Varios profesionales de la información concuerdan en que el mejor hacker no siempre es el mejor programador, sino el más carismático. Esto quiere decir que aquel que mejor sepa manejar sus conversaciones con otras personas es capaz de obtener más información para vulnerar un sistema o ganar acceso no autorizado a una cuenta que alguien que elabora código complejo con el mismo fin.
Dicho esto, el experto de la compañía SecureState, Brandan Geise, pidió permiso al actor Erik Stolhanske para intentar obtener acceso a su cuenta de Twitter teniendo únicamente el dato de su nombre, y en el transcurso de su misión también se adueñó de sus cuentas de Amazon, Dropbox, Apple, y de casi todos los servicios que estaban ligados a sus cuentas de correo.
Para empezar, Geise recurrió al sitio Spokeo para obtener el domicilio y las direcciones de correo de Stolhanske. El sitio encuentra los datos de la persona —que incluyen nombres de sus parientes, número de teléfono y ubicación en mapa de su vivienda— y los muestra de manera parcial a menos que adquieras una suscripción al sitio, que cuesta $14.85 USD por 3 meses o $23.70 por 6 meses.
Luego de averiguar cuál correo usaba Stolhanske en su cuenta de Amazon, Geise procedió a llamar al servicio al cliente del sitio para agregar una tarjeta de crédito a la cuenta. Este procedimiento sólo requería que Geise verificara la identidad de Stolhanske con su nombre de cuenta, correo, y dirección fiscal, datos que obtuvo por medio de Spokeo.
Pero, ¿para qué agregar una tarjeta de crédito? Recuperar una cuenta de Amazon por medio del servicio al cliente requiere comprobar la identidad del usuario proporcionando los últimos 4 dígitos de su tarjeta de crédito y un artículo que haya adquirido recientemente mediante el sitio. Media hora después de agregar la nueva tarjeta de crédito, Geise volvió a llamar al servicio al cliente para “recuperar” la cuenta de Stolhanske, pues ya contaba con los dígitos de la tarjeta que acababa de agregar. Pero el dato de la compra reciente requirió un poco de suerte, pues adivinó que Stolhanske compró un DVD o o libro de Game of Thrones luego de investigar las publicaciones de su Facebook y Twitter.
Con esos datos, el servicio al cliente permitió a Geise cambiar la dirección de correo y password para entrar en la cuenta de Amazon de Stolhanske, en la cual pudo ver los últimos 4 dígitos de todas sus tarjetas de crédito. Estos dígitos sirvieron a Geise para ganar acceso a la cuenta de AOL de Stolhanske, pues el servicio al cliente los pedía junto con la dirección fiscal para restablecer su usuario y contraseña.
De hecho, Geise explicó que usualmente el servicio al cliente de muchos sitios solicita estos datos para restablecer el acceso a las cuentas. Esto hace que la posibilidad de agregar por teléfono una tarjeta de crédito a Amazon (después de obtener la dirección fiscal de la víctima) sea el primer paso para una cadena de llamadas telefónicas que vulneraría casi todas las cuentas de una persona.
Stolhanske usaba su cuenta de AOL para registrarse en los sitios que visitaba, por lo que a Geise no le costó trabajo enviar un correo de cada servicio para restablecer su contraseña, adueñándose de todas sus cuentas, incluidas las de Apple y Twitter.
El hecho de que Amazon verifique a un usuario añadiendo la pregunta de qué artículo ha comprado recientemente no es suficiente para proteger a sus clientes. Por ello, Geise recomienda que los servicios utilicen autenticación de 2 factores, pues requerirían información que sólo es accesible al usuario por medio de su smartphone. Por otra parte, Geise admite que esta medida no haría imposible el proceso de ingeniería social, pero sí añadiría un obstáculo importante.
Lo anterior es por parte de las empresas, ya que los usuarios también pueden protegerse haciendo que sus wishlists de Amazon sean privadas (para que alguien no pueda encontrarlas al buscar un correo electrónico), además de utilizar distintas cuentas de correo para recuperar contraseñas y borrar cuentas viejas.
Deja tu comentario