Para ser hacker hay que saber mentir, aunque al jefe del Red Team de Google se le da fatal: esta es la curiosa tradición que tiene su equipo

Los hackers que forman parte de un Red Team en una gran empresa o institución son aquellos profesionales de la ciberseguridad que piensan que un buen ataque es la mejor defensa.

Por eso son especialistas en atacar la propia compañía que les paga la nómina: su trabajo hace que el resto del departamento de Ciberseguridad encuentre vulnerabilidades y agujeros que podrían ser aprovechados por atacantes reales.

Por eso, una de las competencias que se precia en un buen profesional de la ciberseguridad es su capacidades a la hora de desplegar técnicas relacionadas con la ingeniería social. Ahora que las soft skills o habilidades blandas son un término de moda, y aprovechando que el jefe del Red Team de Google a nivel internacional estuvo en Málaga hace unos días, la pregunta era obligada:

¿Para ser un buen hacker hay que saber mentir?

"Estás hablando básicamente de la ingeniería social", ríe Daniel Fabian, líder de este departamento y "pirómano digital" de la compañía —así es como bautizó su propio puesto—. "Creo que es una habilidad como cualquier otra. Mucha gente es buena y otra es mala con ello. Yo soy terrible", reconoce.

"Muchas veces hay que mentir, y a mí no me gusta. Pero hay compis que son muy buenos en ello y que disfrutan haciéndolo", apunta. Fabian recuerda una anécdota de un empleo previo a recalar en Google, cuando nadie en su equipo estaba cómodo con poner en práctica las estrategias de ingeniería social.

El jefe de Ciberseguridad en Google descarta que su nuevo centro ponga a Málaga en la diana: "Las amenazas ya están en todos lados"

"Le acabamos pidiendo a un compañero de Ventas que nos ayudara porque son realmente buenos interactuando con la gente", señala. "De ese modo, nos ayudó encantado con esa parte de la ingeniería social mientras que nosotros nos pudimos centrar más en la parte técnica".

De vuelta a Google, Fabian aprovechó la jornada de inauguración del nuevo centro de ciberseguridad de excelencia de la compañía en Málaga para confesar algunos de los secretos que tiene el equipo de Red Team de la multinacional. Por ejemplo, juegos internos que tiene el propio equipo.

Uno de esos juegos, por ejemplo, es la tradición por la cual, cuando una persona se marcha a otro departamento, se puede ofrecer voluntaria a participar en un juego interno en el que el resto de sus compañeros van a tratar de descubrir una contraseña oculta.

Muchas de las dinámicas internas que tiene el Red Team de Google también les sirve para estar constantemente entrenando y pensando en nuevas técnicas de ataque que favorecerán la seguridad digital de la compañía para las que trabajan. Un ejemplo de ellos son los juegos de Capture The Flag —captura la bandera— muy populares en el mundo de la ciberseguridad.

El hacker de Google que logre resolver los desafíos que se hayan desplegado en torno a ese CFT recibirá como premio una navaja suiza con la contraseña —premio— grabada en su hoja. El propio Fabian tiene uno de esos premios en su escritorio, como se puede apreciar en el tercer capítulo de la serie documental Hacking Google.

En ese mismo capítulo se cuenta uno de los ataques más célebres del Red Team de Google contra su propia compañía. Fue hace tiempo: el objetivo fue el personal que trabajó en las Google Glass, un dispositivo que Google presentó a principios de la década pasada y que nunca llegó al mercado. 

El propósito del Red Team fue acceder a las credenciales del equipo para intentar robar diseños industriales. El método, muy singular: los hackers del Red Team tuvieron que hacer acopio de tretas relacionadas con la ingeniería social y simularon una entrega de un regalo de la compañía a todas las personas que estuvieron trabajando en ese dispositivo.

Una lámpara de plasma que se conectaba por USB.

La lámpara ordenaba a los dispositivos en los que se conectaba instalar una puerta trasera para que el Red Team pudiera ganar acceso a los ordenadores de sus víctimas. "A decir verdad, no todo el mundo la conectó, así que desde luego que hubo gente cuidadosa. Sin embargo, dos o tres personas sí que la conectaron y se infectaron", reconocía Fabian en el documental.

Sin embargo, quienes enchufaron la lámpara de plasma USB no tenían nada que ver con el equipo de las Google Glass: la estrategia era algo más enrevesada. Utilizaron este ataque sobre terceros para poder ganar acceso a sus ordenadores y suplantarlos con su correo electrónico, para, esta vez sí, comunicarse con los trabajadores del proyecto de las gafas.

Así es el día a día de los 'hackers' que se dedican a cazar recompensas

Los correos que el Red Team envió suplantando a trabajadores de Google incluían un píxel blanco que dirigía a una web que habían montado con la que podían recabar las huellas digitales de sus verdaderas víctimas. Estaban a un paso de conseguirlo. Lo que sucede es que, como cuenta Fabian en la serie, el Red Team acabó envalentonándose.

Enviaron un correo electrónico advirtiendo de que necesitaban una de las Google Glass para una persona muy importante de la compañía y que se pasarían a recogerla. Como Fabian reconocía en una entrevista con este medio, se le da fatal mentir. El correo que envió incluyó un par de erratas.

Por esa razón, cuando el Red Team se dispuso a recoger esas Google Glass, quienes le estaba esperando era el responsable de Seguridad física de la oficina. Les pillaron.