En el marco de la edición 2019 de la conferencia de seguridad Ekoparty, evento de renombre a nivel regional y que se realiza anualmente desde hace 15 años en Buenos Aires, Argentina, se realizó una actividad organizada por Base4 Security llamada Social Engineering CTF, en la cual los participantes, haciendo uso de ingeniería social a partir de información pública, ingresaban a una cabina con protección acústica y disponiendo de veinte minutos llamaban telefónicamente a organizaciones y empresas en busca de recolectar información; una actividad que tenía como objetivo evidenciar lo expuestas que muchas de estas empresas e instituciones están a ser víctimas de estafas, engaños u otro tipo de ataque.
Hablamos sobre este CTF con Leonardo Pigñer, organizador y fundador de Ekoparty, quien estuvo como moderador de la actividad, así como con los jurados, Claudio Bazán, Carlos García y Emiliano Piscitelli. Según nos explicó Carlos, la idea surgió de Defcon y se les ocurrió replicar la actividad en Ekoparty.
La dinámica de participación tiene dos partes, una etapa previa y otra que es la dinámica en sí. Antes de Ekoparty, cada inscripto tuvo que presentar tres objetivos que podían ser empresas u entidades gubernamentales. Luego, el jurado definía uno y el participante tenía que llegar al día del evento habiendo recopilado información pública de Internet sobre ese objetivo, principalmente un número de teléfono y el nombre de alguien que trabaje en la empresa elegida, explica Claudio Bazán.
El día de la dinámica, los participantes contaban con una serie de flags (objetivos) que debían conseguir al momento de ingresar a la cabina acústica y llamar telefónicamente, disponiendo de un tiempo máximo de veinte minutos para conseguir información de la empresa y de esta manera conseguir estos flags.
Al momento de llamar a las entidades, los participantes, que utilizaron un pseudónimo, implementaron distintas estrategias para intentar convencer a la persona que atendía el teléfono y que no sospeche.
Según nos explica Carlos y Claudio, para obtener estos flags los participantes no tenían que conseguir información sensible que pueda perjudicar a la empresa, ya que el objetivo era simplemente realizar un juego que sirva para evidenciar la falta de concientización por parte de las organizaciones y lo fácil que en algunos casos puede llegar a ser realizar un engaño haciendo ingeniería social a partir de información pública. Pero también para exponer lo sencillo que puede resultar para un atacante utilizar esta estrategia para obtener información del interior de una organización que luego podría ser utilizada para elaborar un correo dirigido con información precisa que haga creíble el discurso y que permita que la víctima caiga en el engaño.
En este sentido, entre la información que los participantes debían recopilar para obtener estos flags figuraba, por ejemplo, qué marca y modelo de computadoras utilizan y qué sistema operativo corren, qué antivirus tienen instalado, qué navegador utilizan, qué cliente de correo utilizan, y qué programa y versión para abrir documentos PDF. También preguntas dirigidas a averiguar si el soporte tecnológico es subcontratado o si se realiza internamente, o si cuentan con un comedor o un espacio de descanso.
Durante los llamados en vivo fuimos testigo de lo fácil que en algunos casos fue que quienes atendían la llamada, desprevenidos y sin sospechar nada, respondieran las preguntas que se les hacía y describieran el escenario interno de la organización.
Según nos explicó Leonardo Pigñer, la actividad expuso la falta de concientización que en muchos casos existe por parte de las empresas, algo que se ve a diario incluso en empresas grandes y de distintos sectores, ya que se suele poner el foco en implementaciones tecnológicas de seguridad, pero no en concientizar a las personas que trabajan para la empresa.
Asimismo, mostró el potencial que tiene la ingeniería social ante empleados no concientizados acerca de este tipo de amenazas y muchas personas y empresas quedaron sorprendidas del potencial de esta amenaza.
Entrevista a Claudio Bazán y Carlos García, dos de los jurados del CTF