LA NACION

Los ataques informáticos se esconden en rejillas y máquinas expendedoras

Los accesos no autorizados a un sistema también alcanzan a equipos conectados a redes corporativas, tales como centros de monitoreo, controles de temperatura y hasta en el menú electrónico de un restaurante

Actualizado el 8 de agosto de 2020
The New York TimesNicole Perlroth
Un termostato electrónico de Nest, una compañía adquirida por Google. Los ataques electrónicos van más allá de las computadoras y dispositivos electrónicos y desafían diversos equipos conectados a redes informáticas
Un termostato electrónico de Nest, una compañía adquirida por Google. Los ataques electrónicos van más allá de las computadoras y dispositivos electrónicos y desafían diversos equipos conectados a redes informáticasAFP

SAN FRANCISCO.- Ingresaron por el menú de comida china para llevar.

Al no poder vulnerar la red informática de una importante empresa petrolera, un grupo de atacantes informáticos infectó con malware el menú en línea de un restaurante chino que era popular entre los empleados. Mientras los empleados hojeaban el menú, sin querer descargaban un código que dio a los atacantes un punto de acceso a la vasta red informática de la empresa.

A los expertos en seguridad convocados para solucionar el problema no se les permitió dar a conocer los detalles del ataque, pero la lección aprendida a partir de este incidente es clara: en su lucha para proteger sus sistemas de los hackers y de los espías del gobierno, las empresas se ven obligadas a buscar vulnerabilidades en los lugares menos probables.

En un reciente ataque al sistema de la tarjeta de pago de la tienda Target , un grupo de hackers obtuvo acceso a los registros de la tienda a través de su sistema de calefacción y refrigeración. En otros casos, los ataques han utilizado diversos objetivos, tales como impresoras, equipos de videoconferencia y termostatos.

Las empresas siempre se vieron obligadas a ser diligentes en adelantarse a los hackers (el correo electrónico y los dispositivos con fugas de los empleados son un viejo problema); pero la situación se ha vuelto cada vez más compleja y urgente ya que a innumerables terceros se les concede acceso remoto a los sistemas corporativos. Este acceso se da a través del software que controla todo tipo de servicios que una empresa necesita: calefacción, ventilación y aire acondicionado; sistemas de facturación, gastos y gestión de recursos humanos; funciones de gráficos y análisis de datos; proveedores de seguros de salud; e incluso máquinas expendedoras.

Accede a un solo sistema, y tendrás la oportunidad de acceder a todos los demás.

"Constantemente nos encontramos con situaciones en las que los proveedores de servicios EXTERNOs conectados remotamente tienen la llaves del castillo", dijo Vincent Berk, quien es el jefe ejecutivo de FlowTraq, una empresa que se dedica a la seguridad de redes.

Los datos sobre el porcentaje de ataques cibernéticos que se pueden vincular con un tercero permeable son difíciles de conseguir, en gran parte porque los abogados de las víctimas encuentran cualquier motivo para no revelar una violación. Sin embargo, a través de una encuesta que se realizó el año último a más de 3.500 profesionales del área de tecnología de información (IT, por su sigla en idioma inglés) y de seguridad cibernética en todo el mundo, conducida por una empresa de investigación de seguridad, el Instituto Ponemon, se descubrió que alrededor de un cuarto (23 por ciento) de los ataques se debieron a la negligencia de terceros.

Constantemente nos encontramos con situaciones en las que los proveedores de servicios EXTERNOs conectados remotamente tienen la llaves del castillo, dijo Vincent Berk, jefe de FlowTraq, una empresa que se dedica a la seguridad de redes

Los expertos en seguridad dicen que esa cifra es baja. Arabella Hallawell, quien es la vicepresidente de estrategia de Arbor Networks, empresa de seguridad de redes ubicada en Burlington, Massachusetts, estima que los proveedores se encuentran involucrados en alrededor de un 70 por ciento de las violaciones a la seguridad revisadas por su compañía.

"Por lo general, se trata de proveedores de los que nunca sospecharíamos", dijo Hallawell.

El ataque a través del menú de comida china (conocido como un ataque al abrevadero, el equivalente en línea a un depredador al acecho cerca de un pozo de agua, que se abalanza sobre su presa sedienta) fue extremo. Pero los investigadores de seguridad afirman que en la mayoría de los casos, no es necesario que los atacantes lleguen a tales extremos cuando el software de gestión de todo tipo de dispositivos se conecta directamente a las redes corporativas. Los proveedores de calefacción y refrigeración pueden ahora controlar y ajustar las temperaturas de una oficina de manera remota, y los proveedores de máquinas expendedoras pueden ver cuando sus clientes ya no tienen más Coca diet y snacks. A menudo, estos proveedores no tienen los mismos estándares de seguridad que sus clientes, pero por razones de negocio se les permite pasar el firewall que protege una red.

