Information Security by me…
"Todos somos muy ignorantes. Lo que ocurre es que no todos ignoramos las mismas cosas." A.Einstein

Jun
09

A falta de tiempo para escribir un post, y gracias al descubrimiento del amigo Daniel Maldonado , al menos dejo aquí la charla que brindé en la edición del 2013 de la única conferencia de hacking que se realiza en Chile y por la cual tengo mucho aprecio, aprovechando que a muchas personas les gustó y me han dado muy buen feedback.

Esta charla fue bastante especial en lo personal, ya que representaba una importante transición en mi carrera profesional, fue mi ultima charla a nombre de Root-Secure (empresa que fundé junto a Ezequiel Sallis y Marcelo Rodriguez en el 2007) para empezar luego a darlas en nombre de ElevenPaths (empresa del Grupo Telefónica cuyo CEO es Chema Alonso y su CTO es David Barroso) donde actualmente me desarrollo como CSA (Chief Security Ambassador).

La charla se tituló “Why our brain is so delicious?” dado que la temática del evento era Walking Dead, y el abstract decía lo siguiente:


“Existen hoy muchas charlas sobre Ingeniería Social, sobre herramientas, sobre técnicas…y de hecho quienes trabajamos en seguridad solemos pensar que ya sabemos todo al respecto.

Pero qué hace que esto sea posible realmente? Controlar la mente, las emociones y manipular a la víctima es fácil cuando la víctima esta distraída o no entiende de que hablamos… qué pasaría si nuestra víctima es una persona preparada? qué pasa si alguien quiere hacernos un ataque a nosotros? Lo lograría? En esta presentación veremos que sí, que todos somos potenciales víctimas y el éxito de nuestro atacante solo depende de su habilidad para saber que punto de nuestro cerebro tocar, que parte de la memoria emotiva llamar o bien, determinar que tema no conocemos para afectarnos directamente y controlarnos.

La magia, la psicología, la neurociencia… todo tiene que ver con un ingeniero social, pero lo más interesante es que probablemente nunca estudió nada al respecto. Cuánto conocemos realmente de esto? Cuánto podemos entender para considerar que la ingeniería social es una técnica de hacking y no una simple estafa?

Mi ponencia trata de tocar la ingeniería social desde una óptica distinta, para que los que trabajamos en seguridad de la información repensemos en los consejos que damos a nuestros clientes y/o usuarios en las campañas de concienciación.”


 

Sin más preámbulos, les dejo el video de la charla, espero les guste y sobre todo les sea útil:

Saludos, @holesec

 

 

Jul
22

Sin duda, este post será algo raro para quienes lo lean porque parte de una situación personal que me ha tocado vivir en estos días, pero a pesar de lo difícil del momento, la pasión por lo que hago me obliga de alguna manera a hablar sobre Ingeniería Social aún, en días así.

A poco menos de una semana para ir a Defcon XX (http://www.defcon.org/), y ansioso como un nene por viajar, estaba junto a mis amigos entrenando para la tercera Hackcup (http://www.hack-cup.com/) en Las Vegas con el objetivo de traer la copa a casa este año (o al menos el gorro de mi amigo el Chema) hasta que, cuando apenas faltaban 10 minutos para terminar el partido, ocurrió lo impensado:

tras esquivar la mortífera defensa compuesta por Nico Waisman, Sebastián Fernandez y como último hombre Martin Tartarelli, intenté abrir la pelota para dejar solo a mi compañero y goleador frente a la valla de Ezequiel Sallis, sin embargo mi pie se afirmó en el suelo mientras que mi pierna intentó seguir el recorrido habilidoso hacia el lateral derecho provocando que mi tobillo sufra una luxación. En ese mismísimo momento, al sentir el estrepitoso “crack” de mi huesos quebrandose y dejando la tibia a solo dos mililitros de la piel salvandose por poquito de ser una fractura expuesta, me dí cuenta que mi viaje y mis ganas de ganar la hackcup se habían terminado en ese segundo

  IMG_0118.jpg    

Imagen del día con mi pie en su lugar esperando mi operación. Go Cosmic Kites, go!!

Casi como en una pesadilla eterna al estilo Freddy Krueger, vi mi pie totalmente fuera de lugar y sentí un dolor realmente insoportable mientras escuchaba como mis amigos me consolaban y llamaban a la ambulancia que vino “rapidamente”, tardó nada mas que una hora y media desde que llamaron inicialmente. Una vez en la ambulancia atendido por un doctor y un camillero que al ver el cuadro decidieron no tocarme hasta llegar al hospital para evitar un sufrimiento mayor (y se los agradezco muchísimo), durante casi media hora estuvimos sin movernos de la puerta de la cancha porque no le asignaban destino hasta que finalmente escuché el sonido que les indicaba que hacer…Eran unas pocas cuadras hasta la clínica pero el movimiento de la ambulancia retumbaba en mi tobillo salido de lugar y fracturado de una manera indescriptible, y al bajarme de la ambulancia ingresamos a la sala de guardia donde estuve otros 40 minutos sin ser atendido hasta que vino una doctora que me trajo mucha tranquilidad. Cuando la vi, lo primero que le supliqué es que me anestesiara y después que haga lo que quiera, y ella me contestó contemplativa:

pero parece mentira, todos caen a la guardia a la hora de comer, no lo puedo creer” y continuó: “no te puedo dar nada cachorro, no me dejaron en la guardia ni una lapicera ni un recetario, yo no soy administrativa, no puedo hacer mi trabajo si no me dejan las cosas que necesito…”   

Creo que no es necesario seguir describiendo como me fue con esa doctora quien luego de una placa y otra hora de tiempo, me acomodó sin anestesia alguna mi pie en su lugar… En ese momento de intenso dolor recordaba anécdotas de otros jugadores que contaban que el dolor se aflojaba con el tiempo, pero también recordaba anécdotas que contaban lo contrario. En mi experiencia última, y después de tanto tiempo de sufrimiento sin anestesia, puedo decir que el dolor era constante y fuerte, no aflojaba, pero lo que sí cambió desde el momento cero hasta la segunda vez que me acomodaron el tobillo (un excelente equipo de traumatólogos en el quirófano de la misma clínica, con una atención realmente excelente), fue la percepción de lo que sucedía a mi alrededor y sobre eso decidí escribir hoy.

