[HACK] Curso de Ingenieria Social Cap IV Sec VI

LeStEr ThE TeAcHeR lgros at airtel.net
Wed Mar 12 15:34:04 CET 2003 

IS y Videoconferencia

Entendemos ya todos el hecho de que la razón de la IS es la obtención de la
información. En muchos casos, esta  se consigue sin conocimiento de la
persona cuya información se esta aprovechando. Sin embargo, no siempre es
así. Hay una forma de actuación asociada a este tipo de de aplicaciones que
permiten no solo escribirnos sino también ver y oír a nuestro interlocutor,
esta forma de actuación es el chantaje.

Una de las aficiones de muchos de los usuarios de estas aplicaciones es el
practicar cibersexo. Así 2 personas se ven mientras "hacen sus cosas". En
esta situación es muy sencillo grabar imágenes fijas o incluso la sesión
completa. Una vez guardadas en el disco  se utilizan como forma de extorsión
a personas casadas o con responsabilidades para las que asumir que realizan
estas prácticas puede ser un verdadero problema.

He conocido personalmente varios casos de mujeres u hombres que han sufrido
extorsiones por terceros que utilizaban estas técnicas. En todos los casos
la persona que realizaba la extorsión se había hecho con una buena colección
de fotos de sus victimas en actitudes sexualmente explicitas.

Personalmente yo recomiendo la denuncia a la policía, pero cada uno conoce
sus propios problemas personales y puede que no siempre sea posible.

El problema con el que nos encontramos es que es difícil demostrar que estas
cosas están ocurriendo sin la intervención de personal técnicamente
cualificado.

Analicemos un caso real tal como suele ocurrir la secuencia de hechos:

El usuario A se conecta con el usuario B en una sesión de NetMeeting (podría
ser cualquier sistema de videoconferencia).

El usuario B graba la conversación con A , o varias fotos fijas de este sin
que A lo sepa

El usuario B envía por mail alguna prueba de que efectivamente tiene una
grabación y en ese momento le plantea el chantaje y le pide algo a cambio.

A veces, ese algo es información para la comisión de delitos. Otras, cuando
la acción esta planificada puede llegar a ser incluso una forma de captación
de informadores para los servicios secretos (Hay bastante bibliografía que
documenta esta afirmación)

El problema es que si aceptamos una comunicación por videoconferencia
estamos permitiendo a otra persona ver nuestra imagen con nuestro
consentimiento. Quizá no le estemos permitiendo que la grabe pero  es
complejo que en un juicio esto quede verdaderamente claro.

Por otro lado no queda constancia técnica de que la persona que tiene las
imágenes de A es realmente el que las grabara, salvo que A disponga de
herramientas de análisis de trafico que permitan logear cada conexión a su
máquina y este log pueda ser guardado sin que pueda luego ser modificado.  Y
aun cuando las tuviera, solo se llegaría a demostrar que es la máquina del
usuario B quien grabo las imágenes pero ¿como sabemos que era B realmente el
que estaba en el teclado en ese momento?

Para demostrar esto es necesaria una investigación policial tradicional.

Sin embargo, lo que si queda meridianamente claro ante un juez es el
concepto de chantaje, por lo que el mail en el que se chantajea al usuario A
se convierte en la prueba fundamental.  Si, es verdad que solo nos llevara,
como comentamos antes, al PC de B sin embargo es muy posible que este mail
enviado este aun en su bandeja de "enviados" y por otro lado y mediante
análisis policial (huellas, restos de partículas, etc.) puede llegar a
demostrarse que personas usaron esa máquina. A veces se realizan amenazas
cruzadas utilizando Mail y también mensajes SMS a móviles lo cual permite
cercar todavía más al acosador.

Como vemos, el último paso es siempre una investigación tradicional y
algunas situaciones concretas ayudan mucho a solucionar un problema de este
tipo. Por ejemplo, que el PC este en un domicilio en el que solo viva B, que
este en su despacho de la oficina, que utilice la dirección de alguna
institución oficial, etc.

Puede parecer curioso pero muchos acosadores lo hacen desde su propio
trabajo y sin tomar ninguna precaución. Lo hacen pensando que no serán
investigados ya que esperan que el amenazado actúe con miedo y cumpla lo que
se espera de el sin cuestionarlo,  lo que facilita mucho la localización de
las máquinas desde las cuales se realiza el chantaje.

Como de costumbre espero que sacarais algo en limpio de este nuevo
documento.

Saludos

    LeStEr ThE TeAcHeR
      FrOm ThE DaRk SiDe
http://lestertheteacher.cjb.net

More information about the hacking mailing list