Subscribe
Share
Share
Embed
Un@ invitad@ espectacular, una pregunta y una conversación llevada hasta el final para matar la pregunta. Recorremos el globo para encontrar las mentes más brillantes en temas como innovación, emprendimiento, liderazgo, growth, ciberseguridad, agilidad, experiencia del cliente y muchoooo más. Con cada invitad@ hacemos una inmersión profunda en una pregunta y luego la editamos a menos de 18 minutos de perfección. Si disfrutas este podcast y te gustaría escuchar más... por favor déjame saber qué invitad@s, qué temas, y qué preguntas te gustaría que matemos dejando un mensaje aquí en Spotify o en cualquiera de mis redes sociales @robbiejfrye
Hello, hello, hello y bienvenidos a
Matamos Preguntas.
Un invitado o invitada increíble.
Una pregunta y una conversación llevada
hasta el final para responder la pregunta.
Sin decir más, aquí tienes tu host, el
gringo loco Robbie Gay Fry.
Hola, hola, hola, ¿cómo estás?
Bienvenidos a Matamos Preguntas.
Un episodio muy interesante porque mi
invitado es Jaime Andrés Restrepo Gómez,
CEO y fundador at DragonJar.
Y la pregunta que matamos es...
¿Cómo hackear un ser humano para hackear
su tecnología?
Pero antes de arrancar, ayúdame a
multiplicar el impacto de Matamos
Preguntas regalando una reseña en Spotify
o en tu player favorito.
Y cuenta al mundo que AMAS MATAMOS
PREGUNTA.
Y lo más importante, quiero celebrar las
empresas que hacen posible este podcast.
Uno de los mayores dolores para las
startups en sus primeras etapas es
encontrar las capacidades tecnológicas de
calidad para construir o escalar su
producto.
Las startups no pueden esperar meses.
No, no, no, no.
para construir su tecnología.
No es una opción.
Esperar tanto tiempo a menudo significa la
muerte.
Con Alicor, puedes hacerlo ya.
Podrás tener desarrollo web y móvil,
diseño de productos digitales,
infraestructura en la nube, ciencia y
datos de ingeniería, y mucho más.
Alicor lo hace todo y mejor que el resto.
¿Por qué?
Cuenta con un equipo diverso de founders y
masters tech.
alrededor del mundo con experiencias
cruzadas en más de 100 startups globales y
un portofolio más de un billón de dólares.
Alicote Sur es tu brazo técnico, equipo,
experiencia e infraestructura de manera
rápida e inmediata.
Exactamente como debería funcionar tu
startup.
Visita su página alicorpsur.com, otra vez
alicorpsur.com, haciendo clic en el link
de este podcast para tu mejor aliado de
tecnología en todo Latam.
AlicorpSur.
Y con ese dicho, matemos preguntas.
Primero, James, muchas gracias por su
tiempo.
Bienvenido a Matamos Preguntas.
Gracias, Roy, por la invitación.
La verdad es que para mí es muy gusto
estar acá.
Castiguenos, encuéntanos quién eres y en
qué haces para dar un poquito de contexto
al podcast, porfi.
Perfecto.
Mi nombre es Aínaro Cefo.
Yo soy gerente de una compañía que se
dedica a la seguridad informática
ofrecida.
Básicamente nosotros hackeamos los activos
informáticos de las organizaciones para
identificar cuáles son los problemas de
seguridad y evitar que denicuentes
informáticos puedan
comprometer esos activos informados.
Jaime, muchas ganas por esta pregunta.
Mi pregunta que me encanta reamatar,
porque no tengo ninguna idea de verdad, es
¿cómo hackear un ser humano para hackear
su tecnología?
Y yo sé que tiene unas buenas historias,
Jaime.
Entonces, castiganos.
Claro, mira, lo que pasa es que cuando las
empresas no dudan en cuanto a la seguridad
de sus organizaciones,
cada vez es más complejo atacarlos
digitalmente.
Tienen más controles y más medidas, más
soluciones de seguridad, entonces
solicitan a empresas especializadas como
la nuestra realizar procesos de
instrucción física.
Uno de los procesos que te conté es que,
por ejemplo, para un tipo de esta
auditoría, lo que hicimos fue identificar
físicamente cuáles eran los controles que
tenían.
Uno de los primeros filtros que tenía esta
organización era como la persona encargada
de recibir la gente, la recepcionista.
era una chica bastante agradable y
visualmente, pues como que se preocupaba
mucho por su estética, entonces lo que
hicimos fue, ah bueno, a esta chica
seguramente le llamara mucho la atención
que le llegó un ramo de la process sin
tarjeta, diciendo que es de un gran
admirador a un non-watcher, ¿qué pasa?
