Mr. Robot es, como muchos sabrán, una serie cuya trama gira en torno a un experto en ciberseguridad llamado Elliot. Y no, desgraciadamente no se puede ver en Netflix.
Elliot es contactado por un grupo de ‘hacktivistas’ que quieren acabar con la multinacional E Corp. ¿Por qué eligen a Elliot? Por su gran conocimiento sobre seguridad informática y, sobre todo, porque la empresa de ciberseguridad donde él trabaja colabora con esa misma corporación.
Si Mr. Robot se ha convertido en una de las series del momento es, sin duda, por el realismo de sus historias. No dejan de ser peligros a los que nos efrentamos cada día en esta era digital. Y desde luego las empresas cobran gran importancia.
La serie es una gran fuente de conocimiento en materia de ciberseguridad de la que podemos aprender mucho. Desde cómo protegernos si somos meros usuarios de la Red, hasta qué medidas de seguridad debemos implantar si lo que queremos es evitar un ciberataque en nuestra empresa.
A continuación una lista con algunas de las lecciones que nos ha enseñado Mr. Robot:
¡CUIDADO, SPOILERS!
1. El mayor temor de una empresa: un ataque interno
Elliot trabaja en una empresa de ciberseguridad llamada Allsafe, que protege los activos de la multinacional E Corp. Esta posición le permite atacar a la corporación desde dentro, ya que conoce las vulnerabilidades de la misma y tiene acceso a gran parte de sus infraestructuras.
Desgraciadamente, esto es algo que ocurre en las empresas: ataques informáticos perpretados por los propios empleados de la compañía; con accesos a información privada y sin las limitaciones que acarrearía realizar un ataque externo.
¿Solución? Debemos controlar los recursos a los que los empleados de una empresa pueden acceder y no dar más permisos de los necesarios. Y por supuesto, debemos limitar y vigilar lo que entra y sale de nuestra empresa a través de medios electrónicos o de dispositivos de almacenamiento como, por ejemplo, un USB.
2. Ingeniería Social, el arte de sonsacar información
El episodio 10 de la segunda temporada de Mr. Robot nos mostró un claro ejemplo de ingeniería social. Elliot se hace pasar por un agente de la policía para conocer la localización del teléfono desde donde, el vicepresidente de E Corp ha realizado una llamada. Siguiendo el procedimiento establecido para casos de emergencia que consigue averiguar en Internet, Elliot convence a la operadora de que esta información es necesaria para evitar que alguien sufra daño.
Otro ejemplo que aparece en la serie es cuando Elliot consigue el número de teléfono de un hombre completamente desconocido y, haciéndose pasar por un trabajador del banco, le llama por teléfono y le dice que hay un problema de seguridad con su cuenta. Por ese motivo, le pide información muy específica (como las respuestas a las preguntas de seguridad) para poder solucionarlo.
Aunque finalmente el hombre empieza a desconfiar una vez finaliza la conversación, Elliot posee la información necesaria para hackear sus cuentas.
Queda claro que nunca, bajo ninguna circunstancia, debemos dar información privada, ya sea por email o por teléfono, a las personas que nos la pidan. Y es que las técnicas de ingeniería social incluyen múltiples tipos de manipulación con el único objetivo de obtener información que sirva para llevar a cabo cualquier delito.
3. No subestimes el poder de una contraseña
En el episodio piloto de la serie, Elliot hackea la cuenta de su terapeuta Krista, cuya contraseña es el nombre de su cantante favorito junto con su fecha de nacimiento con los dígitos invertidos. Conociendo un poco a la persona o la información que ésta publica en sus redes sociales, Elliot es capaz de conseguir una contraseña.
Además, hackea también las cuentas de su compañero de trabajo cuya contraseña es “123456Seven”, y ganando acceso con facilidad a otras cuentas.
¿Que cómo consigue Elliot estas contraseñas? Utilizando varios métodos, pero los más visibles en la serie son 2:
- Ataques de fuerza bruta: un programa usa todas las posibles combinaciones de caracteres hasta encontrar el adecuado.