Al momento inicial del golpe, solo unas cuestiones pude observar y otras no puedo ni recordarlas (recuerdo por ejemplo las caras de susto de quienes estaban conmigo, la desesperación por querer ayudarme de Paolo y Jorge y no saber que hacer con la ambulancia que no venía, el flash de una cámara de fotos de un curioso, etc.). Sin embargo, desde que entre en la camilla al hospital, algunas cuestiones de más trascendencia se quedaron en mi cabeza:

1) Al ingresar con la camilla, no había nadie de la clínica para recibirme y el camillero me traslado directo y por su cuenta  (tras preguntar y no tener respuesta) hasta la puerta donde me atenderían. Puede parecer normal, pero si ese ingreso mío y el de todas las personas que me acompañaron implica estar “dentro” de la clínica y moverse por cualquier lado sin ser identificado (absolutamente nadie le pidió a los que me acompañaron que se identifiquen o registren en ningún momento), esto ya se convierte en algo un poco más complicado. Increíblemente, desde donde estábamos podíamos acceder a cualquier lugar de la clínica sin ningún problema…

2) Mientras esperaba ser atendido por la doctora que no me podía dar un calmante porque no tenía papel ni lapicera para escribir, estaba en una sala (tipo consultorio) donde los doctores cuentan con una PC conectada en red. Desde mi camilla podía observar que la doctora accedió a ella para completar datos sobre el paciente (sobre mi) en un sistema bastante precario del tipo historia clínica digital, y a su vez, cada vez que se retiraba para ir a atender a otro paciente dejaba sin bloquear la estación de trabajo. Claro que ustedes pensaran que en mi condición mucho no podría hacer, pero cualquiera de todos los que me habían venido a acompañar y no estaban registrados, sí podrían…De hecho, todos entraban a conversar conmigo al pequeño consultorio durante un rato y luego salían, se sentaban o se quedaban parados junto a mi, o junto a la PC…

3) Mi familia, intentaba conseguirme un traslado a otra clínica de mayor confianza donde suelo atenderme mientras me acomodaban la luxación, para que la operación sea realizada con mayores garantías, pero lo interesante es que increíblemente, el personal de administración que no tenía muchas ganas de trabajar ese día, decidió darle un teléfono de un mostrador, le indicó como tomar línea en la central y se fueron dejandolos solos para todos los llamados y trámites. Independientemente de la falta de acompañamiento para la situación, pensemos con un poco de maldad, que pasaría si quiero llamar a una víctima haciendome pasar por un empleado de la clínica?? Qué me mejor que llamar desde la clínica misma??

En muchas charlas hice hincapié en la planificación de un ataque de Ingeniería Social, y de hecho e insistido sobre la importancia de la observación porque por lo general siento que no se le da el valor real que merece.   

Este post tiene por objetivo mostrarles que la observación constante es un hábito, es mirar más allá independientemente de la situación que estemos viviendo, más allá del dolor de la situación…   

Si tuviera que hacer un pentest utilizando ingeniería social contra esta clínica, solo debo hacerme pasar por un enfermo que necesita ser atendido por guardia a la hora de la comida (creo que la parte de la luxo fractura no es necesaria para las pruebas XD ), aprovechar los grandes descuidos para comprometer la estación de trabajo de la guardia (para obtener información de los pacientes y supongo que también de los empleados de la clínica) con un pendrive o directamente sentado en el equipo, o utilizar el teléfono de la misma clínica para llamar a algún médico y solicitar determinada información que pueda comprometer a la clínica.

Recuerden que las circunstancias para un ataque de ingeniería social no siempre son las adecuadas para el atacante, pero si tiene malicia, solo debe esperar la oportunidad. Nosotros para defendernos tenemos un camino largo por recorrer, porque todas las personas formamos parte, incluso aquellas que no están “digitalizadas” que no pasan todo su tiempo detrás de una computadora o de un escritorio, y que no entiende de estos riesgos como nosotros.

Para cerrar este post, les comparto que me resulta entre triste e increíble, pensar que estemos hablando sobre Protección de Datos Personales en algunos ambientes y se auditen empresas que tienen datos poco importantes sobre sus clientes, y que no estemos trabajando (obligando) a quienes tienen los datos realmente sensibles, como ser los de salud.

Y por último, un mensaje a mis compañeros de los Cosmic Kites: Traigan la copa a casa!!! Saludos a todos los viajeros a Defcon XX, los voy a extrañar!

Jul
13

En el mes de Abril de este 2012, me ha tocado vivir un desafió más que interesante, he sido invitado a participar de un TEDx como orador representando a ISSA Chapter Argentina. Como gran admirador de este tipo de eventos, el nerviosismo que viví realmente es difícil de comparar con otras experiencias.   

A su vez, tratar de explicar en tan solo 18 minutos algo que me apasiona tanto y que estudio desde hace muchos años, como es la Ingeniería Social, les puedo asegurar que no fue para nada sencillo. Sin embargo, la pasé peor cuando Gerry Garbulsky ( @garbulsky ) me pidió que se lo explique en tan solo 30 segundos antes de dar la charla 🙂

Aprovechando que hace unos días se publicó on-line mi charla, llamada “De las Emociones a las Experiencias” quería compartírselas para que puedan verla deseando que realmente les guste:

Quiero aprovechar para sugerirles que no se pierdan la oportunidad de ver grandes charlas de muy corta duración con experiencias realmente increíbles y de personas realmente sencillas que comparten cosas muy cercanas a las nuestras:

http://www.tedxutn.org/talks-2/

Más sobre el evento

TED (Technology, Entertainment, Design) es un evento que nació en 1984 de la mano de Richard S. Wurman y Harry Marks aunque cuenta con una edición anual desde 1990. Esta conferencia es ampliamente conocida tanto por el formato como por sus exponentes en temas tan variados que incluyen arte y diseño, ciencias en general, política, educación, tecnología, medio ambiente, cultura, etc. etc..   

El formato tan peculiar hace que sus charlas (conocidas como TED Talks) sean un punto disparador de ideas, cuestiones concretas, con humor y sin humor, con disertaciones que carecen de introducción. Cada charla va directo al punto clave, no parte desde el típico punto de la agenda como “Introducción” o “Estado del Arte”, ni tampoco se pierde tiempo en cuestiones como la presentación del orador… Quien da su TED Talks cuenta con un tiempo fijo, charlas de 5, 11 o 18 minutos para dar su idea completa y despertar algo en la cabeza de los que asisten.

El evento original dura 3 días y ha contado con la participación de ex-presidentes de EEUU, ganadores del premio Nobel, y hasta incluso con personas relacionadas con IT como Bill Gates o Larry Page. Sin embargo, ante la publicación de las TED Talks en Internet a partir del 2006 y la explosión de algunas charlas como la de Sir Ken Robinson ( http://www.ted.com/talks/ken_robinson_says_schools_kill_creativity.html ) , la organización de la mano de Cris Anderson decidió en el 2009 vender los derechos sobre el formato del evento para que puedan ser realizados localmente por organizadores independientes. Estos eventos locales se conocen como TEDx, los cuales son independientes en su organización, de un día de duración y totalmente gratuito para los asistentes.

