Tech

Ciberpiratas infectan hasta los sitios menos inimaginables 

Investigadores en seguridad encontraron una forma de entrar en las oficinas centrales de Google y a la ventilación, iluminación, elevadores y hasta a sus videocámaras, a través del vendedor de la administración del edificio.
New York Times
19 abril 2014 14:31 Última actualización 21 abril 2014 7:33
Computadora

Al no poder ingresar a una compañía petrolera, ciberpiratas infectan el menú en línea de un restaurante chino. (Reuters/Archivo)

SAN FRANCISCO.- Entraron a través del menú de comida china para llevar. Al no poder penetrar la red informática de una gran compañía petrolera, los ciberpiratas infectaron con un programa maligno el menú en línea de un restaurante chino popular entre los empleados. Cuando revisaban el menú, descargaban inadvertidamente un código que daba a los atacantes un punto de apoyo en la vasta red computacional del negocio.

No se permitió a los expertos en seguridad a los que se convocó para arreglar el problema que divulgaran detalles sobre el fallo en la seguridad, pero la lección del incidente quedó clara: las compañías que batallan para sellar sus sistemas contra ciberpiratas y fisgones gubernamentales tienen que buscar las vulnerabilidades en los lugares más insólitos.


Los ciberpiratas de la reciente violación de seguridad en las tarjetas de pago Target accedieron a los archivos del minorista a través de su sistema de aire acondicionado y calefacción. En otros casos, han usado impresoras, termostatos y equipo para videoconferencias.

Las compañías siempre necesitan ser diligentes en mantenerse adelante de los ciberpiratas – los correos electrónicos y aparatos con fugas de los empleados son un problema añejo _, pero la situación se ha hecho cada vez más compleja y urgente, ya que se otorga a terceras partes acceso remoto a los sistemas corporativos.

Este acceso llega a través de los programas informáticos que controlan todo tipo de servicios que necesita una compañía: calefacción, ventilación y aire acondicionado; sistemas de cobro, gastos y recursos humanos; funciones analíticas de gráficos y datos; aseguradoras médicas, y hasta máquinas expendedoras.

Se entra a un sistema y cabe la posibilidad de entrar a todos.
“Es constante que nos veamos en la situación de que proveedores externos de servicios conectados remotamente tengan las llaves del castillo”, comentó Vincent Berk, director ejecutivo de FlowTraq, una firma de seguridad en redes.

Es difícil conseguir las cifras de porcentajes de ciberataques que se pueden vincular a un tercero con filtraciones, en gran medida porque los abogados de las víctimas encuentran cualquier razón para no revelar el fallo en la seguridad. Sin embargo, un estudio del año pasado entre más de 3,500 profesionales en ciberseguridad y tecnología informática mundial, realizado por el Ponemon Institute, una empresa de investigación en seguridad, encontró que aproximadamente un cuarto – 23 por ciento – de los fallos en la seguridad son atribuibles a la negligencia de terceros.

Expertos en seguridad dicen que la cifra es baja. Arabella Hallawell, vicepresidenta de estrategia en Arbor Networks, una firma de seguridad en redes en Burlington, Massachusetts, estima que los proveedores de terceros estuvieron involucrados en cerca de 70 por ciento de los fallos que revisó su firma.

“En general, se trata de proveedores que ni siquiera te imaginas”, notó Hallawell. La violación a través del sitio web de comida china – conocida como ataque de abrevadero, el equivalente en línea de un predador que merodea un jagüel y se lanza sobre su presa sedienta – fue extrema. Sin embargo, los investigadores en seguridad dicen que en la mayoría de los casos los atacantes apenas si tienen que llegar a esos extremos cuando los programas informáticos gerenciales para todo tipo de aparatos se conectan directamente con las redes corporativas.

Los proveedores de calefacción y aire acondicionado pueden monitorear ahora y ajustar las temperaturas de las oficinas en forma remota, y los de las máquinas expendedoras pueden ver cuando se les acaban las Cocas de dieta o los Cheetos a sus clientes. Es frecuente que esos vendedores no tengan los mismos estándares de seguridad que sus clientes, pero, por razones de negocios, se les permite estar detrás del cortafuegos que protege a la red.

Expertos en seguridad dicen que los vendedores son blancos tentadores para los ciberpiratas porque tienden a correr sistemas más antiguos, como Windows XP de Microsoft. Asimismo, dicen que, a menudo, estos aparatos aparentemente inofensivos – equipo para video conferencias, termostatos, máquinas expendedoras e impresoras – se entregan con la configuración de seguridad apagada por omisión. Una vez que los ciberpiratas encuentran una forma de entrar, los aparatos le ofrecen un sitio donde esconderse a plena vista.

“La belleza es que nadie busca allí”, notó George Kurtz, el director ejecutivo de Crowdstrike, una firma de seguridad. “Así es que es muy fácil para el adversario ocultarse en estos lugares”.