¿por qué no pusimos la tarjeta?
Porque la tarjeta lo que hicimos fue
comprar una memoria USB en forma de
corazón y ahí poner un PDF especialmente
diseñado para que nos diera acceso a ese
computador.
pues contratamos una floristería, hicimos
todo el proceso, le dijimos al mensajero
que era el que ganaba el minareto al
secreto, y pues claro, desde lejos
estábamos observando como una reacción, y
fue muy interesante ver cómo no solamente
logramos comprometer a ese equipo que
tenía acceso a la agenda de los
directivos, correos muy importantes, y ha
sido bien interesante para el proceso que
estábamos llevando, sino que también por
la curiosidad o por...
Nosotros decimos acá, chicaneda, ¿cierto?
La chica chicanedo.
a otros colegas dentro de la misma
organización y logramos que esa memoria
que estaba especialmente diseñada para
comprometer las máquinas, pues fuera
insertada en otros equipos que no, que
nosotros no habíamos pensado inicialmente
que estudiar dentro de la clase, cierto,
porque era muy reservado el acceso a la
organización y entonces pensamos que eso
había más poder y el acceso a la
recepcionista y terminamos con cuatro o
cinco máquinas dentro de la empresa que
nos facilitaba mucho la vida para realizar
nuestra empresa auditoria.
punto de vista en que ustedes hicieron.
Cuál es la lección y número dos es la de
entrenar a estas personas por deshabilitar
su acceso a datos.
Cómo lo ves?
Las dos partes son muy interesantes porque
claro, cuando nosotros presentamos el
hallazgo, aunque había obviamente que
meter esta persona dentro, porque la
empresa como tal tenía un proceso de
formación, cierto?
Pero más para sus tipos más involucrados
con la pegadilla y como con.
los activos más valiosos, pero a la
recepcionista en particular no le habían
metido a sus procesos de formación.
Entonces ese elemento de concientizar a
las personas de que ese tipo de cosas no
se deben hacer, pues es vital.
Pero también está el componente
tecnológico porque una persona no debería
haber tenido acceso a un montón de
elementos que otros juegos accederían.
Los formatos importantes, cartas que
seguramente le dijo alguien, ven y crimine
esto para mandar esta carta y tenía acceso
a todo esto.
En Colombia, digamos, y en Latinoamérica
en general, la gente es muy abierta a
ayudar.
Por defecto, la gente es muy colaboradora.
Incluso hay contra de sus propios
instintos.
Si tú llegas con cara triste diciendo, ay,
mira, es que yo estoy buscando trabajo
acá, me dijeron que traería la hoja de
vida, pero no he podido imprimirla.
Y llegas así como mojado y con café
derramado, lo más probable es que por más
capacitación que haya tenido una persona,
tú le dices, ay, yo voy a imprimir esta
hoja de vida aquí en la...
única forma que tengo yo de poder acceder
a este empleo, pues lo más probable es que
la persona se vea atentada a recibir en la
memoria y conectar en su propio computador
para hacerle el favor de ayudar.
Ese tipo de cosas, pues por más formación
que tengan las personas, es muy difícil
poder aceptar.
Por eso nosotros queríamos hacer algo como
muy disruptivo, como muy impactante.
Era un ramo de rosas bastante grande, de
rosas rojas muy bonito.
y la memoria forma de corazón como que le
dio ese toque que era irresistible para
una persona de la salud que necesitaba una
abducción.
Entonces, para evitar este tipo de cosas
lo que hay que hacer es aumentar más la
capacitación, también acercarse más a este
tipo de ejercicios ayuda mucho que con la
práctica pues vaya cogiendo experiencia y
pues fortificar más en las nuevas
tecnológicas para evitar que simplemente
esta persona tenga acceso a información
muy sensible.
¿Y qué cambios hicieron las empresas
después de que este pasó?
Las empresas empezaron a tomar en cuenta a
todos los empleados, ni siquiera ya no se
aumentaba por accesos a información y
señas, sino que hasta las personas del
ASEO ya nos involucraban en los estudios
de formación y concientización en cuanto a
seguridad informática, porque también lo
lograron en una reunión de presentación,
les dijimos, mira, esto pasó por la
recepción lista, pero tranquilamente, si
tú ofreces una suma de
cuando nadie más dudaba, puede conectarlo
a la memoria y list, se acaba el juego
porque se saltó todos sus controles
perimetrares y todo su proceso de
seguridad, porque es una persona que ya
tiene acceso.
Entonces, empezaron a vincular a todos los
miembros de las organizaciones y de
procesos de concientización.