En Argentina contamos con varias ediciones TEDx, las primeras fueron TEDxBsAs ( http://tedxbuenosaires.org/ ) y TEDxRioDeLaPlata ( http://tedxriodelaplata.org/ )como las más grandes, sin embargo existen varias que se han ido formando y una de ellas fue organizada por la UTN-FRBA ( http://www.tedxutn.org ) de la mano de integrantes (alumnos y autoridades) de la misma Universidad ( http://www.tedxutn.org/equipo/ ).

Ago
29

Como lo prometí en twitter, vamos por una nueva historia pero esta vez relacionada con pasajes en avión…

Tanto mi trabajo actual como los anteriores, me han permitido viajar mucho por el país y por Latinoamérica en general.   

Normalmente, dependiendo del aeropuerto, los controles de seguridad a la hora de abordar el avión son más o menos exigentes, pero siempre se ven un mínimo de controles por los que debemos pasar, como por ejemplo aquellos relacionados con la identificación del pasajero y con el equipaje de mano (no sea cosa que secuestremos el avión).

En una época de viajes de cabotaje continuos, me sorprendió más de una vez que al ir a AEP y registrarme, me daban tanto el pasaje de Ida como de Vuelta (actualmente sigue ocurriendo). Sin embargo, la primera vez que lo recibí lo tomé como algo natural ya que supuse que igualmente al presentarme al aeropuerto para mi regreso, me solicitarían mi DNI para identificarme. Para mi sorpresa, nunca me lo pidieron, y recuerdo que ese día directamente ingrese hasta la puerta de salida del avión.

Prestando atención a cada detalle del proceso, y esperando tanto que al momento de entregar el pasaje lo pasen por un scanner de código de barras para verificar si era o no el pasaje correcto, como que me soliciten el DNI para verificar si era el pasajero correcto, me lleve una segunda sorpresa: No lo hicieron, solo recortaron el boarding pass, lo apilaron y me dieron el talón.

Recuerdo que ese viaje de regreso a casa no pude dormir pensando en lo que había vivido, algo en el proceso estaba fallando definitivamente…pero será tan así?

1) podré realmente viajar gratis?

2) es posible que el viaje de Ida lo haga una persona y el de regreso una distinta?

Fue así como todo empezó. Viendo que vuelo tras vuelo al interior con la misma aerolínea (la cual, por cierto, en dicho momento sufría muchos conflictos internos), decidí probarlo por mi mismo con el webcheck-in.

Lo primero que hice fue armar el modelo del boarding pass que se imprime al realizar el webcheck-in, y tenerlo preparado en mi pc como para adaptarlo según mis necesidades.

Lo segundo, compré un pasaje tal como lo hago normalmente (sí, compré, solo quiero probar el proceso no cometer una estafa). Luego me dirigí como era habitual a realizar el check-in en el aeropuerto, y como venía ocurriendo anteriormente, me dieron en mano el boarding pass de Ida y de Vuelta (claro está que para mi prueba el de regreso no pensaba utilizarlo), luego de eso viajé a mi destino.

El día de mi regreso, unas horas antes del vuelo llamé por teléfono a la aerolínea para asegurarme si realmente salía mi avión, y de paso para comenzar con mi prueba.     En el llamado consulté si había disponibilidad en el vuelo que saldría en horas para 5 pasajeros con destino a Bs As., y afortunadamente para mi, la respuesta fue afirmativa.

Porqué consulté por 5 pasajes? porque suponiendo que lograse pasar el control del aeropuerto y subir al avión, mi prueba se vendría abajo si no tengo lugar donde sentarme… sería obvio que algo raro estaría ocurriendo, así que para evitar inconvenientes, pregunté a ultima hora por varios asientos ya que la probabilidad de que todos se ocupen sobre el final es realmente baja en condiciones normales (una condición anormal sería por ejemplo cuando estamos tratando de encontrar pasajes luego de días suspendidos los vuelos por cenizas, paros, etc..).

Con el dato de la disponibilidad, modifiqué mi formulario de webcheck-in completando los datos del vuelo y número de asiento. Pero qué número de asiento usar? Cualquiera, ese dato seguro nunca se comprueba al subir al avión de lo contrario nunca tendríamos problemas con los vuelos sobre-vendidos y los asientos que se disputan por la duplicidad de las ventas… Para nosotros sólo es necesario buscar el modelo del avión en Internet y así saber la distribución de los asientos y evitando poner un número de fila o letra que no existan.

Luego de imprimir el formulario (y con el boarding pass original en mi bolsillo por las dudas), me presenté al aeropuerto y pasé el control inicial hacia la puerta de abordaje sólo mostrando el papel impreso (como ya mencioné, no verifican identidad en ese punto).    Aguardé en la sala de espera hasta el llamado de abordar de mi vuelo (retrasado como de costumbre en esa época) y con mucho cuidado me posicioné de manera de poder ver la maniobra de quién pedía los boarding pass.

Como nada había cambiado con respecto a mis observaciones anteriores, esperé a que la mayoría de la gente ingrese, cuando sólo quedaban unos pocos en la sala, pasé entregando el formulario impreso… para mi suerte, no se verificó.    

Ya estaba adentro, sin dejar que los nervios me traicionen continué con mi plan, esperé en la manga a que quienes habían ingresado detrás de mi se adelantaran de manera tal que al entrar al avión sea de los últimos y pueda visualizar fácilmente que asientos estaban libres para poder ocuparlo (aunque como también tenia mi pasaje me podía sentar en ese asiento, pero la prueba no sería real).

Lo que pasó luego es muy sencillo, es igual a cualquier viaje, el avión despegó y aterrizó en destino, me bajé y como no despaché equipaje salí del aeropuerto muy tranquilo.

A los días me comuniqué con la aerolínea, les comenté del tema y ellos me aseguraron que era imposible, que existe un control extra luego de que todos los pasajeros suben al avión, donde se verifica que todos los pasajeros estén arriba.     Luego de varias, varias conversaciones, y entendiendo que no estaba buscando ninguna “recompensa” por el hecho, que sólo quería informarlo para ser corregido, buscaron los registros y compararon con mi copia del formulario impreso para verificar que realmente había viajado sin el boarding pass que me había sido entregado en el aeropuerto donde se inició mi viaje…

La investigación fue profundizada por el equipo de seguridad interna y por auditoría de la empresa para ver por que había fallado el proceso, y el resultado fue que muchos de los responsables del último control descripto, ante el apuro de los vuelos atrasados, el nerviosismo de la gente, el malestar por los conflictos de la empresa, etc. etc. sólo verificaban que concuerden la cantidad de boarding pass con la cantidad de personas que abordaron el avión, y no si los boarding pass eran los verdaderos. Y lamentablemente esta situación se había convertido en una práctica bastante habitual.

Por esto fue posible realizar mi viaje con un falso webcheck-in.     Según tengo entendido y por lo que pude ver en mis viajes posteriores, esto en dicha aerolínea se ha corregido, se que han trabajado mucho en el tema pero sobre todo en un proyecto de responsabilidad y concienciación…   Así que si están pensando en probarlo, no se los recomiendo!