El año pasado, investigadores en seguridad encontraron una forma de entrar en las oficinas centrales de Google, así como al hospital privado North Shore en Sídney – y a la ventilación, iluminación, elevadores y hasta a sus videocámaras – a través del vendedor de la administración del edificio. Más recientemente, los mismos investigadores encontraron que podían violar la seguridad de los interruptores en una arena olímpica en Sochi, por medio del proveedor de calefacción y enfriamiento.

Afortunadamente, solo estaban probando para detectar fallas que pudieron haber explotado ciberpiratas reales.

Billy Rios, el director de inteligencia de amenazas en Qualys, una firma de seguridad, fue uno de esos investigadores. Comentó que es cada vez más común que las corporaciones sea descuidadas al colocar sus redes con los sistemas de aire acondicionado conectados a la misma red que lleva a la base datos que contiene material delicado, como códigos de fuente patentados o tarjetas de crédito de los clientes.

“Tu sistema de aire acondicionada no debería, nunca, hablar con tu base de datos HR, pero nunca, nadie, habla de eso, por alguna razón”, señaló Rios.

El estudio de Ponemon del año pasado encontró que en 28 por ciento de los ataques malignos, los encuestados no pudieron hallar el origen de la falla. Hallawell comparó el proceso de encontrar la fuente de una violación con “encontrar una aguja en un pajar”.

Idealmente, dicen expertos en seguridad, las corporaciones deberían colocar sus redes de tal forma que el acceso a datos delicados quede fuera de los sistemas de terceros, así como monitorearlos en forma remota con contraseñas y tecnologías avanzadas que puedan identificar el tráfico anómalo, como alguien con acceso a un sistema de monitoreo de aire acondicionado que trata de entrar en una base de datos de empleados.

Sin embargo, aun así, las compañías deben tener personal de seguridad con experiencia en detectar tales ataques. Aunque Target usó tecnología de seguridad proporcionada por FireEye, una compañía que hace sonar alertas cuando identifica tal actividad anómala, su personal de tecnología informática ignoró las banderas rojas, según varias personas que confirmaron las conclusiones de la investigación de Bloomberg Businessweek en marzo, pero no podían hablar públicamente sobre la investigación interna en curso en Target.

Como todo lo demás, dicen los expertos en seguridad, es, simplemente, cuestión de prioridades. Un estudio de Arbor Networks encontró que, a diferencia de los bancos, que gastaron hasta 12 por ciento de su presupuesto para tecnología informática en seguridad, los minoristas gastaron, en promedio, menos de cinco por ciento en el mismo rubro. La mayor parte de ese gasto es para marketing para los clientes y análisis de datos.

“Cuando sabes que eres el blanco y no sabes cuándo, dónde o cómo se llevará a cabo el ataque, todo el tiempo es la guerra”, señaló Hallawell. “Y la mayoría de las organizaciones no están preparadas para la guerra”.

Todas las notas TECH
17 ecuaciones que cambiaron el mundo (y su explicación)
Facebook quiere entender el consumo de publicidad con esta nueva compra
Éste es el primer 'Barrio Smart' de México y te decimos dónde está
HomePod, la bocina inteligente de Apple, saldrá a la venta el viernes
Así funciona Amazon Go, sin cajas, filas, efectivo y casi sin empleados
Facebook reconoce que no siempre es sano para las democracias
Aprende a programar y dale más valor a tu vida laboral y tu cartera
¿A qué ciudad apunta la brújula para la expansión de la IA?
Netflix hace 'polvo' las estimaciones de analistas y su valor toca récord
Apple y Malala unen fuerzas para apoyar la educación de las niñas
Mariposa monarca, un modelo para la industria aeronáutica queretana
Toshiba estudia lanzar una OPI de sus microprocesadores: FT
La Red Compartida sólo podría usarse con un iPhone o un Galaxy
El ‘doodle’ se pone ‘cinéfilo’ con el padre del montaje, Serguéi Eisenstein
No es una medusa, es un 'buque de guerra portugués'
Tomar agua en algas marinas puede acabar con la contaminación
12 predicciones de Bill Gates en 1999 que se cumplieron
Asteroide gigante se acerca a la Tierra
Facebook clasificará fuentes de noticias por confiabilidad
Musical.ly dará becas para encontrar a la próxima estrella de las redes
Trump y su amor-odio por México en tuits
Acuaponia urbana, la ecogranja alemana que se convirtió en un gran negocio
Donald Trump dice 'thank you' a Tim Cook por inversión, aunque se hace 'bolas' con las cifras
Estos son los videojuegos que la 'romperán' en 2018
La miel de maple está en 'peligro de extinción'... tus hot cakes ya no serán lo mismo
Sign up for free