Eso era cuando no se tenían, digamos, como
muchos controles físicos, pero hay algunas
organizaciones que incluso tienen, por
ejemplo,
detectores de metales y impide que las
personas ingresen elementos tecnológicos
dentro.
Por ejemplo, los fallshifters son muy de
esto, que no permiten ingresar en
teléfonos, que no permiten ingresar en
memorias.
Y tiene controles físicos como los
aeropuertos para que usted pase sus
pertenencias, los escaneen y pueda entrar
a la Organización Jop.
Nosotros contratamos para hacer un proceso
similar y vimos desde el principio que no
nos dejaban entrar nada, entonces
estábamos como bloqueados porque, aunque
bien, sí se podía hacer ciertas cosas sin
elementos físicos.
ayudaba mucho tener memorias especiales,
hardware de cierto tipo.
Nos dimos cuenta, pues colombianos nos
encanta el café, nos dimos cuenta que el
café no lo metían por estas máquinas
porque nos decían que podían derramarse y
darle a hablar máquina.
Esa fue cuando dijimos, no bueno, si el
café no lo meten, pues metamos las cosas
dentro del café, la ponemos encima de la
metinita y la gente no va a revisar eso.
Dicho y hecho, pues no revisaron el café,
pudimos meter diferentes elementos.
dentro del vasito de Juan Valdés, era
particularmente.
Y logramos ingresar elementos que nos
ayudaron mucho de prevención auditoria,
ese tipo de cosas, como que no se tienen
en cuenta, o de pronto no se, no se
imaginan el equipo de seguridad.
Porque si pensamos, por ejemplo, tenemos
botellas de Coca-Cola que parecen ser
reales, pero que tienen compartimentos
adentro.
Pero ese tipo de elementos sí suelen ser
más tenidos en cuenta, porque pues los
usan mucho y capsules para ingresar cosas.
Ustedes las personas de seguridad ya
tienen como desconfianza ese tipo de
dispositivos.
Mientras se coge el café, vas a un café y
caen y entienden que nadie le va a meter
el dedito, pues a mirar si metieron
elementos de hardware adentro.
Y pues fue uno de los hallazgos que más
damos atención de la junta cuando se
presentaron ese tipo de hallazgos
interesantes.
Hay cosas que pronto no...
Pues como que uno piensa...
diferente, cierto, como que no piensa como
lo haría una persona valenticionada.
Eso es lo que lo que aportaba a las
organizaciones a adelantarse a lo que
podría pasar por una persona que tenga un
poco de ingenio y que quiere hacer daño a
las organizaciones.
Cómo puedes pelear contra la creatividad
de una persona como ustedes?
La forma más simple pelear contra este
tipo de actividad es exponerlos a este
tipo de ejercicios, porque hoy
digamos que el café funcionó, ¿cierto?
La próxima vez el café no funcionó, pero
en la cabeza de las personas de seguridad
queda la idea de que, pues, pues, ya nos
lo metieron con el café, ahora cualquier
cosa puede ser posible, ¿cierto?
Entonces eso les permite aumentar su,
digamos, su nivel de paranoia de forma
positiva para evitar este tipo de
incidentes.
Nosotros también jugamos mucho con las
festividades y ese tipo de cosas.
Por ejemplo, en un país en el mar de
Colombia
en fechas ni sembrinas.
Entonces lo que hicimos nosotros fue tomar
fotos de los carnes de autenticación de
las personas encargadas de seguridad.
Sacamos una copia de estos carnes, una
copia que no era ética, pero era muy
similar.
De hecho, no conseguimos la cinta, que
fuera igualita porque tendría un membrete.
Lo que hicimos fue conseguir un cordón de
zapatos para podernos colgar la cinta y
dije, aún así funcionó.
Y como era...
Cercano al 24 de diciembre lo que hicimos
fue comprar unas bolsas de regalo, comprar
unas chocolate y estas personas ya tenían
formación en cuanto a que nadie debe tocar
sus computadores, aquí no, por ninguna
excusa suelta en su área de trabajo.
Sabiendo nosotros eso, lo que hicimos fue
una instrucción muy simple de seguir con
dibujitos paso a paso de qué era lo que
tenían que hacer ellos mismos para que nos
Entonces lo que hicimos fue buscar una
excusa.
Con las carapelas falsificadas, logramos
conseguir acceso a los tres pisos del
edificio.
Y desde el tercer piso empezamos a dar
escritorio por escritorio, regalando la
chocolatina a cada persona y entregándole
la obita con las instrucciones que tenían
que seguir para hacer una supuesta prueba
de conectividad.
