Hackeo o torpeza?

Recientemente se dió a conocer la noticia de una estafa, en la cual se había hackeado una cuenta bancaria de un banco de Paraná para realizar la compra de una netbook.

Los investigadores indican que el estafador que habría hackeado la cuenta bancaria tendría amplios conocimientos en informática.

Noticia completa en: Diario UNO.

Hago una pausa aquí.

No es necesario tener “amplios conocimientos”. Sólo se requiere un poco de entrenamiento en observación y esperar que el “objetivo” sea lo suficientemente torpe como para revelar datos personales.

Supongamos el siguiente ejemplo:

Camino por la calle y veo asomando de debajo de la puerta de una casa, un sobre de un banco.
Lo tomo, lo examino sin abrirlo y veo que es un resumen de cuenta.
Tomo nota del titular, tomo nota de la dirección y vuelvo a dejar el sobre debajo de la puerta como estaba.

El “cracker” (y no hacker) ya tiene tres datos: Nombre del Banco, Nombre del titular y Dirección. También es probable que se lleve el resúmen de cuenta.

Tomo la guía de teléfono y busco al titular. Bingo! tengo su teléfono.

Puede que no sea el titular de la línea fija: pero un teléfono se puede buscar por dirección: PáginasBlancas.com.ar.

Si tampoco dispone de teléfono fijo, habrá que investigar si tiene celular.

Se podría intentar con una búsqueda en el sitio web Sepalo3.info para ubicar al “objetivo”. Con un poco de suerte podemos obtener DNI o CUIT.

Perfecto, ahora el delincuente tiene estos datos a su disposición: nombre del banco, nombre del titular, dirección, teléfono, dni y cuit. Se puede proceder a “engañar” a la persona.

“Buenos días, mi nombre es Pirulo Gandolfo, le estoy hablando del Banco XXXX. Estamos contactando a todos nuestros clientes para realizar unas pequeñas verificaciones en nuestras cuentas, dado que se han producido nuevas configuraciones en nuestras bases de datos y queremos mejorar nuestros servicios. ¿podría por favor confirmarme su número de cuenta y pin?”

Error. Desde un banco nunca, pero NUNCA solicitan datos de cuenta y mucho menos de acceso. Ni por teléfono, ni por e-mail.

Excepto cuando uno ha llamado al banco para hacer un trámite y ellos necesiten verificar la identidad del interlocutor, solicitan DNI, teléfono o alguna otra información personal que coincida con los datos que ellos ya disponen.

Desde la toma de número de cuenta y pin, hasta el acceso a través de homebanking hay pocos pasos más.

Este es un error básico por torpeza. El delincuente podría haber investigado más intensamente: datos de facebook, conocer cuentas de correo, localizar familiares y pedir información, “visitar” la calle nuevamente para verificar el correo que llegue (de la misma forma que vió el sobre del banco) para obtener datos de servicios, celulares, impuestos.

Este comportamiento se denomina Ingeniería Social, y consiste en obtener información confidencial mediante la manipulación de la psiquis de las personas.

En la nota al principio, los investigadores suponen el delincuentes tiene enormes conocimientos informáticos. Dudo que sea así. Así como dudo que el banco mencionado haya tenido o tenga enormes problemas de seguridad como para que alguien pueda meterse y “robar un vuelto”.

Si alguien tuviera los conocimientos informáticos para entrar y robar de las cuentas de un banco, directamente vaciaría las cuentas mas abultadas y no se conformaría con una netbook de $3000.

En el mismo tinte, las hermosas etiquetas de familia en los autos brindan mucha información al delincuente: cuantos integrantes de la familia, si hay niños, si hay perros

Los posteos de facebook del estilo: “Me voy de vacaciones a Miramar!” es una peligrosa invitación para los delincuentes que se aprovechan de las ausencias.

No hay que caer en la paranoia, pero si tener un poco más de cuidado con la información que se brinda al mundo.

Estamos conectados y todo el mundo nos está mirando.