Reflexión: Igualmente, si bien mis dos preguntas originales tenían una respuesta afirmativa, la primera de ellas ya estaría corregida, siendo que comprueban el boarding pass, esta claro que no podría haber una persona extra en el avión ni una persona menos, porque estaría directamente asociado a un nombre y apellido gracias a la verificación del código de barras. Sin embargo, al momento sigo observando que no se solicita al regresar, la identificación del pasajero en ningún momento (mi segunda pregunta).   Es decir, que aún hoy podría viajar en avión a un lugar X dentro del país y con mi pasaje podría volver otra persona diferente, pero lo que más me preocupa de esto es que para la justicia sería yo quien regresó…raro no?

Conclusión:   Podemos poner controles tecnológicos en cada puerta de entrada y verificar su seguridad una y otra vez, pero cuando el proceso depende de las personas seguro tenemos un punto de falla.     La Ingeniería Social se basa en la observación, en la búsqueda, en el análisis de como se comportan y trabajan las personas; con que se distraen, con que pueden caer en la trampa, pero sobre todo muchas veces es cuestión de buscar oportunidades…

Prestar atención a los detalles y aprovechar las oportunidades.

Mar
04

Como usuario, uno siempre supone que este tipo de entidades son las que mas han trabajado en temas de seguridad en los últimos años.   Como consultor, estoy bastante seguro que así es, sin embargo nadie nos contrata para suponer, sino para demostrar la efectividad de los controles existentes.

Hace tiempo atrás, me toco trabajar en un proyecto muy interesante:

“Evaluar si las campañas de concienciación desarrolladas anteriormente habían sido efectivas o no dentro de un banco.”   

En las reuniones con los responsables de seguridad, me definieron qué personas no querían “tocar” en las muestras (básicamente ninguno de los directores, ni al jefe de mi interlocutor…).

Lo malo de esta definición, es que la muestra no termina siendo real aunque es comprensible que así se haga (nadie quiere quedarse sin trabajo por contratar un análisis de seguridad). En cambio lo bueno de estas definiciones tan abiertas, es que tengo una gran variedad de victimas para elegir.

Luego de estudiar la información de la campaña realizada y ver las estadísticas de RR.HH. que indicaban que el nivel de conciencia en los empleados respecto a la seguridad de la información, había “aumentado un 93%” (vaya uno a saber como midieron eso), decidí que era hora de plantear algunos escenarios:

1) Atacar a los usuarios claves (tesoreros, RR.HH., comercio exterior, etc.), con un golpe certero, logrando así obtener información concreta.

2) Atacar a los usuarios técnicos (admin, soporte, desarrollo, etc.), logrando así obtener información que me permita comprometer equipos, o servidores o aplicaciones.

3) Atacar a los usuarios mas descuidados por la entidad, logrando así menor cantidad de información pero pudiendo trabajar con mayor tranquilidad una vez comprometidas las victimas.

De los tres planteados, decidí quedarme con el ultimo debido a que consideré que seria el mas acorde para cubrir el objetivo inicial del proyecto (medir la efectividad de las campañas de concienciación). Ya seleccionado el escenario, plantee una de mis suposiciones mas comprobadas en mi experiencia personal:

– Las campañas de educación, concienciación y/o entrenamiento, normalmente son mas intensivas en las sedes centrales que en las sucursales del interior del país, sobre todo si ellas se encuentran en ciudades chicas, con pocos pobladores y por ende, pocos empleados…

Lo primero que hice fue revisar el mapa de sucursales de la entidad en el interior para luego con la ayuda de internet (y confieso que de algunas enciclopedias en papel también), buscar los 6 pueblos que se adaptaban en primera instancia, tanto a mi escenario como a mi suposición.

Con las sucursales mas chicas identificadas, comencé a realizar unos llamados preliminares para conocer el perfil humano de las víctimas haciendo consultas referidas a créditos, prestamos, etc. etc…

Acompañando estos llamados, trabajamos en la etapa de Information Gathering averiguando nombres de las personas que trabajan en las sucursales, números de teléfono directos y sobre todo las cuentas de mails a las cuales les enviamos publicidades con paginas falsas controladas por nosotros solicitando credenciales y evidenciando que la campaña sobre el tema phishing no había sido taaannn efectiva…

Finalmente, la víctima de las pruebas on-site fue seleccionada, una sucursal al norte de la Argentina (bien al norte), en un pueblito con no mas de 3000 habitantes en la zona urbanizada (en ese momento) y 8 personas en la sucursal, realmente todas ellas muy amables.

Como parte de la etapa de planificación, envié a estampar 10 remeras blancas con el logo de la entidad en un solo color (no era necesario mas colores, y además no me aprobaron el presupuesto para mas de uno) tomé mi auto y junto a mi compañero de trabajo, nos dirigimos al pueblo luciendo nuestras remeras recién estampadas.

Viajamos durante casi un día entero, pero cuando llegamos estacionamos el auto en la puerta de la sucursal poco antes de las 8:30 de la mañana y para nuestra alegría, dos personas que trabajaban allí salieron a recibirnos alegremente. Este particular hecho, se debió a que minutos antes, otra persona de nuestro equipo llamó por teléfono a la sucursal y habló con el responsable de la misma, indicándole que un par de personas del departamento de sistemas de casa central estaban haciendo tareas de mantenimiento en la región y pasarían por el pueblo para dar una charla, trabajar con los equipos por requerimiento de auditoria interna, y además entregar unas cosas del área de marketing, a su vez hizo hincapié en lo importante que es para auditoria interna y la dirección que todos participen de la charla.

Una vez dentro de la sucursal, tomamos un café y circularon algunos mates mientras preparábamos la sala de reunión para el curso. Y antes que en la sede central se pongan a trabajar (a las 9 hs), ya había logrado reunir a todo el personal de la sucursal en el aula, por lo que hice lo que debía hacer: comencé a dictar una charla de concienciación en seguridad de la información con videos divertidos y juegos entretenidos.

Para aprovechar el tiempo de nuestra corta visita, mi compañero directamente comenzó a trabajar con cada computadora de la sucursal mientras sus dueños seguían atentos mi charla.

Claro esta que mi compañero cada tanto interrumpía mi planificado y armonioso curso para hacer consultas a determinados usuarios, del tipo:

– Sabes que estamos cambiando algunos de los servidores, pero para terminar de configurar necesito ingresar con tu cuenta SAP, me pasas la clave así no te interrumpo el curso??

u otras del tipo:

– se me bloquea tu pc cada 10 minutos, porque no me anotas tu clave de red para no tener que venir a buscarte a cada momento.

