En ocasiones ciertos empresarios creen que todo eso de la ciberseguridad y demás no va con ellos, al vivir en un pueblo pequeño o ciudad pequeña, que todos nos conocemos, que ellos se piensan que saben de privacidad y en ocasiones creen que ya lo saben todo, los suelo llamar “siete saberes” porque hables de lo que hables lo saben todo.
Pues bien todo empezó en la terraza de un bar, con un empresario que decía que ellos estaban muy protegidos contra ataques de ciberseguridad, que tenían contraseñas muy fuertes en el router, en los ordenadores (eso es lo que creen que es ciberseguridad) y que a ellos no les podrían hacer nada bla bla bla! Y lo siento no me pude contener e intervine.
“Disculpe, usted tiene la empresa segura he oído?”
“Si claro” respondió
“Su empresa es XXXX situada en XXXX con cif XXXXX y trabajan XXXXXX XXXXX XXXXX XXXXXXX dedicado a XXXXX”
“Si que te piensas que eres un hacker de esos?”
“Yo hacker? no para nada, le hago una apuesta…aceptará?
“en que consiste?” me pregunta
“me juego 20 euros a que vulnero la seguridad de su empresa?”
Se puso a reírse en mi cara! y me dijó “Acepto”
“Le llamaré y ya quedaremos para que me pague” le dije
Lo siguiente ya solo fue un poco de OSINT investigar, trabajadores, familia y preparar el plan para el “ataque” con “cyberhumint o ingeniería social”
Total, llame con un spoofer de llamadas a su secretaria que previamente había investigado, a ella le apareció el teléfono de su jefe en su pantalla por lo que no dudo que era “su jefe” cuando realmente era yo algo modulada la voz, le dije que en 15 minutos pasaría un sobrino de su mujer (sabía que tenía un sobrino) y que le diera en un sobre 100 euros que los necesitaba para pagar la grua que se había quedado tirado con la moto.
A los 15 minutos me presento y digo que soy el sobrino de XXXX y me dice si te tengo preparado eso, me dió el sobre y me fuí.
A la hora o así llamé al “empresario” y le dije oye cuando quedamos?
Y él me dijo: ¿Cómo?
Le dije: si soy el chaval ese del bar que estaba tranquliamente tomando café, he vulnerado tu seguridad y tengo 100 euros, puede llamar a su oficina y preguntar y si quiere me vuelve a llamar y le devolveré los 100 euros y hablaremos.
A los 5 minutos me llamó nervioso y le tranquilicé, nos encontramos en el mismo bar, yo tranquilamente tómandome un cafe, llegó y le devolví el sobre. A partir de ahí empezó a escucharme le explique que en este caso había tenido una variable de la “estafa del ceo” y a intentar entender que significaba ciberseguridad, seguridad, protegerse y que cualquiera esta expuesto a un ataque así desde la empresa mas pequeña a la mas grande.
La seguridad empieza desde la misma base y luego solo hay que ir escalando privilegios y la base son las personas humanas y el hackeo de mentes
DavidSanzOSINT