Tech

Ciberpiratas infectan hasta los sitios menos inimaginables 

Investigadores en seguridad encontraron una forma de entrar en las oficinas centrales de Google y a la ventilación, iluminación, elevadores y hasta a sus videocámaras, a través del vendedor de la administración del edificio.
New York Times
19 abril 2014 14:31 Última actualización 21 abril 2014 7:33
Computadora

Al no poder ingresar a una compañía petrolera, ciberpiratas infectan el menú en línea de un restaurante chino. (Reuters/Archivo)

SAN FRANCISCO.- Entraron a través del menú de comida china para llevar. Al no poder penetrar la red informática de una gran compañía petrolera, los ciberpiratas infectaron con un programa maligno el menú en línea de un restaurante chino popular entre los empleados. Cuando revisaban el menú, descargaban inadvertidamente un código que daba a los atacantes un punto de apoyo en la vasta red computacional del negocio.

No se permitió a los expertos en seguridad a los que se convocó para arreglar el problema que divulgaran detalles sobre el fallo en la seguridad, pero la lección del incidente quedó clara: las compañías que batallan para sellar sus sistemas contra ciberpiratas y fisgones gubernamentales tienen que buscar las vulnerabilidades en los lugares más insólitos.


Los ciberpiratas de la reciente violación de seguridad en las tarjetas de pago Target accedieron a los archivos del minorista a través de su sistema de aire acondicionado y calefacción. En otros casos, han usado impresoras, termostatos y equipo para videoconferencias.

Las compañías siempre necesitan ser diligentes en mantenerse adelante de los ciberpiratas – los correos electrónicos y aparatos con fugas de los empleados son un problema añejo _, pero la situación se ha hecho cada vez más compleja y urgente, ya que se otorga a terceras partes acceso remoto a los sistemas corporativos.

Este acceso llega a través de los programas informáticos que controlan todo tipo de servicios que necesita una compañía: calefacción, ventilación y aire acondicionado; sistemas de cobro, gastos y recursos humanos; funciones analíticas de gráficos y datos; aseguradoras médicas, y hasta máquinas expendedoras.

Se entra a un sistema y cabe la posibilidad de entrar a todos.
“Es constante que nos veamos en la situación de que proveedores externos de servicios conectados remotamente tengan las llaves del castillo”, comentó Vincent Berk, director ejecutivo de FlowTraq, una firma de seguridad en redes.

Es difícil conseguir las cifras de porcentajes de ciberataques que se pueden vincular a un tercero con filtraciones, en gran medida porque los abogados de las víctimas encuentran cualquier razón para no revelar el fallo en la seguridad. Sin embargo, un estudio del año pasado entre más de 3,500 profesionales en ciberseguridad y tecnología informática mundial, realizado por el Ponemon Institute, una empresa de investigación en seguridad, encontró que aproximadamente un cuarto – 23 por ciento – de los fallos en la seguridad son atribuibles a la negligencia de terceros.

Expertos en seguridad dicen que la cifra es baja. Arabella Hallawell, vicepresidenta de estrategia en Arbor Networks, una firma de seguridad en redes en Burlington, Massachusetts, estima que los proveedores de terceros estuvieron involucrados en cerca de 70 por ciento de los fallos que revisó su firma.

“En general, se trata de proveedores que ni siquiera te imaginas”, notó Hallawell. La violación a través del sitio web de comida china – conocida como ataque de abrevadero, el equivalente en línea de un predador que merodea un jagüel y se lanza sobre su presa sedienta – fue extrema. Sin embargo, los investigadores en seguridad dicen que en la mayoría de los casos los atacantes apenas si tienen que llegar a esos extremos cuando los programas informáticos gerenciales para todo tipo de aparatos se conectan directamente con las redes corporativas.

Los proveedores de calefacción y aire acondicionado pueden monitorear ahora y ajustar las temperaturas de las oficinas en forma remota, y los de las máquinas expendedoras pueden ver cuando se les acaban las Cocas de dieta o los Cheetos a sus clientes. Es frecuente que esos vendedores no tengan los mismos estándares de seguridad que sus clientes, pero, por razones de negocios, se les permite estar detrás del cortafuegos que protege a la red.

Expertos en seguridad dicen que los vendedores son blancos tentadores para los ciberpiratas porque tienden a correr sistemas más antiguos, como Windows XP de Microsoft. Asimismo, dicen que, a menudo, estos aparatos aparentemente inofensivos – equipo para video conferencias, termostatos, máquinas expendedoras e impresoras – se entregan con la configuración de seguridad apagada por omisión. Una vez que los ciberpiratas encuentran una forma de entrar, los aparatos le ofrecen un sitio donde esconderse a plena vista.