La maquina elegida para comenzar (y a la que mas tiempo le dedicamos a la captura de evidencias) fue la del responsable de la sucursal, por lo cual obtuvimos algunos archivos interesantes, instalamos un troyano, revisamos autorizaciones en el sistema de gestión, accedimos al CV del personal, accedimos a su correo, estuvimos en condiciones de dar autorizaciones en el sistema, etc. etc. que no creo sea necesario seguir especificando.

El tiempo que tuvimos no fue demasiado, fue solo casi 1 hora 30 minutos lo que duro ya que a las 10 comenzaba la atención al publico y debían abrir las puertas de la sucursal,

Como teníamos el control absoluto de la sucursal en el rango horario de las 8:30 a las 10:00, mi compañero se encargo de tomar el control de la central telefónica de una marca conocida que empieza con Pana, por lo cual cualquiera que llamara a cualquiera de las líneas del banco, se encontraría con el tono de “línea ocupada”. Los celulares pudieron haber sido un mal para nosotros…pero el inhibidor de celulares que usábamos para otras tareas, nos fue de mucha utilidad dentro de la sala, ya que tan solo necesitaba cubrir un par de metros cuadrados y sobre todo no era visible, aunque si era considerable el peso en mi bolso…por suerte nadie me pidió revisarlo.

Creo que el punto quedo claro, una vez mas: Game Over.

Concientizar, no es solo dar una charla, ni poner un cartel en la cartelera o la intranet. Es transmitir un mensaje y que el mismo sea internalizado por el remitente de manera que sus acciones preventivas se conviertan en un habito.

Conclusión principal: en los proyectos de concienciación, es sumamente importante involucrar a “todo” el personal de la empresa, no solo a los que están en las ciudades principales, ni solo a los que manejan información sensible.

Conclusión secundaria: lo bueno de hacer estas pruebas fuera de las grandes ciudades, es que la atención es realmente muy buena y hacen nuestro trabajo de consultoría mucho mas satisfactorio (se que parte del personal de la sucursal lee el blog, así que les mando un gran abrazo y sepan que los troyanos instalados fueron desinstalados remotamente al segundo día de la prueba 🙂 )

Espero les haya gustado esta nueva anécdota, y sobre todo que hayan entendido el mensaje  

Ene
22

A pedido de mi ahijado, continuo con otra anecdota de Ingeniería Social pero esta vez en un banco.

Durante un test de intrusion a un cliente, en particular un Banco, se nos solicito realizar diferentes pruebas de Ingeniería Social. Una de ellas, consistia en ingresar fisicamente al edificio central y tratar de llegar hasta las oficinas del Gerente.

Antes de diseñar el ataque, decidi verificar como eran los controles del lugar visitando al Jefe de Seguridad de la Información, con la excusa de mostrarle el avance del test de intrusion externo e interno que estábamos llevando a cabo. Podia haber elegido al Jefe de Tecnologia para mostrarle algún nuevo producto, al de RRHH para mostrarle un plan de capacitación para el personal…cualquier excusa y cualquier contacto dentro del edificio hubiera servido.

Al llegar al edificio, a las 8 am en punto, me encuentro con personal de seguridad fuertemente armado en la puerta que me detiene, y me redirige al edificio vecino en busca de una acreditación. Al ir al edificio vecino, me encuentro con que la entrada no era muy diferente al anterior, dos hombres armados me abren una puerta de vidrio, detrás de la cual había un pequeño mostrador con un señor registrando a los visitantes. Muy amablemente, le comente a este ultimo que venia a visitar al Jefe de Seguridad de la Informacion, y que tenia una reunion con el.   

El señor, me pidio mi identificacion y me dio una tarjeta de acceso.   Mientras estaba esperando, observe un detalle no menor, el hombre aun tenia puesto el abrigo, es decir que acaba de ingresar a su puesto de trabajo.

Con mi tarjeta en la mano, me dirigi al edificio original, al que debía ir, y al tratar de entrar, la misma persona de seguridad que al principio no me dejo entrar, me volvió a frenar, tomo mi tarjeta, abrió la puerta con ella y llamo a otra persona de seguridad que me acompaño en el ascensor hasta las oficinas.   

No puedo obviar contarles que al salir del ascensor no había ninguna oficina abierta, todas estaban cerradas con puertas y controles de acceso biometricos. En el pasillo solo podían verse algunas plantas y algunas impresoras de red, esas multifunción grandotas. Otro detalle importante, es que apenas se sale del ascensor, hay un cartel indicando que oficinas se encuentran en el piso, cuales a la derecha y cuales a la izquierda. A su vez, también observe las puertas de las salidas de emergencia, vecinas al ascensor, estaban abiertas (quizás porque muchos las usan para ir a fumar en esos lugares).

Finalmente, ingrese a la oficina del Jefe de Seguridad y me reuni con el. Mientras conversaba, note sobre su escritorio que tenia regalos de un proveedor, por lo que al salir investigue que relación tenia el Banco con esta empresa de servicios, y descubrí algo maravilloso: La empresa de servicios brinda outsourcing de Seguridad desde hace casi 4 años con el Banco.

Entonces, ahora si. A planificar el ataque.

Primero seleccionar quien seria el Ingeniero Social, para este caso donde son tantos guardias armados, la mejor opción fue elegir a una mujer… Converse con una de mis consultoras y la asesore sobre cada uno de los controles y como evadirlos:

Primero y principal, el personal de seguridad del edificio 2, entra a trabajar a las 8 am. . Pero que sucede si tenemos que entrar antes de ese horario?  Así que le pedi que se presente antes del horario, a las 7:30 am.   

Nuestra consultora se acerco y le indico a las personas armadas que debía ver al Jefe de Seguridad. El guardia pregunto de donde venia, para lo cual, la consultora de mi equipo saco una tarjeta impresa por nosotros el dia anterior, donde se podia leer su nombre y supuesto cargo, junto a los logos del proveedor que habíamos detectado…

Como el guardia de seguridad vio el logo conocido, le dijo:

“Mire, no la podemos registrar porque aun no llega mi compañero, pero igualmente pase por aquí…”

y abriendo la puerta la dejo entrar en el ascensor, donde el otro guardia esperaba. Este ultimo, la llevo hasta el piso del Jefe de Seguridad, y cuando estaba por bajar, nuestra consultora le dijo:

“…no se preocupe buen hombre, conozco el camino, vengo seguido…yo les golpeo la puerta.”

a lo que el guardia respondió sonriendo y permitiendole bajar del ascensor (definitivamente, fue una buena idea elegir una mujer para esta tarea).

Nuestra consultora primero recorrió el piso observando que había en cada impresora de red como le había indicado, y con su teléfono celular (una blackberry, tomo fotos de algunos documentos y otros los guardo en su cartera), obviamente se encontró con algunos documentos “poco importantes” : el mapa de red, el estándar de seguridad de los servidores Unix, etc etc…

Luego utilizo las puertas de las salidas de emergencia para moverse entre pisos, ya que como era de esperar, estaban abiertas…y así llego al piso indicado por un cartel como: “Oficinas del Directorio”, como creyó que era un buen lugar para quedarse, se quedo.

