Hace casi dos meses desde la última entrada, y en ese tiempo han pasado
cosas muy bonitas, que al empezar a escribir De Tecnología y más, ni siquiera
imaginaba. Cuando escribí Espionaje
Telefónico, se lo compartí a uno de los más importantes periodistas de mi
estado, Felipe Guerrero y me hizo el gran honor de publicarlo en su portal de noticias.
También en este tiempo, después de una larga espera, fui aceptado como
colaborador del portal RuizHealyTimes.com
donde ya he publicado un par de artículos, y uno de ellos hasta fue recomendado
por Eduardo Ruiz Healy en su programa de radio a nivel nacional y fue marcado
como destacado en el portal, hecho que me llena de orgullo y me motiva a seguir
escribiendo.
El artículo se titula Un intruso en la red, y a continuación les
comparto el texto original, del que tuve que hacer recortes para cumplir con
los requisitos editoriales del portal.
Centros comerciales, restaurantes, cafeterías, parques, hoteles ¿que
tienen en común estos lugares? En ellos se pueden encontrar redes WIFI
gratuitas con conexión a Internet.
En los tiempos que corren, difícil es imaginarse la vida sin el uso de
internet, pues sin que nos diéramos cuenta cuándo sucedió, de repente un día ya
éramos totalmente dependientes de estar conectados a la red de redes. Acciones
tan cotidianas como llegar a una dirección, comunicarte con tu familia, comprar
un boleto para el cine o entablar relaciones personales, las realizamos
ayudados de la tecnología.
Esta dependencia, obliga a que todos alguna vez hagamos uso de una red
WIFI pública, sin ser conscientes de los peligros
que implica el uso de una red de estas características.
Para que se puedan imaginar los riesgos que se corren al estar conectado
a una red WIFI pública, les plantearé un escenario hipotético.
Un
intruso en la red
Es un domingo cualquiera en George Town, la ola de calor más intensa en
lo que va de la temporada azota la ciudad y el centro comercial se encuentra
mucho más concurrido de lo habitual, los habitantes aprovechan del aire
acondicionado y la conexión a Internet gratis que se les ofrece en ese lugar.
Desde hace unas semanas, Juan se ha dedicado a investigar técnicas
hacking, leyendo manuales, viendo tutoriales en Youtube, haciendo pruebas,
resolviendo sus dudas en foros especializados en el tema, y sin ser un experto
en la materia, es capaz de llevar a cabo varias técnicas de intrusión, aunque
de momento, todas las pruebas las había realizado en el pequeño laboratorio de
pruebas que había montado con las tres computadoras viejas que le prestaron
algunos de sus amigos.
El calor es insoportable y Juan tiene ya más de tres horas leyendo el
manual hacking ético que le recomendaron en el foro, por lo que decide
continuar con la lectura en el centro comercial para despejarse un poco y de
paso quitarse el calor.
Pasaron más de 20 minutos para que Juan pudiera conseguir una mesa en el
área de comida del concurrido centro comercial, cuando por fin pudo hacerlo,
encendió su computadora y en ese momento se dio cuenta de que era su
oportunidad de poner a prueba en un escenario real, las habilidades que había
estado obteniendo.
Lo primero que quería probar era la configuración de los equipos del
centro comercial, si era capaz de acceder a ellos, tendría control total de la
red. Lo primero que debía averiguar era la marca y modelo del router, cosa
fácil, sólo tuvo que teclear en el navegador la dirección IP del mismo y lo tenía.
Router WIFI X, favor de ingresar usuario y contraseña.
Uno de los principales problemas en la seguridad informática, es que
quienes configuran los equipos de red, no tienen la precaución de cambiar
usuarios y contraseña que los mismos traen configurados de fábrica, Juan lo
sabía así que ese iba a ser su vector de ataque, una sencilla búsqueda Google
le ayudó a conocer las credenciales por default que estos equipos tienen.
Buscar Router WIFI X default password, 71900 resultados, elegir la
primera opcion.
Router WIFI X
Defautl User Admin, Default Password Admin
Juan teclea el usuario y contraseña que encontró en Google, y por
desgracia para él, la página le regresó la leyenda de que la contraseña era
incorrecta. Al menos se habían tomado algunas precauciones. No quería
perder mucho tiempo intentando acceder al router, pues tenía muchas técnicas
para probar. Ahora debía saber quién más estaba conectado en la misma red que
él, así que puso a funcionar un escáner de red para realizar esa tarea, introdujo
el segmento de la red que quería analizar y presionó el botón que hacía
funcionar el programa. Ahora solo hacía falta esperar un poco.
Luego de unos segundos fueron apareciendo uno a uno los dispositivos que
estaban conectados en al WIFI público del centro comercial. iPhone de
Ana, iPad de Eduardo, Android A098GTSB, iPhone de José, Android ABB87530,
iPhone de Rosa, así, 56 dispositivos se enlistaron en el panel de resultados
del escáner de red, con información de su dirección IP, dirección MAC y en
algunos dispositivos nombre y apellidos del dueño, como el caso del iPhone de
Mariana Urias.
