23 August 2011

La niña de 10 años que da 'clases' a los hackers

Defcon, la conferencia de seguridad que hackers benevolentes, sin ánimo de hacer estropicios, celebran en Las Vegas, ha tenido una ponente inédita.

Se trata de una niña de 10 años, cuyo alias en CyFi, que ha descubierto una vulnerabilidad en juegos para móviles con los sistemas operativos iOs y Android. Investigadores independientes han confirmado la veracidad del hallazgo.


Era duro, explica la niña, progresar en este tipo de juegos porque se hacía muy largo esperar a que crecieran las cosechas. Entonces pensó en alterar el tiempo.

Sacar provecho de una siembra de maíz puede suponer 10 horas. Pensó que una solución era forzar el reloj del móvil o tableta y fue en esta indagación cuando descubrió una vulnerabilidad que permitía hacerlo.

CyFi no ha dado los nombres de los juegos afectados. La niña detectó sistemas de prevención de estas manipulaciones pero también descubrió atajos para obviarlas, como desconectar el wifi del móvil.

La sesión se celebró en el marco de la conferencia que, por primera vez, ha abierto una sección para niños, DefCon Kids, ante la evidencia de la comunidad hacker es cada vez más joven. Una compañía, AllCrealID ofrece premios en este apartado.

Pirateo por engaño

En la misma conferencia, pero con protagonistas adultos, se realizó un experimento para demostrar la vulnerabilidad de las grandes compañías debido a la deficiente información sobre seguridad informática de sus empleados.

En la prueba se demostró lo ridículamente fácil que era engañar a empleados de una empresa para que suministraran información que comprometía la seguridad de sus equipos.

En un caso, se convenció a un trabajador para que diera datos sobre la configuración de su ordenador, lo que puede ayudar a escoger el programa malicioso más apropiado para realizar una intrusión.

Este mecanismo tiene incluso un nombre: ingeniería social. El conocido ex hacker Kevin Mitnick, por ejemplo, la considera una de las principales armas para el asalto informático.

Se trata de engañar a un empleado para que suministre datos importantes sobre el sistema informático.

Un ejemplo clásico es llamar a una secretaria en nombre del supuesto equipo de informática de la compañía, explicar que se está procediendo a cambiar las contraseñas para reforzar la seguridad del sistema y solicitar la de su jefe para tal supuesto propósito.

Con increíble facilidad se obtiene la información buscada.

Entre las compañías en las que se hizo la prueba figuran Oracle, Apple, AT&T Delta Air Lines, Symantec y Verizon.

Agencias, 09 de agosto de 2011 a las 10:18