Tech

Ciberpiratas infectan hasta los sitios menos inimaginables

Investigadores en seguridad encontraron una forma de entrar en las oficinas centrales de Google y a la ventilación, iluminación, elevadores y hasta a sus videocámaras, a través del vendedor de la administración del edificio.

SAN FRANCISCO.- Entraron a través del menú de comida china para llevar. Al no poder penetrar la red informática de una gran compañía petrolera, los ciberpiratas infectaron con un programa maligno el menú en línea de un restaurante chino popular entre los empleados. Cuando revisaban el menú, descargaban inadvertidamente un código que daba a los atacantes un punto de apoyo en la vasta red computacional del negocio.

No se permitió a los expertos en seguridad a los que se convocó para arreglar el problema que divulgaran detalles sobre el fallo en la seguridad, pero la lección del incidente quedó clara: las compañías que batallan para sellar sus sistemas contra ciberpiratas y fisgones gubernamentales tienen que buscar las vulnerabilidades en los lugares más insólitos.


Los ciberpiratas de la reciente violación de seguridad en las tarjetas de pago Target accedieron a los archivos del minorista a través de su sistema de aire acondicionado y calefacción. En otros casos, han usado impresoras, termostatos y equipo para videoconferencias.

Las compañías siempre necesitan ser diligentes en mantenerse adelante de los ciberpiratas – los correos electrónicos y aparatos con fugas de los empleados son un problema añejo _, pero la situación se ha hecho cada vez más compleja y urgente, ya que se otorga a terceras partes acceso remoto a los sistemas corporativos.

Este acceso llega a través de los programas informáticos que controlan todo tipo de servicios que necesita una compañía: calefacción, ventilación y aire acondicionado; sistemas de cobro, gastos y recursos humanos; funciones analíticas de gráficos y datos; aseguradoras médicas, y hasta máquinas expendedoras.

Se entra a un sistema y cabe la posibilidad de entrar a todos.
"Es constante que nos veamos en la situación de que proveedores externos de servicios conectados remotamente tengan las llaves del castillo", comentó Vincent Berk, director ejecutivo de FlowTraq, una firma de seguridad en redes.

Es difícil conseguir las cifras de porcentajes de ciberataques que se pueden vincular a un tercero con filtraciones, en gran medida porque los abogados de las víctimas encuentran cualquier razón para no revelar el fallo en la seguridad. Sin embargo, un estudio del año pasado entre más de 3,500 profesionales en ciberseguridad y tecnología informática mundial, realizado por el Ponemon Institute, una empresa de investigación en seguridad, encontró que aproximadamente un cuarto – 23 por ciento – de los fallos en la seguridad son atribuibles a la negligencia de terceros.

Expertos en seguridad dicen que la cifra es baja. Arabella Hallawell, vicepresidenta de estrategia en Arbor Networks, una firma de seguridad en redes en Burlington, Massachusetts, estima que los proveedores de terceros estuvieron involucrados en cerca de 70 por ciento de los fallos que revisó su firma.

"En general, se trata de proveedores que ni siquiera te imaginas", notó Hallawell. La violación a través del sitio web de comida china – conocida como ataque de abrevadero, el equivalente en línea de un predador que merodea un jagüel y se lanza sobre su presa sedienta – fue extrema. Sin embargo, los investigadores en seguridad dicen que en la mayoría de los casos los atacantes apenas si tienen que llegar a esos extremos cuando los programas informáticos gerenciales para todo tipo de aparatos se conectan directamente con las redes corporativas.

Los proveedores de calefacción y aire acondicionado pueden monitorear ahora y ajustar las temperaturas de las oficinas en forma remota, y los de las máquinas expendedoras pueden ver cuando se les acaban las Cocas de dieta o los Cheetos a sus clientes. Es frecuente que esos vendedores no tengan los mismos estándares de seguridad que sus clientes, pero, por razones de negocios, se les permite estar detrás del cortafuegos que protege a la red.

Expertos en seguridad dicen que los vendedores son blancos tentadores para los ciberpiratas porque tienden a correr sistemas más antiguos, como Windows XP de Microsoft. Asimismo, dicen que, a menudo, estos aparatos aparentemente inofensivos – equipo para video conferencias, termostatos, máquinas expendedoras e impresoras – se entregan con la configuración de seguridad apagada por omisión. Una vez que los ciberpiratas encuentran una forma de entrar, los aparatos le ofrecen un sitio donde esconderse a plena vista.

"La belleza es que nadie busca allí", notó George Kurtz, el director ejecutivo de Crowdstrike, una firma de seguridad. "Así es que es muy fácil para el adversario ocultarse en estos lugares".

El año pasado, investigadores en seguridad encontraron una forma de entrar en las oficinas centrales de Google, así como al hospital privado North Shore en Sídney – y a la ventilación, iluminación, elevadores y hasta a sus videocámaras – a través del vendedor de la administración del edificio. Más recientemente, los mismos investigadores encontraron que podían violar la seguridad de los interruptores en una arena olímpica en Sochi, por medio del proveedor de calefacción y enfriamiento.

Afortunadamente, solo estaban probando para detectar fallas que pudieron haber explotado ciberpiratas reales.

Billy Rios, el director de inteligencia de amenazas en Qualys, una firma de seguridad, fue uno de esos investigadores. Comentó que es cada vez más común que las corporaciones sea descuidadas al colocar sus redes con los sistemas de aire acondicionado conectados a la misma red que lleva a la base datos que contiene material delicado, como códigos de fuente patentados o tarjetas de crédito de los clientes.

"Tu sistema de aire acondicionada no debería, nunca, hablar con tu base de datos HR, pero nunca, nadie, habla de eso, por alguna razón", señaló Rios.

El estudio de Ponemon del año pasado encontró que en 28 por ciento de los ataques malignos, los encuestados no pudieron hallar el origen de la falla. Hallawell comparó el proceso de encontrar la fuente de una violación con "encontrar una aguja en un pajar".

Idealmente, dicen expertos en seguridad, las corporaciones deberían colocar sus redes de tal forma que el acceso a datos delicados quede fuera de los sistemas de terceros, así como monitorearlos en forma remota con contraseñas y tecnologías avanzadas que puedan identificar el tráfico anómalo, como alguien con acceso a un sistema de monitoreo de aire acondicionado que trata de entrar en una base de datos de empleados.

Sin embargo, aun así, las compañías deben tener personal de seguridad con experiencia en detectar tales ataques. Aunque Target usó tecnología de seguridad proporcionada por FireEye, una compañía que hace sonar alertas cuando identifica tal actividad anómala, su personal de tecnología informática ignoró las banderas rojas, según varias personas que confirmaron las conclusiones de la investigación de Bloomberg Businessweek en marzo, pero no podían hablar públicamente sobre la investigación interna en curso en Target.

Como todo lo demás, dicen los expertos en seguridad, es, simplemente, cuestión de prioridades. Un estudio de Arbor Networks encontró que, a diferencia de los bancos, que gastaron hasta 12 por ciento de su presupuesto para tecnología informática en seguridad, los minoristas gastaron, en promedio, menos de cinco por ciento en el mismo rubro. La mayor parte de ese gasto es para marketing para los clientes y análisis de datos.

"Cuando sabes que eres el blanco y no sabes cuándo, dónde o cómo se llevará a cabo el ataque, todo el tiempo es la guerra", señaló Hallawell. "Y la mayoría de las organizaciones no están preparadas para la guerra".

También lee: