Si algo tienen en común Chris Hadnagy, organizador de la villa de Ingeniería Social en Defcon; Ian Mann, autor de Hacking de Human; y Kevin Mitnick, uno de los hackers más reconocidos de la historia; es que definen a la ingeniería social como una combinación de ciencia, psicología y arte que tiene como objetivo influir en las personas. Es decir, que sacan de esta definición todo tipo de connotación negativa. Esto resulta muy interesante en la mayoría de los aspectos del hacking al que nos dedicamos muchos investigadores, pen testers analistas y auditores, donde muchas de las cosas que hacemos rozan la delgada línea entre lo que está bien y lo que está mal.
En el mundo informático, la ingeniería social es utilizada para explotar vulnerabilidades humanas para la obtención de información y ejecución de programas maliciosos, dejando en evidencia que el eslabón más débil continúa siendo el usuario. Por lo tanto, los tests de intrusión y las auditorías más exhaustivas suelen incluir test de ingeniería social que buscan conocer cuán vulnerables podrían ser las personas que trabajan en la organización. Legalmente, la situación más favorable para el investigador será contar con las autorizaciones correspondientes por parte de la organización. Sin embargo, en muchos casos dichos contratos no son del todo claros o ni siquiera existe esta autorización, dando lugar a las situaciones más complejas y de riesgo para el investigador.
Durante la 15va edición de la conferencia de seguridad Ekoparty, el abogado Marcelo Temperini y el analista en informática aplicada Maximiliano Macedo, dictaron el taller en el que nos enseñaron cuales son, en Argentina, las leyes que podrían afectar las actividades de un investigador o un pen tester en materia de ingeniería social y qué alcance deberían tener estos contratos. Si bien las leyes varían según el país en donde estemos realizando la actividad, he recopilado de este workshop algunos consejos que pueden ser aplicados en cualquier país de Latinoamérica con el fin de evitar problemas legales y, sobre todo, pasar un mal rato mientras realizamos nuestro trabajo.
Lo primero que debemos entender, más allá de las leyes propias de cada país, es la diferencia entre la responsabilidad civil y penal. La primera es reparadora, es decir, que busca reparar un daño ya causado, que en general no es intencional y puede ser transferible. Los delitos de responsabilidad civil suelen resolverse mediante el pago de una cantidad de dinero que repare los daños causados, los cuales incluso pueden transferirse a un seguro. Además, los delitos de esta índole suelen ser genéricos y de amplía interpretación, ya que lo que se busca es reparar o compensar a la víctima. En cambio, la responsabilidad penal es sancionadora; es decir, busca sancionar a aquellos que hayan cometido un delito específicamente tipificado en la ley en general de forma intencional o dolosa. Este tipo de delitos suelen ser penados con privación de libertad u otro tipo de sanción personal e intransferible.
En lo que respecta a delitos informáticos, cada país tiene sus leyes y sus delitos tipificados, pero estos suelen ser: el acceso indebido o no autorizado a sistemas informáticos, el acceso a información privada o confidencial (como un correo electrónico), el daño informático (por ejemplo, un ransomware o una denegación de servicio), etc. También existen otras leyes que podrían aplicarse a los datos o medios digitales, como las leyes de protección de datos personales, el delito de fraude o engaño, etc. Por lo tanto, la primera recomendación es estar al tanto de las leyes del país en el que trabajamos y que podrían afectar nuestra actividad, ya que la omisión o no conocimiento de la ley no exime a una persona de la responsabilidad penal.
La perspectiva civil es mucho más amplia y en general está relacionada con el resarcimiento de un daño, el cual será definido por el juez en cada caso. En general, contar con buenas prácticas y una buena documentación por escrito suele mitigar la mayor parte de los problemas civiles.
La importancia de contar con una buena gestión de la seguridad
Desde la perspectiva de un empleador, contar con una política de seguridad clara, tener la información correctamente clasificada y rotulada y aplicar las medidas de seguridad necesarias para proteger la información resulta sumamente importante a la hora de resolver legalmente un incidente de seguridad.
Pero, ¿puede un empleado ser responsabilizado y/o sancionado por in incidente informático? Según Marcelo, podría llegar a serlo siempre y cuando la empresa pueda demostrar que el empleado había sido informado fehacientemente de las políticas de la empresa, haya recibido la capacitación en seguridad necesaria para su puesto y fuera consciente de lo que estaba haciendo. Es decir, que es sumamente importante que la empresa cuente con una buena gestión de la seguridad y documente cada una de las actividades de concientización realizadas, así como también los documentos firmados.
Sin embargo, tampoco sirve que los empleados o proveedores firmen una política de privacidad extensa, tediosa o inentendible. En este sentido, los acuerdos de confidencialidad -o no divulgación- deben ser claros y concisos. Deben, entre otras cosas:
- Aclarar qué información es confidencial o cómo va a estar rotulada. No pueden abarcar toda la información de la empresa, ya que es imposible aplicar seguridad a toda la información.
