- Obtener vínculo
- X
- Correo electrónico
- Otras apps
El criptoanalista utiliza como herramientas la teoría de la información, la estadística, entre otras teorías matemáticas, ciencias y saberes.
El criptoanalista goza de un aura romántica y misteriosa en el imaginario colectivo. Rodeado de papeles, computadoras y circuitos utiliza su mente para intentar encontrar un hueco dentro del sistema para conseguir quebrarlo. Un trabajo impoluto y en las sombras. Sin embargo, la realidad, no es tan limpia. Existen un grupo de personas y de prácticas que intentan romper el secreto mediante engaños y ciertamente también el ingenio.
No incluyo a aquellos que utilizan la violencia física o psicológica. Estos métodos muchas veces pueden ser exitosos y fueron altamente utilizados históricamente. Vamos a hablar de formas de quebrar sistemas pero sin recurrir a métodos extremos.
 |
| El caballo de Troya. |
Escondidos dentro del caballo soldados griegos aprovechan las sombras, matan a los guardias y abren las puertas de la ciudad al ejército griego que masacra la ciudad.
Más allá de la historicidad o lo mitológico de este relato, el engaño quedó como el paradigma de un objeto de apariencia inofensiva que se recibe y cuyo objetivo es acceder a un lugar de ingreso restringido para infringir un daño o extraer y/o modificar algo en forma no autorizada.
Caballos de Troya o troyanos se han generado a lo largo de los años y van cobrando diferentes intenciones y objetivos dentro del mundo informático. Archivos que llegan por email con adjuntos con nombres que prometen algo anhelado por el receptor (fotos o videos de personas famosas, o deseables), presentaciones de negocios con grandes ganancias, accesos a páginas web con contenidos pagos en forma gratuita (películas cinematográficas o álbumes de música), entre otros métodos integran la familia de los troyanos. Al ejecutarlos instalan programas que comienzan a recolectar información, monitorean nuestras actividades o convertir la computadora en un "zombie" dispuesto a ejecutar acciones de un programa o persona en forma remota.
Un ejército de computadoras zombies se pueden utilizar como un ataque coordinado contra un sistema o como fuente de procesamiento distribuido para quebrar un criptosistema por fuerza bruta u otro método.
Se conoce como shoulder surfing al mecanismo que intenta mediante la observación directa descubrir una clave de acceso u otra información clasificada. Este método como su nombre lo indica comenzó como un simple intento de ver sobre el hombro de una persona de forma oculta. Pero tiene también versiones más sofisticadas: Utilización de espejos, binoculares, cámaras de video espías estrategicamente colocadas, entre otras opciones. Combinado con un troyano incluso puede hacer que una cámara de seguridad o de una computadora zombie se utilice para desde la intimidad de una persona robarle sus secretos. Con la masificación de los dispositivos móviles, el shoulder surfing pasa a ser practicado en lugares donde hay mucha gente como bares, aeropuertos o medios de transporte. Una persona utilizando una tablet - por ejemplo - intentando acceder mediente una clave a un sistema dentro de un recinto con mucha gente puede ser espiado sin levantar sospechas por otra persona convenientemente ubicada.
En ocasiones, un individuo que busca ingresar a un sistema no requiere implantar programas espías, ni utilizar seguimiento de las personas, simplemente pueden recurrir al ataque por diccionario. Este tipo de ataque consiste en intentar adivinar una clave utilizando un set de prueba (diccionario) de claves utilizando aquellas más populares o de un terminado idioma. Claves como "qwerty", "123456", "111111" o "password" son algunas de las claves más utilizadas año tras año según reportan empresas de seguridad informática (si utilizas alguna de ellas, sería conveniente que corras a modificarla). Los ataques por diccionario son exitosos en muchas ocaciones porque las personas generalmente utilizan claves que les resulten fáciles de recordar. El ABC de la seguridad informática dicta que una clave no sirve si hay que anotarla, por lo tanto a las personas que intentan recordar un password la elección de claves sencillas muchas veces les parece una opción valida.
Antes de pasar por un ataque de fuerza bruta - que prueba todas las claves posibles de un sistema - un ataque por diccionario es una excelente idea para un atacante.
Para saber que tan fuerte es una clave existen programas que lo informan. A fines recreativos en este enlace uno de ellos. Obviamente no utilicen sus claves reales!!
En último lugar de esta lista, pero la estrella de los métodos, se encuentra la ingeniería social. Se conoce con este nombre a todas las tretas, artimañas y engaños para lograr que una personas colabore activamente aunque sin saberlo en vulnerar su propia seguridad. Es un arte del engaño que toma muchas formas. Generalmente comienza con una primera etapa de investigación de los gustos e intereses de la víctima. Desde escarbar su basura, seguimiento personal, lectura de su información de páginas de redes sociales, hasta encuestas por concursos son algunas de las formas posibles. Con la información obtenida se suele pasar al ataque, que puede cobrar muchas formas. Puede utilizar un ataque por diccionario personalizado (incluyendo nombre y fechas especiales de familiares, mascotas, grupos de músicas, escritores y actores favoritos entre otra información). Puede enviar un troyano que sabe que la víctima estará interesada (un archivo con una oferta turística al destino preferido vacacional) o podrá preparar un lugar donde se sabe que la persona ira para poder observarlo más fácilmente.
La cúspide de la ingeniería social es lograr que voluntariamente la víctima le entregue la clave de acceso al atacante. Capaz haciéndose pasar por el departamento de seguridad informática o a la organización de un concurso millonario a la clave mas original.
Comentarios
Publicar un comentario