Un intruso en la red

La ola de calor más intensa en lo que va de la temporada azota George Town...

1 de julio, 2016

La ola de calor más intensa en lo que va de la temporada azota George Town y el centro comercial se encuentra mucho más concurrido de lo habitual, los habitantes aprovechan del aire acondicionado y la conexión a Internet gratis que se les ofrece en ese lugar.

Desde hace unas semanas, Juan se ha dedicado a investigar técnicas hacking, leyendo manuales, viendo tutoriales en Youtube, resolviendo sus dudas en foros especializados en el tema y sin ser un experto en la materia, es capaz de llevar a cabo varias técnicas de intrusión.

El calor es insoportable y Juan tiene ya más de tres horas leyendo el manual hacking ético que le recomendaron en el foro, por lo que decide continuar con la lectura en el centro comercial. Cuando por fin pudo conseguir una mesa en el área de comida del centro comercial, encendió su computadora y en ese momento se dio cuenta de que era su oportunidad de poner a prueba en un escenario real sus habilidades.

Uno de los principales problemas en la seguridad informática, es que quienes configuran los equipos, no tienen la precaución de cambiar usuarios y contraseña que los mismos traen configurados de fábrica, Juan lo sabía así que ese iba a ser su vector de ataque, una sencilla búsqueda Google le ayudó a conocer las credenciales por default que estos equipos tienen.

Juan teclea el usuario y contraseña que encontró en Google, y por desgracia para él, la página le regresó la leyenda de que la contraseña era incorrecta. Al menos se habían tomado algunas precauciones.  No quería perder mucho tiempo intentando acceder al router, pues tenía muchas técnicas para probar. Ahora debía saber quién más estaba conectado en la misma red que él, así que puso a funcionar un escáner de red para realizar esa tarea, introdujo el segmento de la red que quería analizar y presionó el botón que hacía funcionar el programa.

Luego de unos segundos fueron apareciendo uno a uno los dispositivos que estaban conectados en al WiFi público del centro comercial. 56 dispositivos se enlistaron en el panel de resultados del escáner de red, con información de su dirección IP, dirección MAC y en algunos dispositivos nombre y apellidos del dueño, como el caso del iPhone de Mariana Urias.

Juan sentía una emoción rara, sabía que lo que hacía estaba mal, pero no quería dejar pasar esta oportunidad. Así que movido por la curiosidad que lo había llevado a estudiar estas técnicas, abrió un Sniffer, y lo puso a funcionar.

Lo que ésta aplicación hace, es capturar los paquetes de información que se están enviando en la red para poder analizarlos después. Necesitaba que el Sniffer capturara la mayor cantidad de paquetes posibles para tener mejor información, así que lo dejaría trabajar por unos minutos.

Juan entró a su Facebook y mientras recorría su muro, recordó a Mariana Urias y ni tardo ni perezoso busca el nombre en la red social. Entre los resultados una joven, con 4 amigos en común apareció en primer lugar, su última publicación era de hace 23 minutos y era un selfie y un texto que decía:

Aquí en el centro comercial para no sufrir calor.

No estaría mal hacer una prueba de phishing usándola de víctima, pensaba Juan mientras daba Me Gusta a la publicación de Mariana.

La trampa estaba montada. A grandes rasgos lo que la técnica hace es lo siguiente. Estando en la misma red, el atacante puede hacer que cuando Mariana pida ir a Facebook, en vez de entrar en la página oficial, entrará en una página falsa que se ha montado, haciéndole creer que se requiere iniciar sesión en su cuenta, pero cuando presiona al botón para ingresar, realmente está enviando los datos al atacante, quien hará que se cargue un mensaje de error en la contraseña, para asegurarse de que se la vuelvan a enviar y comprobar que sea la misma. Después redirecciona a la página real de Facebook como si nada hubiera pasado.

Como era de esperarse, Mariana cayó en la trampa.

Ya tenía suficientes paquetes capturados con el Sniffer, y con la emoción de haber capturado su primera contraseña, no dudó en filtrar los resultados para saber quiénes estaban usando Facebook, para montarles la misma técnica. Había 30 personas más usando la red social, y ni tardo ni perezoso empezó a intentar robar sus credenciales a cada uno.

Nada mal, con una sola técnica logró obtener usuario y contraseña de 18 personas en una sola tarde. Guardó la información en un archivo de texto, cerró su computadora y regresó a su casa con la sensación que debe tener un pescador después de un día de buena pesca.

Pasaron más 5 años desde aquel caluroso día en George Town, cuando nuestro protagonista, buscando información en un viejo disco duro, encontró sin querer aquel archivo de texto con usuarios y contraseñas de 18 personas. Con nostalgia abrió el archivo, para después abrir Facebook.

Correo [email protected] Contraseña mari230380

Mariana Urías. Candidata a Diputada para George Town.

Esto debe valer algo, pensó Juan.

Comentarios






Más de categoría

Phishing

¿Recuerdan cómo era la vida antes de que existiera el Internet? Para ser honestos a mi cada día me...

agosto 11, 2016

Ransomware, secuestrador de archivos

Es por todo mundo sabido, que cuando un negocio es prolífico, habrá cerca de él delincuentes...

julio 28, 2016

Realidad Aumentada

La tecnología avanza tan rápido, que algunas imágenes de películas de ciencia ficción de hace apenas unos años, el...

julio 18, 2016

Contraseñas seguras

En la actualidad, todas las personas que usamos Internet hacemos uso de al menos una contraseña para poder acceder...

junio 23, 2016