- Detallar cuales son los plazos en los cuales no se puede divulgar la información.
- Definir el alcance del acuerdo. Por ejemplo, en el caso de un proveedor, si afecta también a los empleados del proveedor o a un tercero.
- Definir si existe exclusividad y/o propiedad intelectual.
- Declarar las excepciones de divulgación, como por ejemplo si es la justicia la que pide información.
En muchas empresas no se le suele dar importancia a la documentación o a los contratos que se firman y hasta llegan a ser elaborados a partir de plantillas genéricas e insuficientes, que luego no son válidos en un juicio o a la hora de resolver un problema. Si una empresa va a invertir tiempo y dinero en concientizar a sus empleados, en redactar sus políticas y comunicarlas fehacientemente, lo ideal es que lo haga de forma responsable y con la asesoría legal que le garantice que esos documentos le serán realmente de utilidad el día que necesite resolver un problema.
Contratos de Tests de Intrusión y de Ingeniería Social: la “carta blanca”
En general, cuando se contrata un PenTest, una auditoría de seguridad o una prueba de ingeniería social, se firma entre las partes (la empresa contratante y la que realiza el test) un contrato donde se detalla el alcance, el trabajo que se va a realizar y la autorización para realizar todas las pruebas y tareas necesarias. En estos casos es sumamente importante que el pentester, o quien realice las tareas de intrusión o auditoría, lea atentamente el contrato y se asegure de que en el mismo se detalle:
- El consentimiento explícito para realizar las actividades, firmado por las autoridades de la empresa. En este punto no está de más utilizar algunas técnicas de OSINT para asegurarse que la autoridad es legítima.
- Cláusulas de confidencialidad, teniendo en cuenta el párrafo de arriba.
- Los objetivos y el alcance. Qué se va a atacar, si es solamente un área o toda la empresa, si incluye acceso físico o solo remoto, las direcciones IP o los equipos que se van a testear, etc. En este punto es importante saber que solo se puede atacar aquello que esté explícitamente en el contrato, de lo contrario podría suponer un acceso indebido y traer consecuencias legales. En muchos casos quizás se puede obtener más información a través de un pivoteo o alguna otra técnica, en estos casos, es posible aclarar en el informe “Se podría haber accedido a tal equipo” u “obtenido tal información” y evidenciar la vulnerabilidad de esta manera.
- Ventana temporal. Detallar siempre en qué horarios se va a trabajar y en qué días.
- Definir qué información se entregará en el informe final.
- Causas de cancelación. Me ha pasado de hacer un test de ingeniería social y que recursos humanos le informe a los empleados que iban a recibir un mail de Phishing. Este es un claro ejemplo de una causa de cancelación. Otras pueden ser la falta de autorización o de colaboración por parte de la empresa.
- Detallar de forma explícita todo aquello que no esté permitido, por ejemplo, cuestiones morales, utilizar temas sensibles para la ingeniería social, etc.
Además, una buena práctica es realizar primero una etapa de inteligencia y recopilación de información, que luego será utilizada para preparar un buen ataque. El plan de ataque debería luego ser firmado y autorizado por algún responsable de la empresa a atacar. En este sentido, es recomendable describir el plan por escrito, detallando los objetivos, las identidades que se van a utilizar, desde donde se van a realizar los ataques, qué tipo de técnicas se van a utilizar, etc. En este punto es importante utilizar siempre identidades falsas e inexistentes, para evitar comprometer los datos de otra persona. Luego, este plan puede ser utilizado para desactivar filtros u alertas que puedan entorpecer el ataque, definir ventanas horarias y validar que se estén testeando solo equipos o personas autorizadas.
Por último, todo aquel que esté realizando tests de intrusión o ingeniería social de manera presencial o física dentro de la empresa, debe tener siempre a mano la “carta blanca”. Es decir, la autorización que demuestra que tiene el permiso para estar realizando la actividad y no está cometiendo un acto delictivo. No es necesario cargar con el contrato detallado de varias páginas, pero sí con una hoja que detalle:
- Nombre, apellido y documento de las personas autorizadas a realizas las actividades.
- Actividades y tareas autorizadas a realizar, es decir, de forma breve y clara explicar qué va a estar haciendo.
- Membrete de la empresa, logo, sello, firma de la máxima autoridad posible y número de contacto.
El objetivo de esta autorización es poder evitar problemas con el personal de seguridad u otros empleados que desconfíen de tu actividad. Recuerda llevarla siempre a mano y mostrarla en caso de ser necesario.
Quienes trabajamos en seguridad estamos acostumbrados a la adrenalina de estar en el límite de la ley, pero no por eso debemos olvidar que podemos tener graves problemas si no trabajamos con la correspondiente autorización. Y, si bien en muchos casos serás finalmente eximido de responsabilidad civil o penal por diferentes motivos, seguramente pasarás un muy mal momento hasta que todo se haya resuelto.
Por eso, te recomendamos que te informes acerca de las leyes de tu país y sigas los consejos y buenas prácticas para evitar terminar en un problema legal.