Durante TheWave, Grupo San Valero, junto a Digital Hand Made, han presentado en directo un laboratorio de hacking controlado sobre cómo los ciberdelincuentes pueden acceder a nuestros sistemas a través de técnicas de ingeniería social, ataques de diccionario y OSINT.

La actividad, con el nombre “Hacking social, ¿cuán vulnerables somos?” conducida por Miguel Martínez, director del departamento de ciberseguridad de DHM, y Alberto Hernández, responsable docente IT en Centro San Valero, ha permitido a muchos estudiantes y no tan estudiantes conocer la facilidad con la que los atacantes pueden infiltrarse en sus sistema, suplantar su identidad y acceder a sus datos personales.

Escanea este QR y gana un IPhone 16 Pro

La primera actividad ha sido la demostración de un sorteo falso de un iPhone 16 mediante un código QR. Algunos participantes han escaneado el QR sin sospechar que, al hacerlo, podrían estar proporcionando sus datos personales. Por supuesto, esto era un trolleo.

También se ha llevado a cabo una simulación de robo de cuentas de WhatsApp en el contexto de un supuesto reparto de paquetería. Mediante una conversación ficticia con tono humorístico entre los ponentes, se ha mostrado cómo un atacante podría obtener acceso a cualquier plataforma aprovechando la confianza de la víctima. Esta demostración ha puesto de manifiesto las debilidades de los sistemas de seguridad basados en códigos de verificación y la necesidad de implementar medidas adicionales de protección.

Pivoting y ataques de diccionario

También se ha examinado cómo los ciberdelincuentes emplean técnicas de ingeniería social para descifrar credenciales mediante ataques de fuerza bruta. Para ello, se ha utilizado la herramienta CUpp (Common User Passwords Profiler), con la que se ha generado un diccionario de más de 17.000 combinaciones de contraseñas basadas en datos personales de una víctima ficticia como su nombre, apodo, fecha de nacimiento, nombres de familiares e intereses de la posible víctima.

Tras ello, se ha utilizado la suite Hydra para ejecutar un ataque de diccionario contra la máquina víctima mediante SSH. Una vez dentro, se ha creado un archivo llamado hacker.txt en el escritorio de la víctima con el mensaje: “Te he pillado”, evidenciando que el usuario ha sido vulnerado.

Contraseñas robustas

Durante la ponencia, también se ha abordado la importancia de adoptar contraseñas robustas. Se ha explicado que, a diferencia de lo que se suele creer, no es suficiente con añadir símbolos especiales para reforzar una clave, sino que la verdadera seguridad radica en su longitud y aleatoriedad. Se ha recomendado el uso de frases largas o estribillos fáciles de recordar pero difíciles de adivinar.

Asimismo, se ha advertido sobre los riesgos de conectarse a redes Wi-Fi públicas, donde los ciberdelincuentes pueden desplegar puntos de acceso falsos en lugares como aeropuertos y cafeterías para interceptar datos. Como medida de protección, se ha aconsejado evitar estas conexiones y optar por el uso de datos móviles o VPNs.