Su rol ahora, debía cambiar, por lo cual le indique que cuando hable con la secretaria del Gerente, se presente como personal de soporte del proveedor de servicios y que debíamos revisar su estación de trabajo (para ello presento otra tarjeta impresa por su nombre donde solo cambiaba el puesto en relación a la anterior). Nuestra consultora siguió al pie de la letra las indicaciones y la respuesta de la secretaria fue encantadora, le dejo su PC para que tome los datos necesarios, le permitió colocar un pendrive e instalar un programita “para hacer mas rápida la maquina” y finalmente, le ofreció abrirle la puerta de la oficina del Gerente y acceder a la PC con la clave del director que ella misma conocía, para solucionarle los problemas al jefe…

Podemos decir en este preciso punto: GameOver

Lo curioso de este caso, es que los controles era fuertes, pero se debilitaron ante una supuesta reunion fuera de horario, una tarjeta de presentación falsa (bueno, dos) y la amabilidad del Ingeniero Social. Tanto las armas de fuego, como las personas de seguridad, o hasta el mismo control biometrico dejaron de ser efectivos debido a la falta de concientización del personal.

Nov
30

Continuando con estas anécdotas, me toca ahora un hotel de Chile.

En uno de mis viajes por trabajo, me encontré con un amigo de hace muchísimos años, cuando incluso yo recién empezaba en el mundo del hacking…él por su parte siguió una carrera un poco diferente: medico.

Después de hablar rato y tendido sobre viejos tiempos, me pregunto que era eso de la Ingeniería Social, porque varias veces había escuchado a otros amigos en común, mencionar este termino y definirlo como algo que a mi me apasionaba mucho… Entonces, decidí explicarle con algunos ejemplos prácticos.

Le pedí que viniera al día siguiente al hotel, cerca de la hora de finalización del desayuno, y que entrara derecho a los baños de planta baja. Le dije:

“hace de cuenta que estas entrando a tu casa, por lo cual pasa como si ya hubieras saludado a todos mas temprano.”

“Si alguno te mira fijo, sonríe y saludalo, pero no aminores el paso, si dejas de caminar te va a preguntar algo, si te ve apurado, no.”

“Quédate unos minutos en el baño y luego salí, de igual manera anda al salón donde se sirve el desayuno y sentate conmigo, yo estaré esperando.”


La capacidad de sonreír, despierta simpatía en las emociones de los demas, pero hay que saber comprender cuando es necesario que la misma se muestre pasajera y cuando se debe usar para mantener un dialogo. Si no queres que te pregunten, no te quedes ahí esperando la pregunta.

Mi amigo, un poco temeroso, pensando que iba a ir preso por robar un banco, siguió los pasos al pie de la letra hasta sentarse a mi lado. Nervioso esperaba instrucciones, así que decidí calmarlo y le pedí que desayunara tranquilo, que luego le seguía explicando.

A los pocos minutos, un empleado del hotel se acerca a nosotros en la mesa con una carpeta en la mano y me pregunta por mi habitacion…con cara de circunstancia, como si no hubiese entendido, me levante y me acerque a él pidiéndole que me repita la pregunta, el senor muy amablemente repitió la pregunta inclinando la carpeta hacia mi mientras hablaba. En ese instante pude observar cuales eran las habitaciones marcadas (las que ya habian desayunado, casi todas por el horario) y simplemente repetí una de ellas, agregando la frase simpatica del dia:

“…los demás ya bajaron, pero yo me quede durmiendo un poco mas. Que trabajen ellos, de vez en cuando les toca..”

a lo que el empleado respondió sonriendo y se retiro. Mi amigo no entendia nada, hasta que le mostre que mi llave era de otra habitación.


Lo evidente se hace invisible a los ojos del desesperado. No ocultes las situaciones, hacelas absurdamente evidentes para poder lograr disimularlas entre los distraídos.

Solo para continuar con la explicación, terminamos de desayunar y nos fuimos a caminar por el hotel… pasamos por la pileta, luego por el gimnasio, y hasta incluso subimos a los pasillos de las habitaciones, nos encontramos con el personal de limpieza, y simplemente fuimos viendo donde estaban ubicados los Access Point, las cámaras de Seguridad, los lockers, etc etc…

Diseñar un ataque requiere de paciencia para planificar, de una dedicada observación de los controles a evadir, y sobre todo de saber manejar las propias emociones para evadir cualquier dificultad mientras se realiza un reconocimiento.


En la mayoría de los casos, la Ingeniería Social es el primer paso de un ataque,

mas bien relacionado con las tareas de Inteligencia, no tanto con el ataque en si mismo.

Nov
30

Un amigo mío, desde hace un tiempo me viene pidiendo que escriba algunas de mis anécdotas relacionadas este tema, y por cuestiones de trabajo siempre fui dejando pasar el tiempo… En esta oportunidad he decidido escribir sobre Ingeniería Social pero clasificando las historias en base a las situaciones o lugares donde ocurren, y hemos de comenzar por los hoteles.

Qué nos puede resultar interesante de los hoteles? La gente, sus cosas, entender la ineficacia de ciertos controles y sobre todo entender que concientizar en seguridad, es y será sumamente complicado pero no por eso debemos bajar los brazos…mas bien, todo lo contrario. Comencemos:

Hace unos años atrás, estaba dando una conferencia en Quito, Ecuador, en un hotel de primera linea (esos que están por todos lados y hasta tienen puentes). El día previo a la conferencia, me registre en el hotel y subí hasta mi habitación, observando algunos de los controles del lugar, como hago por costumbre:

+ Personal de Seguridad en la entrada y en el Hall

+ Personal de Seguridad vestido de civil y simulando ser un cliente en el bar.

+ Cámaras de Seguridad en todo planta baja, en los bares, en los salones de conferencias, pero no en los pisos de las habitaciones ni donde se sirve el desayuno.

+ Tarjeta Magnetica para el ingreso a las habitaciones.

+ Ascensores con lector de Tarjeta Magnetica, de manera que si no tengo tarjeta no puedo subir a las habitaciones.

Y algunas otras cosillas que no vienen al caso. Luego de acomodar mis cosas, decidí que era hora de dar unas vueltas por el hotel y ver que pasa.

Mi primer objetivo era verificar si el personal de Seguridad encubierto era real o no, o simplemente se trataba de mi imaginación, así que decidí ir a ver las cámaras de planta baja cerca del bar donde él se encontraba. Con mucho cuidado, sin llamar la atención con movimientos bruscos y con cara de distraído me acercaba a las cámaras y las miraba desde abajo simulando tomar nota de la misma, pero en realidad en mi hoja, solo armaba un dibujo absurdo de dichos dispositivos (esto es para tener una excusa de escape, ya que si anoto las marcas y modelos se me dificultaría la justificación).