- Ataques de diccionario: un método que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario: cuanto más común y simple sea la combinación de caracteres y palabras de la contraseña, más rápido se consigue la clave.
Sin embargo, en ocasiones no es necesario siquiera realizar esos ataques: en la serie se ve que Susan, la abogada de E Corp, tiene su contraseña de correo electrónico anotada en un papel en su escritorio.
A la hora de generar y almacenar las contraseñas debemos utilizar credenciales únicas para cada servicio con claves fáciles de recordar pero difíciles de adivinar.
Los gestores de contraseñas pueden ayudarnos con esa tarea, y además podemos añadir el doble factor de autenticación si queremos disponer de una capa adicional de seguridad.
4. IoT, ¿Internet del Terror?
El IoT lo componen los dispositivos interconectados, y pueden ser utilizados para llevar a cabo muchos ciberdelitos.
En la serie, los miembros de Fsociety toman el control de la instalación domótica de la casa de la abogada de E Corp, alterando el comportamiento de todos los dispositivos que hay en ella.
Otro caso en el que la seguridad en IoT se vería comprometida en la serie es cuando la detective Dominique DiPierro mantiene conversaciones personales con sus asitente virtual Alexa. En el supuesto de que los hackers quisieran obtener esa información personal, podrían conseguirla fácilmente.
Está claro que existen muchas amenazas que pueden afectar a dispositivos de IoT, por lo que la inclusión de estos casos en la serie es otra forma de demostrar que aún hay camino por recorrer en lo que respecta a seguridad.
5. Mantén tus dispositivos electrónicos a buen recaudo
En uno de los episodios, Elliot pregunta al novio de su terapeuta si puede usar su móvil para hacer una llamada. Se llama a sí mismo y de este modo consigue el número de teléfono del otro, y además, accede a una gran cantidad de información sobre él.
En otro episodio, Tyrell Wellick, el director de tecnología de la oficina de E Corp, accede a la información principal de un empleado con teléfono Android (para tomar control del sistema) añadiéndose a sí mismo como usuario privilegiado tras instalar una aplicación con un icono oculto aprovechando un momento en el que el empleado deja la sala por unos minutos.
¿Conclusión? No dejes tu móvil o tu ordenador desatendido, revisa los programas instalados en tus dispositivos y escanea regularmente tu sistema. Y, por supuesto, asegúrate de establecer contraseñas para desbloquear todos tus dispositivos.
Pero la cosa no queda aquí. Los USB también tienen cabida en Mr Robot, ya que Elliot tira un USB en el estacionamiento de una cárcel, donde un guardia lo recoge y lo inserta en su ordenador de trabajo. Por suerte, el antivirus del ordenador evita que se ejecute el malware.
Y es que los dispositivos USB pueden ser utilizados en ataques dirigidos y una vez que se conecta uno de estos dispositivos al ordenador de la víctima, el atacante tiene vía libre.
¿Qué medidas podemos tomar?
Con todos los ejemplos que hemos visto, esta lista de consejos pueden ser de ayuda para que no te ocurra lo mismo que a los personajes de la serie:
- Invierte en ciberseguridad: Mr Robot nos muestra los problemas y las carencias que sufren compañías cuando no cuentan con personal especializado en materia de ciberseguridad, carecen de presupuesto para proteger sus datos y no actualizan su software de forma periódica.
- Ten cuidado con los robos de datos y los engaños: No te fíes de cualquiera que pregunte por datos personales y datos de acceso.
- Apuesta por contraseñas complejas y seguras: Evitará más de un susto, aunque, por supuesto, deberás cambiarla cada cierto tiempo.
- Actualiza tus programas con frecuencia, o de lo contrario, serán vulnerables a los ciberataques: Esta debilidad puede provocar que los cibercriminales puedan realizar acciones de phishing, entren en tu correo electrónico o introduzcan malware en tu sistema.
- Sé precavido en cuanto al uso de redes públicas: Elliot es capaz monitorizar el tráfico de determinadas redes WiFi públicas, lo que significa que tus datos personales también corren peligro cuando estás conectado a una red de este tipo.
Imágenes de IMDB | http://www.imdb.com/title/tt4158110/[:]