Como uno sabe que en las empresas
normalmente la queja más frecuente es que
no tienen buena conectividad, que el
intervista es lento, ese tipo de cosas.
y fue muy exitoso porque todas las
personas comían sus chocolates en la
comida y realizaban ellos mismos los
pasos.
Claro, la formación que le dieron era que
no soltaban las máquinas en ningún momento
y eso hicieron.
Nunca las soltaron, nosotros nunca tocamos
un teclado, pero ellos sí lo hicieron por
nosotros y lograron ser lo que pidió y fue
bastante interesante.
Hay algo curioso ahí, es que por ejemplo,
antes de irnos al equipo de seguridad, que
era una empresa terserizada, también le
dimos su chocolate como para que no se
sintiera mal.
Y eso como que causó un impacto después
porque al tiempo nos llamaban a que nos
descubrieron que en un grupo que tienen
internos preguntaron que cómo se seguían
las instrucciones y mandaron una foto del
papelito.
Eso también fue muy interesante para
nosotros porque como que el equipo de
seguridad de la organización para mirar
qué hacía el papelito pues también siguió
las instrucciones y traicionó la trampa
pues fue muy interesante ese proceso y
pues ayudó mucho a esa organización a
repensar.
que mucha gente se preocupa es como, ah,
escuché, no, van a venir a robarnos un
computador o van a venir a a sacarnos algo
físico, cierto, que es como lo que piensan
la mayoría de la gente.
Pero no necesariamente sacar nada,
solamente con un usuario, pues sin saberlo
ingresen las cosas desde su propio
computador.
Pues ya ya conseguimos muchísimo acceso.
Entonces este es bien, bien creativo, como
yo inmediato.
No me importa quién ni voy a recordar la
persona.
Si tú dices Wifi, más rápido.
¿Qué hago?
¿A quién es mi segunda hija?
Llévala.
Entonces dame Wifi más rápida.
¿Cómo proteges contra ese tipo de cosas?
La forma más simple de evitar este tipo de
cosas es constantemente exponer en los
equipos a ejercicios similares.
Las empresas, como Madudas en seguridad,
tienen sus propios equipos internos y
constantemente están buscando formas
creativas de realizar este tipo de cosas.
Entonces, por ejemplo, tenemos amigos que
se han contratado de canes fuera de los
sitios de las empresas por promociones muy
buenas de comida rápida, por ejemplo, con
códigos QR y traigan esos volantes.
La gente dice, ah, eso era del workshop,
me están dando un descuento muy rico.
Entonces, escaneamos esto, ¿cierto?
Y los escanean en los equipos de la
oficina o en sus equipos personales
conectados a la red de la oficina.
Entonces, en las empresas que deben hacer
para evitar este tipo de cosas como
estarle
fomentando a sus propios equipos que esto
es posible, que esto es viable, que esto
lo hacen los manos para que estén pensando
en esto constantemente.
Mira, que pasa algo es que después de
hacer el ejercicio todo se vuelve muy
proactivo, muy paranoico y nos cuentan
pues que el resultado de la elección fue
muy positivo, pero esto lo hacen
normalmente una vez al año y luego uno
vuelve al año y encuentra otra forma
creativa de comprometerlos y vuelve y pasa
la misma historia.
Entonces, es como que más constancia en la
forma en la de capacitar a su equipo para
que este tipo de cosas no pasen.
Yo diría que formación estas cápsulas que
tú realizas, invitar gente especializada
para comentar, digamos, el contenido de
valor dentro de la organización aporta
mucho, pero también hay que hacer
constantemente formación en equipo para
que identifiquen posibles problemas.
Si tú no sabes que tu valor más grande es
un activo en particular,
pues tú no le pones cuidado, se activa y
entonces no lo proteges.
Por tanto, cuando le pasa algo, pues tú
vas a decir, ah, es complicado cambiar esa
forma.
Pero estos son de los pasos que hay que
hacer.
Formar capacidad y ejecutar ejercicios que
les abra la mente.
Cuando vos estás caminando día a día en
cualquier lugar, tú estás constantemente
mirando huecos.
Ah, mira, este cámara no funciona, ese
cámara no ve nada.
Ah, mira, solamente esta persona allá yo
puede pasar cualquier cosa, ese sistema no
funciona.
¿Tú siempre están analizando los sistemas
de seguridad?
Siempre.
Siempre.
Es algo que uno no puede evitar.
Una vez identifique en una empresa de
alimentos, pues es un supermercado grande
acá en la ciudad que escaneaba
directamente los códigos de barras sin
validación.
Yo me imprimí una sentencia de SQL en ese
código de barras y lo metí.
solamente para saber qué pasa.
