicamente, con estas herramientas puedes crear una réplica de sitios populares como Gmail o Facebook desde tu propio sistema para robar credenciales de acceso a usuarios y después enviarles mensajes masivos utilizando sus datos robados. El mensaje es obvio: nunca promuevas el uso de estas herramientas para usos maliciosos, pero debemos ser realistas. Estas herramientas están disponibles gratis y en sí mismas no son maliciosas, depende del usuario si quiere usarlas para bien o para mal. Aun así, es muy fácil para un atacante que se inclina por el lado oscuro lanzar un ataque dirigido, aunque no tenga conocimiento técnico.

Recomiendo que dediquen unos minutos a aprender cómo protegerse de estos ataques en nuestro video de Lab Matters sobre este tema.

ACTUALIZACIÓN: Hasta los ataques más sofisticados como Duqu comienzan con ingeniería social. Puedes ver el excelente artículo que publicó mi colega Aleks sobre el tema.