¿Eres del área de TI?

editado septiembre 2016 en Ingeniería Social
Hola a todos,

Les quiero compartir la siguiente experiencia 😋


Trabajas en el área de TI? esto te interesará aún más 😎


Mi trabajo corresponde a la gestión y respuesta de incidencias de software de escritorio y móvil, pero no trabajo en el área de TI :rolleyes:, trabajo en un área donde tenemos la potestad de desarrollar, claro está ligado a políticas del área de TI.

En este gran tema de gestión de incidencias todos tenemos presente de que existen tipos de incidencias o niveles; por ejemplo: Incidencias Nivel 1, Nivel 2, Mayor, Menor, etc.,
Gracias a las incidencias de nivel 3 o mayores que le corresponden gestionar y solucionar al área de TI, tuve la oportunidad de relacionarme y socializar con ellos, ganar confianza y amistad de todos!, incluyendo jefes! 😁😁
.

Bueno y dirán esto para que?

Ps simple y llanamente lo hice para probar que tan conscientes están los chicos del área de TI con respecto a la seguridad de la información 😑😐
.. y vaya que me lleve una gran sorpresa 😱😬
..

Gracias a esa confianza que logre obtener, tuve la oportunidad de aumentar mi productividad debido a que ya no tenía que esperar el debido proceso de TI para solucionar incidencias 😏😜.. además de ello logre mejorar los privilegios, permisos, acceso de mi perfil de usuario de red 👹👿😈
... Y bueno ya se imaginarán que tanto podré haber hecho dentro de la red interna 😱😨😰...

Pues no hice nada que faltara a mi ética como profesional 🙈🙉🙊...

Bueno sin mas introducción vamos al grano 😿🙀😽..

Llegué a tener acceso a casi todos los servidores de la empresa, bases de datos y datos confidenciales 👦👻.. se preguntaran como lo hice? Que programa, software o herramientas utilicé?? 💣💥... Pues les cuento que ninguno 🙏🙌🙋.. simplemente ataque esa amenaza para explotar la vulnerabilidad que actualmente muchas empresas u organizaciones descuidan, cual?? Simple, el ser humano (RRHH-Recurso Humano) 💃💁.. si señores este activo que muchos no le prestan el cuidado ni la atención que se merece en temas de seguridad.💪.

Bueno y dirán cómo,porque,en que momento??.. basto sólo con mostrar una persona inocente en tema de seguridad, el simple ingeniero que atiende incidencias, el ser gracioso y amable, el que ayuda y quiere ser ayudado, el que enseña y el que siempre tiene tiempo para todos 👮👲💆...
Lograba ingresar al área como dicen en mi país, como Pedro por su casa (como si fuera el dueño), aclaro que para ingresar al área tocaba tener chip, y yo no lo tenía 👾.
.. podía ver todo de todo, ver que escribían, que IPs utilizaban, escuchar todo lo que hablaban de políticas, seguridad, etc., Cada ves que ingresaba llegaba con pan, líquidos, comida, esto me daba más confianza a la hora de solicitar algún privilegio de usuario de red, de sentarme y preguntar: ¿Que haces?, ¿Y esto para que sirve?, ¿como lo haces?, ¿Enséñame?, Y al final yo decía: "Vaya, tu eres excelente, eres un mago, un geniooo!!!", Y a quien no le gusta que lo suban aún altar????💂💂...

Gracias a que podía estar sentado al lado de cualquier persona tenía visibilidad completa ver digitar una contraseña, tomar fotos, ver rutas de acceso en la intranet donde guardan información confidencial, mejor dicho ya era parte de TI👼
👼... Y poco a poco llegue a un punto en donde mi yo interno pícaro y maligno decía: ¿Porque no apagar uno que otro servidor y cambiar claves y así tener unos días de descanso ya que no me aumentan el salario?? Jejjeje 😈👿👹...

Como ven y leen siendo yo alguien externo al área de TI logre digamos-lo al estilo película me infiltre en el área de TI que tiene acceso restringido con chip, logre obtener información que inclusive ni el gerente tiene acceso jejejej, logre ver todas las embarradas que hacían cada uno de los empleados, logre obtener cada contraseña de cada uno de lo servidores, inclusive tuve la tentación de modificar la cuenta del servicio de energía de la casa para no pagar por un largo tiempo, pero mi ética no me dejo jejjeje...

Como leí en algún libro de Hacking: "Don't learn to hack, hack to learn" 👌👍


Bueno y todo esto que logre claro esta que no fue de un día para otro, pero si fue rápido, en menos de dos meses ya había logrado mas del 60% de acceso a TI.

Así como logre esto en TI, se imaginaran en las demás áreas que tan fácil pudo haber sido, y si, fue muy fácil en otras áreas, ya que realmente no tienen idea de que la información que manejan es importante para la empresa, inclusive, tuve la oportunidad de tener datos privados de varias empleadas que me interesaban para salir a bailar jejejeje... pero claro no utilice esto para demostrar mi interés, fui a lo sencillo, presentarme y caer bien :)

Esto damas y caballeros fue otra hazaña de la ingeniería social.:rolleyes::cool::D;):):o


Moraleja:

Si tienes políticas de seguridad, hazlas cumplir y regir, sean quien sea y como sea, ninguna persona fuera del grupo de seguridad informática y de la información puede ingresar al área restringida y mucho menos interactuar con las personas que tienen en sus manos el poder de la continuidad del negocio.

Que el área de TI no sea juez y parte, excluye a los CISO de esta área deben ser independientes de TI.

Todo el personal, todo el de la empresa incluyendo el área de servicios generales deben tener presente y ser conscientes de la seguridad informática y de la información.


Saludos colegas les deseo un gran día, y espero que este pequeño artículo haya sido de su agrado e interés.

PD: claro que al final me di a la tarea de capacitar al personal TI.

Comentarios

Accede o Regístrate para comentar.