El movimiento siguiente era simple, colocarme debajo de las cámaras y mirar hacia donde apuntaban, como si estuviera observando la amplitud visual de la misma. Como era de esperar, todo mis movimientos fueron seguidos con la atenta mirada de mi sospechoso, quien intentaba disimular la situación leyendo el diario, hablando por teléfono, caminando hasta la barra… De repente, sucede lo esperado: toma su teléfono celular y mirando el diario realiza una llamada, habla en vos alta y dice algo así como:

“Si por supuesto mi amigo, yo también iría al norte a ver si encontramos buen tiempo”.

Casualmente, en menos de un minuto, incluso antes de terminar su conversación telefónica, aparece un guardia de seguridad del hotel caminando hasta donde me encontraba (al norte del salón) y muy amablemente me saluda haciendo notar su presencia (que por cierto era mas que obvia con sus casi dos metros de altura). Mientras lo saludé y le comenté cosas interesantes como:

“…que tranquilidad….siempre es un placer venir a este hotel…me hace olvidar de todos los problemas del trabajo…”

intentando hacerle creer que era uno de esos clientes recurrentes, no dejé de mirar que cosas hacia mi amigo sentado en el bar, quien no podía con su genio y mientras “conversaba” por teléfono (ya no en vos alta) miraba por encima de su hombro el dialogo entre su “colega” y yo.   

Es muy importante, que un Ingeniero Social analice cada situación antes de actuar y que trate de encontrar los puntos de defensa ocultos, por lo general son controles del tipo compensatorios.

Luego por la tarde, decidí probar como era eso de subir sin tarjeta… imaginense que no costo mucho esfuerzo, simplemente me quede en el Hall del hotel simulando hablar por teléfono, cuando de repente llego un grupo de huéspedes del hotel que fueron a tomar el ascensor, así que simplemente me subí detrás de ellos, con mi teléfono en una mano y con la otra “buscando” la tarjeta. Obviamente, uno de los huéspedes saco la suya, la paso y marco el piso 8…

Una de las características del Ingeniero Social de la vieja escuela, es la capacidad de reconocer controles ineficaces y verificarlos sin llamar la atención y mimetizarse con el entorno.

La tercer prueba, fue a la mañana siguiente, antes de la conferencia. Salgo de mi habitación y voy a desayunar, al finalizar vuelvo en busca de mi mochila con mi notebook…pero antes de continuar con el relato, es necesario destacar algo de la habitación:

Al abrir la puerta, uno entraba en una especie de pasillo, donde a izquierda, apenas entrabas a la habitación, se encontraba el baño, y al final del pasillo se podía ver un escritorio con su silla, donde yo había dejado mi mochila, es decir que desde la puerta, podía verla sobre la silla.

Volviendo a la historia, cuando voy al piso de la habitación en busca de mis cosas, veo que la puerta estaba abierta y el carro de limpieza delante de ella. Paso por delante sin entrar y veo una persona joven (unos 30 años) limpiando el cuarto, a lo cual, muy amablemente salude y le dije:

“Me permite pasar un segundo a buscar mi mochila nada mas? la deje sobre la silla…”

a lo que el gentil joven accedió sin ningún tipo de objeción…   

Al otro día ya finalizada la conferencia y preparandome para volver a casa, intente hacer lo mismo, pero esta vez no era la misma persona de limpieza, había una señora mayor, de cerca de 60 años, por lo cual pensé que seria mas fácil. Sin embargo, al pedirle que me deje retirar mis cosas, me contesto:

“Como no Sr.”, cerro la puerta y continuo: “Por favor pase su tarjeta, es para su seguridad y la mia”.

La víctima de la Ingeniería Social, no tiene edad, por ser demasiado viejo o demasiado joven, la víctima no tiene mas o menos chances de caer en la trampa, sin embargo, si las tiene si no tiene educación y/o experiencia

La unica forma de combatir la Ingeniería Social, es con la concientización de los usuarios.

No hay vueltas, no insistas en no hacer nada..

May
18

En muchas oportunidades me han consultado respecto a como instalar Nessus en Backtrack. Parece que a muchos les ha quedado la idea de que esta instalación es complicada, sin embargo desde que Nessus no requiere el Cliente (se accede a través del navegador de Internet), y con el Backtrack basado en Ubuntu, esto ya no es para nada un problema como si lo fue en otras versiones del LiveDistro.

A pesar de lo que acabo de comentar, voy a dejar una especie de tutorial para facilitarles la instalación. En otras entradas haremos una introducción al uso de Nessus y analizaremos algunos de sus Plugins.

Para poder instalarlo, antes que nada debemos acceder a http://www.nessus.org/download/index.php?product=nessus42-linux y aceptar la licencia para poder descargar el servidor.

Una vez aceptada, seremos redireccionados a un sitio donde podremos elegir que versión queremos descargar, en mi caso, Ubuntu 8.10 and 9.04 (32 bits ya que es una Netbook eeepc).

Es así que descargaremos en nuestro equipo el archivo  Nessus-4.2.2-ubuntu810_i386.deb. Una vez finalizada la descarga deberemos acceder desde una Terminal hasta el directorio donde se encuentra la misma y descomprimirlo con el comando dpkg -i como podremos ver a continuación:

nessus1.png

El siguiente paso es agregar un usuario de la aplicación, para ello debemos ejecutar nessus-adduser, donde iremos contestando unas sencillas preguntas como: el nombre de login, la contraseña, si será administrador o no, y las reglas a cargar para el usuario que estamos creando:

nessus2.png nessus3.png

A esta altura, podríamos suponer que tenemos la aplicación lista, sin embargo nos quedan un par de pasos antes. Primero, debemos crear el Certificado de SSL para poder acceder al Nessus Server, y para ello ejecutaremos nessus-mkcert, que al igual que antes, nos ira presentado una serie de preguntas para armar el certificado de nuestra instalacion (tiempo de vida del certificado, país de residencia, empresa, etc):

nessus5.png nessus6.png

Para poder bajar los Plugins, es necesario registrar nuestra instalación, ya sea con los HomeFeed o con los ProfessionalFeed. En el caso de seleccionar hacerlo con los HomeFeed, debemos primero acceder al sitio http://www.nessus.org/plugins/?view=homefeed , aceptar la licencia, cargar una cuenta de correo donde nos llegara un correo con el numero de registración, y luego debemos ejecutar nessus-fetch –register seguido por ese numero que nos llego:

nessus7.png

En este punto, es necesario contar con Internet en el equipo ya que Nessus ademas de registrarse, actualiza su base de Plugins.

