La madre de un 'hacker' accede al ordenador del director de una prisión sin saber nada de seguridad cibernética
Rita Strand se hizo pasar por inspectora de salud y plantó dispositivos USB en todos los ordenadores que pudo
John Strand es un analista de ciberseguridad de Black Hills Information Security al que contratan las empresas para atacar sus defensas informáticas y revelar sus debilidades antes de que lo hagan los 'hackers' con malas intenciones. En julio de 2014 recibió el encargo de probar las defensas de una instalación correccional en Dakota del Sur y él eligió una táctica diferente a la habitual: envió a su madre.
En realidad fue idea de Rita Strand, de 58 años, que un día se acercó a su hijo y le dijo "¿Sabes?, me gustaría irrumpir en algún lugar". Ella estaba segura de que su experiencia durante tres décadas en la industria de servicios alimentaria le iba a permitir hacerse pasar por inspectora de salud estatal para obtener acceso a la prisión. "Es mi madre, así que ¿qué se supone que debía decir?", argumenta John.
MÁS
Los evaluadores de seguridad siempre dicen que se puede llegar increíblemente lejos con un portapapeles y mucha autoconfianza, pero la tarea no era tan sencilla como podría parecer. No sólo tenía que fingir ser una inspectora de salud, para lo que Black Hills le hizo una tarjeta identificativa falsa, sino que no tenía ni idea de seguridad cibernética.
Así, la misión de Rita era tomar fotos de los puntos de acceso de la instalación y las características de seguridad física. En lugar de intentar piratear ella misma cualquier ordenador, John le proporcionó varias memorias USB maliciosas que tendría que conectar a todos los dispositivos que pudiera. Esos USB se conectarían con sus colegas de Black Hills y les darían acceso a los sistemas de la prisión.
El día de la prueba, los Strand y varios compañeros fueron a un cafetería cercana a la prisión y establecieron una sala de ordenadores portátiles, móviles y diverso equipo para realizar la operación. Cuando todo estuvo listo, Rita se fue sola a prisión.
John empezó a dudar de que realmente fuera una buena idea, pero después de 45 minutos de espera sin señales de Rita entró en pánico, sintiéndose como "en medio de la nada en una pastelería sin forma de llegar a ella". Pero, de repente, los ordenadores de Black hills comenzaron a parpadear con actividad. Rita lo había conseguido. Las unidades USB que había plantado les daba al equipo acceso a varios ordenadores y servidores dentro de la prisión.
Rita no encontró resistencia alguna en el interior de las instalaciones
En realidad, Rita no había encontrado resistencia alguna dentro de las instalaciones. Les dijo a los guardias de la entrada que venía a realizar una inspección sanitaria por sorpresa y no solo la dejaron entrar, sino que le permitieron quedarse con su teléfono móvil, con el que grabó toda la operación. Simuló revisar las temperaturas en refrigeradores y congeladores, fingió limpiar las bacterias de los mostradores, buscó comida caducada y tomó fotos.
Además, pidió ver las zonas de trabajo de los empleados y sus áreas de descanso, el centro de operaciones de la red de la prisión e incluso la sala de servidores, supuestamente para comprobar si había insectos, niveles de humedad y moho. Nadie le puso ni una pega. Incluso se le permitió deambular sola por la prisión, dándole tiempo suficiente para tomar fotos y plantar sus memorias USB.
Al término de la inspección, el director de la prisión le pidió que le sugiriera mejoras sanitarias para el centro. Momento que ella aprovechó para entregarle una unidad USB especialmente preparada que ella le dijo que contenía una lista de autoevaluación útil que podría usar para identificar problemas antes de que apareciera otro inspector. El documento en realidad estaba contaminado con una macro maliciosa. Cuando el director de la prisión hizo clic, sin darse cuenta le dio acceso a Black Hills a su ordenador.
"Estábamos atónitos", dice John. "Fue un éxito abrumador. Y hay mucho que sacarle a la comunidad de seguridad sobre sus debilidades fundamentales. Incluso si alguien dice que es un inspector de ascensores o un inspector de salud o lo que sea, necesitamos mejorar en hacer preguntas a la gente. No asumas a ciegas ".
Rita murió en 2016 de cáncer de páncreas. Nunca tuvo la oportunidad de hacer otra prueba de seguridad. Strand nunca ha revelado en qué prisión se infiltró su madre, pero sí que ahora está cerrada. Pero sus esfuerzos tuvieron un impacto. "La prisión hizo mejoras de seguridad como resultado de la prueba", asegura John.