Mi jefe me ha hackeado

Como lo oyes. Como lo lees. Mi jefe me ha hackeado.

Ocurrió la semana pasada. Llegaba yo tarde a una reunión en la que debía exponer. Como es habitual, el servidor de la sala ya estaba en marcha por lo que simplemente hice uso del mando a distancia del proyector instalado en el techo, lo conecté y esperé unos segundos a que se mostrase en pantalla la invitación a ingresar en el sistema.

Como tantas veces, como siempre, hice click en el botón de inicio sesión, cogí el teclado inalámbrico, tecleé mi contraseña y le di a intro. Como tantas veces, como siempre, lo hice mecánicamente, sin mirar a la pantalla. Entonces levanté la vista esperando ver cómo se iniciaba mi sesión. Pero no; seguía mostrándose exactamente la misma pantalla de inicio que unos segundos antes. Por un momento pensé que había elegido mal la contraseña de modo que probé con otra. Cosas de llevar docena y media de contraseñas en la cabeza. Pero nada.

El teclado no va. ¿El ratón? El ratón sí; lo acabo de usar. Mira cómo sí. ¿Está el teclado apagado? No; el led indica que está encendido. ¿Se habrá quedado colgado? Por si acaso reinicio el teclado. Espero unos segundos. Es un hecho probado que el mero hecho de reiniciar un sistema que no responde resuelve el 80% de los casos. O más. Ojalá el viejo truco del reinicio funcionase cuando no arranca el coche, cuando te quedas sin saldo en el banco o cuando tu novia te cuelga el teléfono enfadada. Sería maravilloso. Pero nada: esta vez no funciona y el teclado sigue sin responder. ¿Será el receptor inalámbrico? No; el receptor está en su sitio y conectado, como siempre. ¿Serán las pilas…?

Unos pocos meses atrás se me dio una situación idéntica hasta este punto. Y en este punto descubrimos que se trataba de las pilas. Las cambiamos y punto. A funcionar.

En esta ocasión el desenlace fue bien diferente. No sabíamos ya qué pensar y estábamos a punto de echar mano de nuestro Service Desk cuando mi jefe dijo “ya sé lo que está ocurriendo”. El resto lo miramos entre sorprendidos y extrañados. Él tenía la clave. Y sólo él. Y es que todas las pulsaciones de teclas que había efectuado hasta ese momento (recordemos: dos de mis mejores contraseñas) se estaban mostrando en claro en la pantalla de su iPad. Así, tal cual. Y es que anteriormente mi jefe había enlazado su dispositivo vía bluetooth con el teclado inalámbrico de la sala de reuniones para trabajar más cómodamente. Simplemente desenlazó su iPad del teclado y a los tres segundos todo volvía a funcionar a la perfección. Aunque en realidad había funcionado perfectamente en todo momento.

Fortuito, sí, pero el resultado fue el siguiente: dos contraseñas importantes levantadas en un instante. Dos por el precio de una; la primera de ellas la que me habilita como usuario legítimo en el controlador de dominio de los recursos corporativos de mi empresa más otra contraseña extra que casi seguro que va a funcionar si la probamos con algún otro recurso importante. Y todo ello en unos pocos segundos, limpiamente, delante de mis narices y sin que ni yo ni ninguno de los presentes hubiéramos sido capaces de enterarnos de nada.

Un malo de verdad, un ingeniero social que se te cuela en tu empresa con la excusa de una demo, una oferta o un falso interés en alguno de tus servicios, simplemente podía haber establecido una comunicación bluetooth con el teclado de la sala para al poco desenlazarlo sin decir esta boca es mía. Resultado: tras unos pocos segundos de extrañeza todo hubiera vuelto a funcionar con normalidad haciéndonos olvidar el asunto automáticamente.

Efectivamente, como tantas veces sucede con la tecnología, cualquier posible motivo que pueda llegar a explicar un mal funcionamiento es siempre bien recibido por ridículo que pueda parecer: no deben quedarle pilas, estaría actualizando el software, empieza a fallar, habrá que ir pensando en cambiarlo, gira un poco el receptor hacia aquí por si acaso, dale unos golpecitos a ver, vete a saber, ayer lo estuvieron tocando los de Administración, etc. Una vez obtenido el paso al sistema casi cualquier comentario hubiera servido. Y si es jocoso mejor que mejor, que el buen rollito siempre relaja tensiones y acerca posturas. Todo hubiera quedado ahí y no le hubiéramos dado muchas más vueltas.

Vaya agujerito, ¿no? Y cero sofisticación. O quizá es justo lo contrario: como decía Leonardo a veces lo más simple es lo más sofisticado.

Yo de entrada, aunque mi jefe aseguró haber visto sólo una “c”, ya he cambiado las contraseñas. Y no es porque desconfíe de él, ¿eh, jefe?; es porque lo dice nuestro SGSI. Afortunadamente.

¿Lecciones aprendidas? Hagan juego señores.

Comments

  1. Pasa en las mejores familias Alberto.

    Hay que tener infinito cuidado con lo de no estar mirando a la pantalla mientras se ponen contraseñas… ¿cuantas veces no le hemos dado al TAB y hemos puesto en el proyector delante de todo el mundo el nombre de usuario seguido de la contraseña?.

    Mucho ojo!

  2. Pues sí, esto llega a pasar.

    Y creo que una lección es que ¡Nada supera las cosas alámbricas!

    Es bueno que luego de la metida de pata hayas corregido tu error y cambiaras la contraseña, que luego muchos no hubieran hecho eso, valga un diablo las políticas de seguridad de la empresa.

  3. Pues que “mal rollito”, al hecho de que tu jefe pueda estar monitorizando tus pulsaciones de teclas y espiando activamente se une el hecho de comprobar que, cuanto más protegidos, más vulnerables…

  4. Yo lo vi!!

Trackbacks

  1. […] Como lo oyes. Como lo lees. Mi jefe me ha hackeado. Ocurrió la semana pasada. Llegaba yo tarde a una reunión en la que debía exponer. Como es habitual, el servidor de la sala ya estaba en marcha po…  […]