No está nada mal, 56 conejillos de indias para poner a prueba lo que he
aprendido, pensaba José, mientras sentía una emoción rara, sabía que lo que
hacía estaba mal, pero no quería dejar pasar esta oportunidad. Así que movido
por la curiosidad que lo había llevado a estudiar estas técnicas, abrió un
sniffer, y lo puso a funcionar.
Lo que ésta aplicación hace, es capturar todos los paquetes de
información que se están enviando en la red para poder analizarlos después.
Necesitaba que el Sniffer capturara la mayor cantidad de paquetes posibles para
tener mejor información, así que lo dejaría trabajar por unos minutos.
Mientras veía funcionar el Sniffer, Juan entró a su Facebook para matar
un poco en tiempo, y mientras recorría su muro, recordó a Mariana Urias
Cómo será? Se preguntó, y ni tardo ni perezoso busca el nombre en la red
social. Entre los resultados una joven de cabello negro y lentes oscuros, con 4
amigos en común apareció en primer lugar, accediendo a su perfil, su última
publicación era de hace 23 minutos y era un selfie y un texto que decía:
Aquí en el centro comercial para no sufrir calor.
Sin duda era ella, revisando un poco su perfil, pudo ver que había
nacido un 23 de marzo de 1980 y vivía en George Town. no estaría mal hacer una
prueba de phishing usándola de víctima, así podemos probar también ese ataque,
manos a la obra, pensaba Juan mientras daba Me Gusta a la publicación de Mariana,
quien no imaginaba que estaba a punto de caer en un engaño solo por utilizar el
WIFI gratis.
Juan empieza a trabajar para realizar el ataque de phishing, que es una
técnica en la que se le presenta a la víctima una página web que simula ser el
acceso de un servicio, como bancos, redes sociales, entre otros, pero que en
realidad lo que está realizando es enviar las credenciales de acceso al
atacante. En este caso, Juan estaba clonando la página de acceso de Facebook
para intentar engañar a Mariana.
La trampa estaba montada, ahora solo era cuestión de esperar si mordía
el anzuelo. A grandes rasgos lo que la técnica hace es lo siguiente. Estando en
la misma red, el atacante puede hacer que cuando Mariana pida ir a Facebook, en
vez de entrar en la página oficial, entrará en la página falsa que se ha
montado, haciéndole creer que se requiere iniciar sesión en su cuenta, pero
cuando presiona al botón para ingresar, realmente está enviando los datos al
atacante, quien hará que se cargue un mensaje de error en la contraseña, para
asegurarse de que se la vuelvan a enviar y comprobar que sea la misma. Después
de eso, redirecciona de nuevo a la página real de Facebook como si nada hubiera
pasado. Como era de esperarse, Mariana cayó en la trampa. Correo marianita@uncorreo.com Contraseña
mari230380, su nombre y su fecha de nacimiento.
Ya tenía suficientes paquetes capturados con el Sniffer, así que podía
realizar un análisis de lo que se estaba haciendo en la red, pero con la
emoción de haber capturado su primera contraseña de Facebook, no dudó en
filtrar los resultados del Sniffer para saber quiénes estaban usando Facebook,
para montarles la misma técnica de Phishing que en la que había caído Mariana.
Había 30 personas más usando la red social, y ni tardo ni perezoso empezó a
intentar robar sus credenciales a cada uno.
Nada mal, con una sola técnica logró obtener usuario y contraseña de 18
personas en una sola tarde. Guardó la información en un archivo de texto, cerró
su computadora y regresó a su casa con la sensación que debe tener un pescador
después de un día de buena pesca.
Pasaron mas 5 años desde la primera vez que Juan pudo poner en práctica
sus entonces raquíticos conocimientos de hacking en aquel caluroso día en
George Town, cuando nuestro protagonista, buscando información en un viejo
disco duro, encontró sin querer aquel archivo de texto con usuarios y
contraseñas de 18 personas. Con nostalgia abrió el archivo, para después abrir
Facebook.
Mariana Urías. Candidata a Diputada para George Town.
Esto debe valer algo, pensó Juan.
Espero hayan disfrutado
leerlo, al menos la mitad de lo que yo lo hice escribiéndolo, hasta aquí la
entrada de hoy, si quieren enterarse de nuevos artículos en De Tecnología y más
pueden regalarme un Me Gusta en el
botón de Facebook que
te dejo debajo de esta entrada. También me puedes seguir en Twitter como @el_george__ o como @OficialDtym. Gracias
por leerme, Soy George Maldonado, hasta la próxima.
Follow @OficialDtym
No hay comentarios.:
Publicar un comentario