Los expertos en seguridad dicen que los proveedores son blancos tentadores para los hackers, ya que tienden a manejar sistemas más antiguos, como el software de Microsoft, el Windows XP . Además, los expertos en seguridad dicen que estos dispositivos aparentemente inocuos (equipos de videoconferencia, termostatos, máquinas expendedoras e impresoras) se entregan a menudo con la configuración de seguridad desactivada de manera predeterminada. Una vez que los hackers encuentran una manera de entrar, los dispositivos les ofrecen un lugar para esconderse a plena vista.

"La genialidad es que nadie busca ahí", dijo George Kurtz, quien es el jefe ejecutivo de CrowdStrike, una empresa de seguridad. "Así que es muy fácil para el atacante ocultarse en estos lugares".

El año último, investigadores de seguridad encontraron una vía de acceso a la sede de Google en Sydney, Australia, y al hospital privado North Shore, de la misma ciudad (y a su ventilación, iluminación, ascensores e incluso cámaras de video) a través de su proveedor de administración de edificios. Más recientemente, los mismos investigadores descubrieron que podían violar los interruptores de circuito de uno de los estadios olímpicos de Sochi a través de su proveedor de calefacción y refrigeración.

Afortunadamente, los investigadores solo estaban en busca de fallas que podrían haber sido explotadas por hackers reales.

Billy Ríos, quien es el director del departamento de inteligencia de amenazas de Qualys, una empresa de seguridad, fue uno de esos investigadores. Él afirmó que es cada vez más común que las empresas configuren sus redes de manera descuidada, con sus sistemas de aire acondicionado conectados a las mismas redes que conducen a bases de datos que contienen información confidencial, como un código fuente registrado o información sobre tarjetas de crédito de clientes.

"Su sistema de aire acondicionado nunca debería hablar con su base de datos de recursos humanos, pero nadie nunca habla de eso, por algún motivo," dijo Ríos.

A través de la encuesta que llevó a cabo el Instituto Ponemon el año último se descubrió que, en un 28 por ciento de los ataques maliciosos, los encuestados no habían podido encontrar la fuente de la violación de la seguridad. Hallawell comparó al proceso de encontrar la fuente de un ataque con el de "encontrar una aguja en un pajar".

Su sistema de aire acondicionado nunca debería hablar con su base de datos de recursos humanos, pero nadie nunca habla de eso, por algún motivo, dijo Billy Ríos, del departamento de inteligencia de amenazas de Qualys

Lo ideal, según los expertos en seguridad, sería que las empresas configuren sus redes para que los datos confidenciales se mantengan aislados de los sistemas de terceros y que sean monitorizados de manera remota con contraseñas y tecnología avanzada que pueda identificar la identidad del tráfico anómalo (como una persona con acceso a un sistema de monitorización de aire acondicionado tratando de ingresar a la base de datos de los empleados).

Pero, aun así, las empresas requieren personal de seguridad con experiencia en la detección de estos ataques. A pesar de que Target utilizó tecnología de seguridad suministrada por FireEye, compañía que emite una alerta cuando identifica una actividad anómala de estas características, su personal de tecnología de la información ignoró las señales de alerta, según varias personas que confirmaron las conclusiones de una investigación realizada por Bloomberg Businessweek el mes último, pero que no pudieron hablar públicamente sobre la actual investigación interna de Target.

Al igual que todo lo demás, los expertos en seguridad afirman que es simplemente una cuestión de prioridades. Por medio de un estudio llevado a cabo por Arbor Networks, se descubrió que, a diferencia de los bancos, los cuales gastan hasta el 12 por ciento de sus presupuestos de tecnología de la información en materia de seguridad, las tiendas gastan, en promedio, menos del 5 por ciento de su presupuesto en seguridad. La mayor parte de ese gasto en tecnología de la información se destina a datos de marketing y análisis de datos.

"Cuando sabes que eres el blanco y no sabes cuándo, dónde o cómo se llevará a cabo un ataque, es tiempo de guerra todo el tiempo", dijo Hallawell. "Y la mayoría de las organizaciones no están preparadas para la guerra".

TRADUCCIÓN DE ÁNGELA ATADÍA DE BORGHETTI

Por Nicole Perlroth
The New York Times
Conforme a los criterios de
The Trust Project
Conocé más
Cargando banners ...