Iniciar el demonio de Nessus:

nessus9.png

Acceder a la consola web al localhost (o la ip local) y al puerto 8834 (no olvidarse de poner https:// )

nessus10.png

Aceptar el certificado (agregando la Security Exception), y acceder a la consola con los datos del usuario creado:

nessus11.png


Espero les sea útil, saludos!

Abr
13

El jueves 8 de Abril, tuve la oportunidad de asistir al primer evento TED hecho en Buenos Aires, y realmente tengo que confesar que hace mucho pero mucho que no iba a un evento que no sea relacionado con Seguridad de la Información o IT puramente.

TED (Tecnología, Entretenimiento y Diseño) es un evento organizado todos los años en Long Beach, California desde 1984 donde se reúnen los pensadores y emprendedores mas grandes del mundo (Bill Gates, Frank Gehry, Jane Goodall y Sir Richard Branson fueron algunos) a compartir las ideas que los apasionan o motivan a actuar. En la edición original, el evento dura 5 días de 10 hs cada uno, donde cada charla dura 18, 10 o 5 minutos nada mas, y la intención es trasmitir ideas innovadoras o simplemente brillantes.   El principal objetivo de TED es compartir ideas y que los asistentes puedan retirarse tan solo con una idea buena.    Gracias a la difusion del evento a traves de internet en http://www.ted.com el evento ha alcanzo niveles increíbles de seguidores por todo el mundo.

La edición de Buenos Aires (TEDxBuenos Aires, donde la x=evento TED organizado independientemente), fue realmente excelente y sin duda un exito para los organizadores (cerca de 1400 personas asisitieron y muchos siguieron el evento por Internet y de Exactas a traves de una transmisión en vivo). Hubo aproximadamente un total de 20 charlas de 18 minutos cada una y duro solo un dia. Lo primero que me impresiono de este evento, es justamente la puntualidad tanto de los organizadores para comenzar y terminar en horario cada bloque, como así también la de los oradores para respetar sus 18 minutos y los de sus colegas… Después de haber estado en tantos eventos en la región, quedó demostrado que cuando hay voluntad y respeto, es posible en cualquier lado y en cualquier forma…

Adrián Paenza, un grande sin duda, fue el Maestro de Ceremonias, presentando las charlas y los objetivos de TED. En la apertura dijo:

“Los Hombres Grandes hablan de ideas, los Hombres Promedio hablan de cosas, los Hombres Pequeños hablan de personas”

Las charlas fueron realmente muy buenas. En mi caso personal, la primera de todas fue la que mas me impacto, la de Mariano Sigman hablando sobre la “La Maquina que Construye la Realidad” y de hecho les recomiendo que vean el video cuando estén disponibles en tedxbuenosaires.org. Mariano arranco haciendo experimentos con los asistentes, logrando hacer que nuestros ojos vean cosas que nuestro cerebro no ve, luego dio detalles sobre sus investigaciones en pacientes vegetativos y los resultados obtenidos que realmente son fascinantes, tanto como la posibilidad de comunicarse con ellos diseñando un “lenguaje nuevo” que los pacientes piensen en una situación real (como recorrer sus casas) o en una situación imposible (como volar por sus casas) para diferenciar entre un si o un no. Increíble, vean el video cuando lo publiquen…

Luego siguio la charla de Luis Pescetti sobre quien realmente conocía poco, y en poco tiempo logro convertirme en admirador de su trabajo. Básicamente su trabajo se centra en la infancia y en la familia, con canciones divertidas y cuentos realmente muy buenos, hizo participar a la gente antes de las 10 am, demostrando un excelente manejo de su publico. Centro su presentación en mostrar a la gente que los problemas con los que los padres se encuentran a diario, se producen en todas las familias y uno se puede reír al escuchar como nos vemos… Pero algo que dijo y me quedo muy grabado fue:

“Los niños son inmigrantes del tiempo, y yo no quiero ser el de migraciones”

Luego siguió la charla de Marcos Salt, a quien ya he visto muchas veces en diferentes eventos, pero realmente fue un placer escucharlo hablar en un ambiente tan diferente al cual esta acostumbrado.

Constanza Cerutti, dio su charla de Antropología de Altura… ella fue la única argentina que estuvo en el TED original, es la única mujer que realiza esta actividad (solo son 10 las personas que la realizan en el mundo). En su trabajo, si se detiene 15 segundos se le podrían congelar las manos. Fue la persona que descubrió las 3 momias mejor preservadas en la historia, y puedo resumir que su vida es realmente toda una historia…

Rafael Spregelburd, dramaturgo y director, hablo sobre el fin del mundo, y menciono una frase que quedo para el recuerdo:

“La única diferencia entre hacer Teatro y hacer política, es que yo les aviso que les voy a mentir”

Ya en el segundo bloque, que obviamente arranco en punto, hubo varias charlas muy buenas como la de Alberto Kornblightt explicando el splicing alternativo y lo que diferencia a las células de los gusanos de los humanos, o la de Guareschi sobre el futuro del periodismo. También estuvo presente el video mas visto en internet de TED 2006, el de Ken Robinson sobre como la educación mata a la creatividad en las escuelas, y Moguilevsky que toco un tema increíble el cual iba grabando en vivo y reproduciendo, para luego utilizar otro instrumento y complementar los sonidos. Sin embargo, la ovación del bloque se la llevo Miguel Brechner al contar como se aplico OLPC en Uruguay, mostró un video donde maestros, padres y chicos contaban sus experiencias y como les cambio la vida, reavivo el animo de estudiar y favoreció la integración social a partir de los colegios públicos .

El tercer bloque también tuvo lo suyo, por empezar la charla de Mercedes Salado quien reemplazo a Fondebrider, hablo sobre Antropología Forense, dejando con la boca abierta a mas de un asistente. Mostró fotos muy duras donde se veían cuerpos y/o fosas clandestinas, y contó sobre como era el proceso de conseguir que ese cuerpo NN tenga un nombre, una foto y un lugar en el cementerio…increíble realmente. La charla que siguió en este bloque fue la de Jose Cibelli, quien trato el tema del reloj biológico y dejo una frase por el estilo:

“Frenar el reloj biológico o revertirlo es la gran cuenta pendiente de la ciencia. Si curamos el cancer nos mata la vejez”

Luego hablo el Fiscal General en la Corte Penal en La Haya, Luis Moreno Ocampo, quien no necesita mayor presentación y su frase fue:

“Las instituciones no reducen el crimen a cero. Impiden que el crimen escale, que se vuelva una batalla”

Lamentablemente, luego de esta charla tuve que irme a cumplir con mis tareas, y realmente sentí esa vieja sensación de no querer dejar el lugar donde estoy porque realmente no me canso de escuchar, aprender y sorprender… Realmente TED me pareció un evento enriquecedor, sumamente recomendable y ojalá puedan estar en la próxima edición.