Y empezó a votar toda la información de
todos los productos.
Ya no tuvieron en cuenta que uno puede
generar con código de obra cualquier
valor.
Ese tipo de cosas uno va pensando y luego
las aplica en el momento que tiene la
oportunidad.
No sé cómo sería la venta de este
submercado.
Mira, yo por ahí a verte.
Mira qué pasó.
Ay, fue madre, ¿qué hiciste?
Ah, OK, listo, contratamos.
Eso sí es muy delicado.
Colombia está tipificado de situaciones
como esta.
Yo no haría eso con una estrategia
comercial.
No lo haría nunca.
Pero seguro funciona porque el miedo
vende.
Sí, desafortunadamente.
Entonces, para terminar, Remy, ¿tú tienes
otra historia?
¿Tú tienes como una o más que puedes
contar?
Y yo termino con mis preguntas.
Claro, nosotros trabajamos en esto desde
2001.
Cuando antes de que la Seguridad
Informática fuera tan popular,
y en esa época los drones no eran muy
famosos, no se tenía tanto acceso a ellos,
pero yo sí tenía un amigo, o tengo un
amigo, que le gusta mucho el
aeromodelismo, tenía un helicóptero que se
podía levantar buen peso y podíamos
conectarle cualquier cosa.
Entonces, pensando en esto, y una vez que
nos topó acceso a un edificio que estaba
muy seguro físicamente, lo que pensamos
fue, bueno, si nosotros tuviéramos una
casa más grande con esta antena,
para hacer ataques de redes inalámbricas,
seguramente conseguíamos un mayor impacto
en la organización porque la gente se
conectaría automáticamente a ese
dispositivo, porque los dispositivos
wireless, por defecto, se harán conectar
siempre a la red conocida con más
potencia.
Necesitábamos estar más cerca, pero
físicamente no podíamos acercarnos al
nuestro porque tenían mucha seguridad.
Entonces lo que hicimos fue pedirle ayuda
a este amigo que tenía esos dispositivos y
le conectamos un aparato que se conoce
como pila de Wi-Fi.
que automáticamente está suplantando las
redes conocidas de la gente y está
haciéndose pasar por ella.
Pero la alcaldesa no es muy buena,
entonces lo que hicimos fue acercar y
poner el techo de la empresa con este
helicóptero de aeromodernismo en Apanato.
Y ahí conseguimos muy buen acceso.
Y ya después simplemente volvíamos a traer
el helicóptero para ver cuáles son los
datos conseguidos.
y ese tipo de cosas.
Ahorita es mucho más fácil porque los
drones están a la orden del día y
cualquiera puede comprar uno, ¿cierto?
Y son muy potentes.
En esa época, pues fue algo como muy
diferente y salieron acá a utilizar ese
tipo de dispositivos para hack y fue
bastante interesante.
Hay dispositivos de hardware para hacking,
especialmente diseños para hacking.
Hay una empresa estadounidense que se
llama UpFive y ellos fabrican este tipo de
dispositivos.
Entonces, una piña Wi-Fi es un dispositivo
que es...
sí, mirar un router, pero está diseñado
por dentro para identificar las señales de
redes sin alambricas, suplal tablas, o
sea, hay una señal que se llama, no sé,
Robby, entonces se identifica que esa red
se llama Robby, se pone en el mismo canal
y se pone el mismo nombre, entonces tú que
te conectas a tu red Robby, siempre te vas
a conectar a esa red con ese nombre que te
gana la señal más fuerte, ¿sí?
Lo que hace es que practico de suplantar
esas señales, hacer que tú te conectes a
ella.
y al estar en la mitad de la comunicación,
pues puede capturar toda la información
que pasa a través del dispositivo.
Entonces ya uno identifica muchas cosas
ahí.
Listo Jaime, mío gracias por su tiempo,
qué placer, qué buenas historias y gracias
por su tiempo.
Bueno Roby, un gusto, muchas gracias a ti
por la invitación, es que escucho mucho y
me gusta mucho poder participar del
proyecto.
Ah no, mío gracias hermano.
Si te gozaste este podcast y te gustaría
escuchar más, ojalá que sí, por favor
déjeme saber qué invitados, qué temas y
qué preguntas te gustaría que matemos.
Déjeme un mensaje aquí, ¿sí?
en Spotify o en cualquiera de mis redes
sociales usando arroba Robi J Fry.
Y también, si quieres la versión extendida
de este podcast,
Debes ser un miembro de Quinto y puedes
encontrar todo en quinto.ai Muchas gracias
por escuchar y siempre puedes ganar más
plata, pero no más tiempo.
Chau chau chauuu!