¿Qué significa PEBKAC?

Todos los sistemas tienen un agujero de seguridad imposible de controlar: "el USUARIO".
PEBKAC son las siglas de "Problem exits between keyboard and Chair" (Existe un error entre el teclado y la silla).

"No sé que le pasa a mi ordenador, me funciona muy lento, cada vez que intento buscar algo en Google se me llena el ordenador de ventanas de publicidad y no para de hacerme cosas raras... ¿Tendré algún virus?"

¿Te suena? ¿Te ha pasado alguna vez algo parecido?
Si como yo, te has hecho alguna vez esta pregunta, es muy probable que tengas varios virus en tu ordenador, incluso puede ser que tengas tu propia "granja" de virus, pero te puedo asegurar que no son el problema. Con un 80% de probabilidades de acertar te puedo decir que el virus más gordo eres tú. Sí, siento ser tan directo, pero somos los mayores responsables de que los elementos de cualquier sistema de seguridad falle. Somos los responsables directos de los programas que nos instalamos, los archivos que nos descargamos y ejecutamos, los enlaces en los que hacemos clic, las páginas en las que nos registramos y los e-mails que decidimos abrir. Tratar de culpar a nuestro informático o a un "virus maligno" es, en parte, sacudirnos de encima nuestra gran parte de la culpa.

 

kevin_mitnick

Kevin Mitnik, el hacker más famoso de la historia

Hace muchos años, mi amigo Virgilio, me habló de Kevin Mitnick, un chico estadounidense que se hizo famoso por ser el Hacker más famoso de la historia. Su nivel de peligrosidad llegó a ser tal, que tras su último arresto en 1995, fue encarcelado durante 48 meses y separado del resto de los presos con la prohibición de no acercarse a ningún ordenador y ni siquiera a un teléfono convencional.
Una vez cumplida su condena, Mitnick confesó en varias conferencias, que sus conocimientos informáticos suponían sólo una parte de sus habilidades como Hacker, la otra parte era lo que el mismo denominó como "Ingeniería Social", que resumiéndose en una frase se  podría explicar con la siguiente idea:

"Los usuarios son el eslabón débil de cualquier sistema de seguridad"

Los 4 principios de la ingeniería social

Según Mitnik, la ingeniería social se basa en 4 principios básicos:

  1. Todos queremos ayudar.
  2. El primer movimiento es siempre de confianza hacia el otro.
  3. No nos gusta decir No.
  4. A todos nos gusta que nos alaben.

A los que yo añadiría de mi cosecha:

  1. El ser humano es cotilla por naturaleza.
  2. Nadie está a favor de una injusticia.
  3. Casi nadie se lee el manual de instrucciones de la lavadora.
  4. Y por último: si lo dice la tele o lo he leído es que es verdad.

 

Fruto de los problemas de seguridad propiciados por estos 8 "principios" (Seguro que se pueden añadir muchos más) los informáticos o responsables de sistemas inventaron un término sencillo que define a este tipo de problemas: PEBKAC (Problem Exist Between Keyboard and Chair).

Cualquier sistema, por muy seguro que sea, siempre tiene "un agujero", una puerta de acceso a través del usuario.

Ya podemos ponernos la mejor puerta blindada, con rejas y candados en nuestra casa, que si nos dejamos las llaves en la guantera del coche todas las medidas de seguridad quedan anuladas.

 

 

PEBKAC

 

"Los Hoax", un buen ejemplo de Ingeniería Social

Hace algunos años (bastantes ya) recibí un e-mail procedente de la cuenta de un conocido. En este me alertaba de la existencia de un virus que se extendía por medio del correo electrónico que se "enquistaba" en la carpeta de los archivos de sistema de Windows causando daños irreparables en tu máquina.
En el mismo correo, se te instaba a que comprobaras si tenías un archivo llamado "sulfngk.exe" en tu carpeta de archivos de sistema,  y tú, por supuesto lo comprobabas y al abrir la carpeta era esto lo que te encontrabas:
hoax¡Así es! Un archivo con un icono horrible en medio de el resto de archivos de sistema de Windows.
Para acabar con el sólo tenías que arrastrar este archivo a la papelera y asegurarte bien de vaciarla para no dejar ningún rastro de su existencia.

Por supuesto, lo hice de inmediato. Y una vez vaciada la papelera me paré 2 segundos a pensar en lo que acababa de hacer, algo no me cuadraba, así que busqué el nombre del archivo en yahoo y ... ¡Ole! Acaba de cargarme un "inocente" archivo del sistema de Windos que se encargaba de recuperar los nombres en archivos largos. (SULFNBK.EXE, short for Setup Utility for Long File Name Backup).

