Nelson Novaes Neto es el jefe de seguridad informatica de la empresa brasileña UOLDiveo (que forma parte del mayor provedor de acesso a Internet de Brasil) y desde hace unos días un tipo con muchos amigos.
Este ingeniero informatico mostró en la pasada conferencia de seguridad Silver Bullet celebrada en São Paulo cómo es posible, en menos de 24 horas, lograr que una persona cualquiera acepte una petición de amistad de otra persona gracias a la ingeniería social.
La técnica es inusual y va completamente en contra de los términos de uso de Facebook, pero muestra exactamente cómo los usuarios pueden ser manipulados.
Usando su método, se las arregló para convencer a un hueso duro de roer, una experta en seguridad web llamada “SecGirl”
a la que no conocía para nada, para que aceptara una solicitud suya de
amistad. De hecho, dice que puede conseguir que cualquier persona acepte
una solicitud de amistad de su parte. En 24 horas.
Aunque el resultado llegó antes de lo esperado: el especialista fue capaz de añadir a la persona a su lista de contactos en sólo siete horas. ¿Cómo lo hizo?
Para acercarse a SecGirl, Novaes, literalmente, clonó el perfil de una persona muy cercana a la chica, su jefe en el trabajo (mismo nombre, imagen similar, etc…). A continuación, envió solicitudes de amistad a los amigos de los amigos del jefe de su lista de contactos.
Envió la friolera de 432 solicitudes y obtuvo 24 confirmaciones dentro de la siguiente hora. Lo
notable es que el 96% de las personas que aceptaron la solicitud de
amistad ya tenía el verdadero dueño del perfil en su lista de amigos (es
decir: la misma persona en la lista dos veces).
En la siguiente hora, el investigador se dedicó a mandar peticiones de amistad a los amigos directos del jefe, sin grados de separación. De las 436 solicitudes, el perfil falso se aceptó por 14 personas (una vez más, todos ellos tenían el perfil original en su lista de contactos doblado).
Sólo siete horas después del comienzo del experimento, la petición de amistad de Nelson en Facebook también era aceptada por SecGirl. Según el experto, la gente simplemente ignora la amenaza que supone agregar perfiles sin comprobar si son ciertos. No sólo por la perdida de la privacidad, sino también por la posibilidad de perder el perfil completo.
Con la información obtenida al establecer una amistad con alguien, es
posible apropiarse de una cuenta legítima de Facebook al utilizar el
sistema de recuperación de contraseñas “Tres amigos de confianza” que incorpora el sistema. Con este mecanismo, simplemente se seleccionan a 3 amigos de la lista de contactos y cada uno de ellos recibe un código secreto.
No hay comentarios.:
Publicar un comentario