Organizadores de Anillos del FBI en Concurso Defcon

A Defcon El concurso que invita a los concursantes a engañar a empleados de corporaciones estadounidenses para revelar datos no tan sensibles ha sacudido algunos nervios.

Los organizadores de concursos han sido llamados por la Oficina Federal de Investigaciones de EE. UU. y han visto advertencias emitidas por grupos de seguridad y la información de servicios financieros Centro de intercambio y análisis, (FS-ISAC), un grupo de la industria que proporciona información sobre amenazas de seguridad que afectan a la industria bancaria.

"Las historias que recibo son muchas personas financieras que estaban realmente preocupadas de que íbamos a ser apuntando a la información personal y cosas así ", dijo Chris Hadnagy, el gerente de operaciones de Ofensive Security, quien está organizando el concurso. Estas preocupaciones son infundadas, dice.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Durante los próximos tres días, los participantes harán todo lo posible para desenterrar datos de una lista no revelada de aproximadamente 30 empresas de los EE. UU. El concurso tendrá lugar en una habitación del hotel Riviera en Las Vegas y contará con una cabina insonorizada y un parlante, para que el público pueda escuchar a los concursantes llamar a las compañías y tratar de evitar qué información pueden obtener de empleados involuntarios.

Esto es ingeniería social: el arte de engañar a las personas para que revelen información y hagan cosas que no deberían hacer.

Los organizadores de la conferencia tienen que recorrer una línea muy fina al organizar un concurso que se centra en objetivos del mundo real. Pero después de consultar con los abogados de Electronic Frontier Foundation, han creado un conjunto de reglas para el concurso y, lo que es más importante, una lista de no hacer.

Los concursantes no pueden solicitar datos confidenciales o contraseñas. No pueden hacer que sus víctimas sientan que están en riesgo. No pueden pretender ser agentes del orden público o, en general, hacer cualquier cosa que se sienta mal. "Si algo no parece ético, no lo haga. Si tiene preguntas, consulte a un juez", las normas establecen.

Lo que los participantes pueden hacer es recopilar datos sobre temas menos delicados, como "quién elimina los contenedores de basura"; "El vencedor será seleccionado por los jueces, basándose no solo en la cantidad de datos recopilados, sino también en la excelencia general del trabajo de ingeniería social", dijo Hadnagy. Primer premio: un iPad.

A menudo, las compañías de seguridad dan luz verde para usar técnicas de ingeniería social contra sus clientes como una forma de probar lo que podría suceder en un incidente en el mundo real e identificar debilidades. En estas pruebas, los expertos en seguridad a menudo intentarán colarse en áreas seguras o engañar a los empleados para que entreguen contraseñas con correos electrónicos de phishing, cosas que están prohibidas en este concurso.

La herramienta principal del concursante de Defcon será el teléfono. A los concursantes se les ha permitido realizar reconocimientos por Internet sobre sus objetivos, y recibirán 20 minutos en la cabina telefónica para llamar a las empresas objetivo e intentar su ataque.

Hadnagy ve el concurso como un experimento, y planea compilarlo. un informe que analiza lo que sucede. "Lo comenzamos a crear conciencia para la ingeniería social y le dimos un lugar para aprender qué es lo que hace que un buen ingeniero social", dijo. "La ruta más fácil hacia una compañía sigue siendo la gente".

El FS-ISAC emitió una advertencia sobre el concurso, que Hadnagy publicó en su blog el mes pasado. "Las instituciones financieras deben estar al tanto de este próximo concurso y deben informar a su personal, especialmente a los centros de llamadas y departamentos legales sobre este evento", dice el aviso.

Por la misma época, Hadnagy recibió una llamada de la División Cibernética del FBI. "Tenían preguntas sobre cuál era realmente nuestra intención y qué estábamos haciendo y cuáles eran nuestros objetivos con el concurso", dijo. Él reenvió las reglas del concurso al FBI. "Una vez que les pasé eso a ellos … creo que eso detuvo la preocupación del gobierno", dijo.

El fundador de Defcon, Jeff Moss, dijo el jueves que también ha enviado algunas consultas, incluida una del FS-ISAC.

No necesitan preocuparse. Las metas de las compañías provendrán del sector de tecnología y otras industrias, pero no habrá ninguna organización financiera, sanitaria, educativa o gubernamental, dijo Hadnagy.

Robert McMillan cubre noticias de última hora sobre seguridad informática y tecnología general para

The IDG News Service. Sigue a Robert en Twitter en @bobmcmillan. La dirección de correo electrónico de Robert es [email protected]