“La belleza es que nadie busca allí”, notó George Kurtz, el director ejecutivo de Crowdstrike, una firma de seguridad. “Así es que es muy fácil para el adversario ocultarse en estos lugares”.

El año pasado, investigadores en seguridad encontraron una forma de entrar en las oficinas centrales de Google, así como al hospital privado North Shore en Sídney – y a la ventilación, iluminación, elevadores y hasta a sus videocámaras – a través del vendedor de la administración del edificio. Más recientemente, los mismos investigadores encontraron que podían violar la seguridad de los interruptores en una arena olímpica en Sochi, por medio del proveedor de calefacción y enfriamiento.

Afortunadamente, solo estaban probando para detectar fallas que pudieron haber explotado ciberpiratas reales.

Billy Rios, el director de inteligencia de amenazas en Qualys, una firma de seguridad, fue uno de esos investigadores. Comentó que es cada vez más común que las corporaciones sea descuidadas al colocar sus redes con los sistemas de aire acondicionado conectados a la misma red que lleva a la base datos que contiene material delicado, como códigos de fuente patentados o tarjetas de crédito de los clientes.

“Tu sistema de aire acondicionada no debería, nunca, hablar con tu base de datos HR, pero nunca, nadie, habla de eso, por alguna razón”, señaló Rios.

El estudio de Ponemon del año pasado encontró que en 28 por ciento de los ataques malignos, los encuestados no pudieron hallar el origen de la falla. Hallawell comparó el proceso de encontrar la fuente de una violación con “encontrar una aguja en un pajar”.

Idealmente, dicen expertos en seguridad, las corporaciones deberían colocar sus redes de tal forma que el acceso a datos delicados quede fuera de los sistemas de terceros, así como monitorearlos en forma remota con contraseñas y tecnologías avanzadas que puedan identificar el tráfico anómalo, como alguien con acceso a un sistema de monitoreo de aire acondicionado que trata de entrar en una base de datos de empleados.

Sin embargo, aun así, las compañías deben tener personal de seguridad con experiencia en detectar tales ataques. Aunque Target usó tecnología de seguridad proporcionada por FireEye, una compañía que hace sonar alertas cuando identifica tal actividad anómala, su personal de tecnología informática ignoró las banderas rojas, según varias personas que confirmaron las conclusiones de la investigación de Bloomberg Businessweek en marzo, pero no podían hablar públicamente sobre la investigación interna en curso en Target.

Como todo lo demás, dicen los expertos en seguridad, es, simplemente, cuestión de prioridades. Un estudio de Arbor Networks encontró que, a diferencia de los bancos, que gastaron hasta 12 por ciento de su presupuesto para tecnología informática en seguridad, los minoristas gastaron, en promedio, menos de cinco por ciento en el mismo rubro. La mayor parte de ese gasto es para marketing para los clientes y análisis de datos.

“Cuando sabes que eres el blanco y no sabes cuándo, dónde o cómo se llevará a cabo el ataque, todo el tiempo es la guerra”, señaló Hallawell. “Y la mayoría de las organizaciones no están preparadas para la guerra”.

Todas las notas TECH
En este mapa puedes hallar información verificada de daños y albergues
Instalan internet satelital gratuito para afectados en Parque México
En EU, Amazon entregará a domicilio burritos y hamburguesas
Uber protesta tras cancelación de licencia para operar en Londres
Sin largas filas en Asia, iPhone 8 debuta en las tiendas
Cabify suspende operaciones en Puebla tras feminicidio de Mara
Uber pierde su licencia para operar en Londres
El heredero de Samsung jugó a hacerse el ‘tonto’... y perdió
¿Detectaste daños en tu casa? Ellos atienden tu reporte en esta app
Apple dona 1 mdd para apoyar a México
Samsung Electronics México cancela el lanzamiento de Galaxy Note 8 tras sismo
Google compra equipo de talento de HTC por mil 100 mdd
Facebook entregará datos de anuncios rusos al Congreso de EU
Una tecnología de hace 50 años por fin será ‘cool’ gracias a Apple
Facebook donará 1 mdd a Cruz Roja para reconstrucción tras sismo
Waze te dice dónde están los albergues y qué rutas están cerradas en la capital
Google activa mapa de crisis tras sismo
Ixnamiki Olinki, el robot que ayudará a buscar víctimas del sismo
Empresas telefónicas liberan llamadas y datos
Amazon apoya a Cruz Roja y Uber da viajes gratis a centros de acopio
Popularidad de bitcoin puede derivar en nueva escisión en noviembre
Startup respaldada por Schwarzenegger, en pelea con Tesla
4 formas en las que la tecnología ayuda a salvar vidas luego de una catástrofe
Google habilita Alerta SOS y Localizador de Personas tras sismo
Autobús eléctrico recorre más de mil kilómetros y rompe récord