¡Toma ya! Me he roto el ordenador yo solito ¿qué te parece?

Este glorioso día descubrí como funcionaba la Ingeniería Social y conocí el término HOAX, que es como se les llama a los Bulos que circulan sin control por internet y desde hace ya algunos años por las redes sociales.

 

 

La ingeniería Social en las Redes Sociales

"¡Qué fuerte! Ha desaparecido Jenifer García,  la hija de Jose Luis García que trabaja en CajaMadrid" o "Cuidado! No habléis por el móvil mientras se está cargando, que puede explotar" o "300 dálmatas recién nacidos van a ser sacrificados" o "Reto aceptado" en Facebook... ¿Te suena algo de esto?

Jennifer-Garcia-Quintana-Falsa-Desaparicion

Son bulos, mentiras infundadas que se comparten por las redes para acosar a una persona (normalmente de la que se ponen los datos), para desprestigiar una marca o producto, o simplemente por distracción.

De la propagación de este tipo de mensajes y cadenas somos totalmente responsables. En nuestras manos está que nos paremos, durante 2 o 3 segundos a pensar en que quizás, puede no ser cierta la noticia que estamos a punto de compartir a través de Facebook e incluso a pensar en quien puede salir beneficiado o perjudicado con la propagación de la misma.

 

¿Qué podemos hacer para dejar de ser unos PEBKAC?

  1. En primer lugar, tener un antivirus actualizado. (Por ejemplo el AVG)
  2. Actualizar nuestros programas, sistemas operativos y navegadores a sus últimas versiones. La mayoría de estás actualizaciones son por motivos de seguridad, e ignorarlas puede llegar a ser como dejar abierta la puerta de tu casa.
  3. Comprobar las fuentes antes de compartir. Una técnica muy sencilla es, por ejemplo, buscar en Google el nombre del "supuesto" niño desaparecido seguido de la palabra "HOAX".
  4. No abrir adjuntos en correos electrónicos de desconocidos. ¿lo conoces de algo? ¿no? ¡Pues no habrás el adjunto!
  5. Descargar software desde la página oficial. Basta con mirar la dirección desde la que nos vamos a descargar el programa y verificar que se trata del dominio del propietario del Software.
  6. Pasar el antivirus a los archivos que de descarguemos antes de abrirlos o descomprimirlos.
  7. Al teléfono no dar nuestros datos personales. Si tenemos dudas, pedir que nos den un número de teléfono y un nombre al que poder llamar nosotros luego. (En caso de estafa suelen dar un número falso)
  8. Y por último, y como norma básica, pararse 2 segundos a pensar y tratar de aplicar el sentido común. Nadie regala duros por pesetas. ¡NADIE!

Aún así, por muchas medidas de seguridad que tomemos y por muy paranoicos que nos volvamos, seguiremos siendo parte fundamental en los fallos de seguridad de cualquier tipo de sistema por los siglos de los siglos.

 

Bibliografía sobre Kevin Mitnick

art_of_deceptionEl Arte del Engaño (The Art of Depection) Kevin D. Mitnick En este enlace podréis leer on-line el libro que escribió Kevin Mitnic al salir de la cárcel y en el que explica con todo detalle infinidad de técnicas utilizadas en la Ingeniería Social.
takedown-kevin-mitnickEn el año 2000 se estrenó la película Takedown (Hackers 2) que está basada en la Historia de Kevin Mitnick, que a su vez está basada en el libro "Takedown" de John Markoff y Tsutomu Shimomura. La película fue dirigida por Joe Chappelle contando con los actores Skeet Ulrich y Russell Wong. Podéis ver Hacker 2 entera desde este enlace de Youtube.

 

Entrevista a Kevin Mitnik

Aquí os dejo el vídeo de una entrevista que le hicieron a Kevin Mitnick en la Revista Enter 2.0

 

¿TE PODEMOS AYUDAR?

En Tantata impartimos formación en Marketing Digital para empresas, pero también impartimos cursos de seguridad en Internet y las redes sociales para colegios, asociaciones de padres, profesores y alumnos.

¿Necesitas un curso de seguridad en Internet y Redes Sociales?

Contacta con nosotros

Rafa Esteve

CEO - co-fundador at TANTATA SOLUTIONS
Consultor de Marketing Digital y posicionamiento SEO, Profesor de Social Media Management (Community Manager) y Marketing online.
Jugador de Rugby, padre y amigo de sus amigos.

Linkedin
Rafa Esteve

Latest posts by Rafa Esteve (see all)