Informática

La madre de un 'hacker' que se coló en una cárcel para hackear al director penitenciario

La madre fingió ser una inspectora de salud para poder entregar un USB al director del centro penitenciario con intención de hackear su ordenador.

John Strand es el fundador de la compañía de ciberseguridad de Black Hills Information Security al que las empresas contratan para atacar sus defensas informáticas y revelar sus debilidades antes de que lo hagan los 'hackers' con malas intenciones. En julio de 2014 recibió el encargo de probar las defensas de una cárcel en Dakota del Sur y él usó una táctica diferente a la habitual.

Inesperadamente se ofreció a ayudarle su madre, Rita Strand, que no tenía ninguna experiencia en el campo de la seguridad cibernética. "Se me acercó un día y me dijo: ¿Sabes?, quiero hackear algún ordenador. Y es mi madre, ¿qué se supone que debía decir?", recordó Strand durante una conferencia.

Ella estaba segura de que su experiencia durante tres décadas en la industria de servicios alimentaria le iba a permitir hacerse pasar por inspectora de salud y entrar en la instalación penitenciaria. Así, su hijo le hizo una tarjeta de identificación falsa.

La primera misión de Rita era tomar fotos de los puntos de acceso de la instalación y las características de seguridad física. Después, en lugar de piratear ella mismo los ordenadores, John le dio varios aparatos que en inglés se llama 'pato de goma', un dispositivo especial oculto bajo la forma de una memoria USB, que cuando se enchufa a un ordenador intenta acceder al sistema. En caso de que el 'hackeo' tenga éxito, ofrece al ordenador del intruso (que puede estar fuera del edificio) acceso al ordenador en cuestión, y a través de este a la red interna. Ella debía conectar a todos los dispositivos que pudiera y esos USB se conectarían con Black Hills para darles acceso a los sistemas de la prisión.

El día de la prueba, los Strand y varios compañeros fueron a un cafetería cercana a la cárcel y establecieron una sala de ordenadores portátiles, móviles y demásequipo para realizar la operación. Cuando todo estuvo listo, Rita se fue sola a prisión.

Al cabo de 45 minutos todavía no tenía noticias de su madre, y John empezó a preocuparse, ya que, aunque según el contrato los 'pentesters' no pueden ser juzgados por hacer su trabajo, son habituales los incidentes poco agradables con los guardias. El hijo empezó a dudar de que realmente fuera una buena idea y, después de hora y media de espera, entró en pánico. Pero, de repente, los ordenadores de Black Hills comenzaron a parpadear con actividad. Rita lo había conseguido.

"Estábamos atónitos. Fue un éxito abrumador. Los responsables de la seguridad tiene mucho que aprender sobre las debilidades fundamentales y la importancia que tiene desafiar amablemente a la autoridad", dijo John. "Incluso si alguien dice que es un inspector de ascensores o un inspector de salud o lo que sea, no hay que asumir a ciegas y preguntar a las personas", advirtió.

La madre no encontró resistencia alguna dentro de las instalaciones. Les dijo a los guardias de la entrada que venía a realizar una inspección sanitaria por sorpresa y no solo la dejaron entrar, sino que le permitieron quedarse con su teléfono móvil, con el que grabó toda la operación. Simuló revisar las temperaturas en refrigeradores y congeladores, fingió limpiar las bacterias de los mostradores, buscó comida caducada y tomó fotos.

Además, pidió ver las zonas de trabajo de los empleados y sus áreas de descanso, el centro de operaciones de la red de la prisión e incluso la sala de servidores, supuestamente para comprobar si había insectos, niveles de humedad y moho. Nadie le puso ni una pega. Incluso se le permitió deambular sola por la prisión, dándole tiempo suficiente para tomar fotos y plantar sus memorias USB.

Al término de la inspección, el director de la prisión le pidió que le sugiriera mejoras sanitarias para el centro. Momento que ella aprovechó para entregarle una unidad USB especialmente preparada la cual, le dijo, contenía una lista de autoevaluación útil que podría usar para identificar problemas antes de que apareciera otro inspector. El documento en realidad era malicioso.

Rita murió en 2016 de cáncer de páncreas. Strand nunca ha revelado en qué cárcel se infiltró su madre, pero sus esfuerzos tuvieron un impacto. "La prisión hizo mejoras de seguridad como resultado de la prueba", asegura John.

Más sobre este tema: