Blogantivirus

Esta es la moraleja que se deduce de la noticia que publica hoy The Registrer, que relata cómo un grupo de hackers se dedicaron a colocar memorias USB infectadas con un troyano bancario en distintas localizaciones dentro de un aparcamiento de Londres. Lo que más me llama la atención de este incidente, que ha sido mencionado por Nick Lowe (director regional de Check Point) en el transcurso de una presentación en Infosec, es que esta curiosa técnica de ingeniería social ya fue puesta en práctica hace tiempo en el marco de una auditoría de seguridad realizada por la consultora americana Secure Network. En aquella ocasión distribuyeron 20 memorias USB por las instalaciones de una entidad financiera y pudieron comprobar como 15 empleados que se encontraron el “regalito” conectaron la memoria nada más llegar a sus puestos de trabajo (ver noticia en El País de Septiembre de 2006).

En realidad, este escenario (hackers que se aprovechan del trabajo de investigadores de seguridad) es el mismo que se da cuando los creadores de virus se basan en vulnerabilidades recién descubiertas, sólo que en este caso lo que predomina es el componente de ingeniería social. Una vez más nos encontramos con el eterno debate entre el “Full Disclosure” (o divulgación total de todos los detalles de las vulnerabilidades) frente la “Seguridad por Oscuridad”.