«Sujeta la puerta, llevo café (y un virus)»: cómo tu cortesía ayuda a los hackers a robar a la empresa
La IA convierte la ingeniería social en una línea de montaje y deja obsoletas las normas de seguridad tradicionales.
En los últimos 17 años el pentester Rob Shapland ha demostrado en numerosas ocasiones que para vulnerar una oficina a veces basta una taza de café, un casco y una actitud segura. Pero hoy, según él, los ingenieros sociales disponen de una nueva herramienta poderosa. La inteligencia artificial hace que las viejas técnicas de engaño sean mucho más peligrosas y eficaces.
Las empresas contratan a Shapland para que intente infiltrarse en su sede utilizando ingeniería social. Formalmente combate a los delincuentes, pero emplea los mismos métodos, combinando ataques digitales con acceso físico. En uno de sus proyectos recientes el cliente pidió obtener acceso al correo del director general. Shapland lo logró simplemente llamando al servicio de asistencia y solicitando un restablecimiento de contraseña. Habló con la voz del propio CEO.
La grabación de la voz estaba disponible públicamente. Era un vídeo promocional de la compañía en YouTube de unos cinco minutos. Eso resultó más que suficiente. Shapland tomó un fragmento de la grabación, lo subió a un servicio de clonación de voz y obtuvo una copia verosímil. A partir de ahí todo fue aún más sencillo. Introdujo el texto de la petición en ChatGPT, lo conectó al modelo de voz y el sistema mantuvo el diálogo con el personal del servicio de asistencia. Al final la contraseña se restableció sin más preguntas.
Para ese ataque se empleó ElevenLabs, un servicio legítimo de síntesis de voz que, si se quiere, es fácil de convertir en una herramienta de abuso. Según Shapland, para crear un clon aceptable bastan unos 10 segundos de audio, aunque cuanto más material haya, más convincente será el resultado.
La principal tendencia que observa ahora es la combinación de herramientas de IA con métodos clásicos de intrusión física. Además, utiliza chatbots comunes incluso en la fase de planificación de ataques. A veces se niegan a ayudar directamente, pero aun así encuentran vías indirectas y ofrecen pistas útiles. En la darknet ya existen versiones de bots sin restricciones capaces, por ejemplo, de desarrollar malware.
Aun así, Shapland considera que la industria de ciberseguridad aún exagera la magnitud del uso de la IA por parte de los delincuentes. Ahora mismo ellos están, en su mayoría, experimentando. Sin embargo, en los próximos años la situación cambiará radicalmente. Está convencido de que las videoconferencias falsas pronto serán indistinguibles de las reales y que la persona al otro lado de la pantalla puede ser quien sea.
Como ejemplo menciona la oleada de vídeos falsos realistas que surgieron después del lanzamiento de Sora 2 el otoño pasado. Ese tipo de material se difunde activamente en las redes sociales y mucha gente los toma por verdaderos.
Hablando de su trabajo, Shapland persigue un objetivo muy práctico. Quiere que los empleados reconozcan cuán vulnerables pueden ser en situaciones reales. Casi todas sus infiltraciones las graba en secreto con cámaras escondidas integradas en corbatas o gafas. Más tarde esas grabaciones se muestran al personal. Según él, verse en pantalla dejando entrar a un desconocido en la oficina o dejando el puesto de trabajo desatendido es mucho más eficaz que cualquier prueba o curso en línea.
Está convencido de que la formación en ciberseguridad se ha vuelto aburrida y formal, se ha convertido en una casilla para informes y hace tiempo que dejó de cumplir su propósito.
En uno de los casos Shapland demostró un ataque clásico de ingeniería social. Estudia la página de una empleada en redes sociales, encuentra una foto de sus vacaciones junto a un hotel, identifica el lugar y la marca del establecimiento y luego envía un correo haciéndose pasar por un gerente. El mensaje habla de objetos olvidados, y un adjunto con una imagen desencadena la descarga de código malicioso. Todo comienza con un clic.
En cientos de operaciones similares Shapland solo se topó una vez con un sistema de reconocimiento facial. Con más frecuencia se usan pases y tarjetas de acceso comunes, y el factor decisivo sigue siendo la amabilidad humana. Un carné falso, el logo de la empresa extraído de LinkedIn, dos tazas de café en las manos y la petición de que sujeten la puerta. En la mayoría de los casos eso basta.
La opción más segura, según él, es acudir con la apariencia de un visitante: inspector, arrendador, personal de limpieza o técnico que revisa equipos contra incendios. Con una visita reservada con antelación se puede entrar al edificio con tranquilidad y luego ocuparse de lo que se pretendía.
Shapland reconoce que piensa constantemente como un atacante. Incluso en conversaciones normales se sorprende valorando nuevas leyendas y roles posibles. En ese sentido su trabajo se asemeja a la actuación. Antes de entrar en un edificio siente mucha tensión, pero en cuanto cruza el umbral se mete por completo en el papel. La confianza, la ropa apropiada y un plan claro casi siempre hacen su trabajo.