Artículo

ÉRASE UNA VEZ UN HACKEO QUE SE PUDO HABER EVITADO

El ciberespacio está plagado de vulnerabilidades

Avatar Por 22 julio 2017

TLP Innova nos ofreció en el Auditorio de Tenerife, una conferencia sobre ciberseguridad con Marcos Fernández Vega autodenominada “ÉRASE UNA VEZ UN HACKEO QUE SE PUDO HABER EVITADO”. El ponente cuenta con más de 17 años de experiencia en análisis, diseño y seguridad informática, y actualmente, presta sus servicios en Open Data Security (ODS) junto a un equipo de expertos en seguridad informática para asesorar a empresas y organizaciones como por ejemplo el Cabildo de Tenerife o el Gobierno de Canarias. En esta charla, nos expuso la situación actual de la seguridad en el ciberespacio, sus problemas y desventajas, y sobre todo, como las empresas actúan para defenderse de atacantes que está a la orden del día en la red. Uno de los grandes problemas que tienen las grandes empresas hoy en día es la vulnerabilidad de sus datos y sus archivos. Por ello, muchas empresas están invirtiendo mucho dinero para poder crear un escudo defensivo ante estos ataques y robo de información delicada.

También el ponente, nos presentó el proyecto “made in canarias” que están desarrollando ODS llamado Wolf-Ray. Es un software que da acceso a la Intranet de una empresa donde controla a los usuarios y sobre todo, a los archivos y material sensible que se encuentra dentro de esta intranet. Enfocada a aumentar la seguridad en el acceso interno de las empresas y que las propiad empresas puedan gestionar mejor el acceso a sus empleados. Ya que la gran mayoría de las Intranet, tienen el problema de seguridad que se almacenan una gran cantidad de información critica y delicada que puede ser accesible desde un login o a través de ingeniería social. Wolf-Ray pretende aumentar el control sobre la Intranet de las empresas y mantener un mayor control sobre los usuarios que acceden a la Intranet. Para saber más de ODT, puedes acceder a su página principal https://opendatasecurity.io/es/ o puedes seguirlos en su twitter https://twitter.com/ODSops?lang=es

Marcos también nos explicó los térmicos que denominan a un hacker, existen dos tipos, el de sombrero blanco (White Hat) y sombrero negro (Black Hat), que básicamente, son los que apoyan una defensa de las infraestructuras y los datos (White), y el otro, intenta romper los accesos y poder entrar en sistemas para producir algún que otro mal (Black). También el término hacktivista engloba a las personas especializadas en seguridad informática que tienen unas motivaciones político-sociales. En contraposición, tenemos a los ciber-terroristas que a día de hoy, no están demasiado en la palestra, pero en un futuro (espero que lejano), sean comunes en la sociedad.

Marcos nos habló de los ataques cibernéticos más importantes y dañinos que han ocurrido a lo largo de los últimos años en la red. Poniéndonos en contexto sobre la poca defensa que tienen algunas grandes empresas aun invirtiendo mucho dinero en esta defensa. Aunque, muchos de estos ataques, pudieron haberse evitado con un riguroso estudio sobre seguridad en sus instalaciones y medios de acceso. Veamos los robos y ataques más importantes de los últimos años.

Ataques mas importantes

Empezaremos con el hacker autodenominado Phineas Phisher o Hack Back, aunque a día de hoy no se sabe si es una persona, o un grupo e personas. Este hacker, pudo acceder a la base de datos de la empresa italiana Hacking Team, una compañía de tecnología de la información italiana, basada en Milán, que vende herramientas de vigilancia e intrusión ofensiva a gobiernos, agencias de aplicación de la ley y empresas. En julio del 2015 recibió un ataque donde se revelaron correos electrónicos y documentos internos que relaciona a diferentes gobiernos del mundo con Hacking Team. La filtración de documentos internos también mostró que 35 naciones habían adquirido software de vigilancia, lo que desató una discusión global sobre el uso legal de estas herramientas. El punto de entrada de este ataque, fue un problema de seguridad denominada 0-Day o día cero, que básicamente, localiza un problema de vulnerabilidad y no lo publicaban, por lo tanto, no pueden resolverlo y sellarlo. Phineas Phisher localizó este fallo de acceso y pudo entrar a este sistema.

Seguimos con un polémico ataque hacker producido a la organización Hazte Oír en abril del 2017. Esta asociación española, es de corte ultracatólica y conservadora puso en circulación por las calles de Madrid un autobús rotulado con un mensaje considerado como tránsfobo por el Ayuntamiento de Madrid y las organizaciones en defensa de los derechos LGTBI. El ataque fue ejecutado por la organización A.C.A.B. (All Cops Are Bastards) donde se descubrió que la asociación en concreto, utilizaba los donativos que recibía para implantar tratamientos hormonales a los hijos del mismo presidente de Hazte Oír, para que estos no fueran homosexuales, a parte, se pudo comprobar que existía blanqueo de dinero, información privilegiada, etc. El grupo A.C.A.B ha publicado que publicará a la luz 15.000 documentos más en breve. Se pudo realizar el acceso a todos los datos y cuentas de Hazte Oír por ingeniería social.

Otro ataque importante y que podría afectar a la seguridad de algunas personas e incluso a la seguridad de algunas autonomías es el robo de información que realizó también Phineas Phiser a los Mozos de Esquadra en Cataluña. En concreto, este robo de información, puso al descubierto información privada de 5540 policías, teléfonos, emails, direcciones postales, etc. Lo más impactante es que nadie fue detenido y el ataque se pudo realizar por una inyección SQL directamente a la base de datos por la página web de los Mozos de Escuadra.

Idental, una conocida compañía de higiene bucal, fue otro de los ataques más conocidos y reciente que afectó a 500.000 usuarios. El grupo La Nueve, acogida por el grupo hacker Anonymous, pudo entrar también por inyección SQL a través de su portal web y acceder a los datos de medio millón de usuarios y borrarles todos los datos personales y fiscales. Marcos, en esta charla lo explicó con una sola frase: imagínate que el ataque fue de tal envergadura, que borraron hasta las deudas de los usuarios”. 

Por ende, han habido una gran cantidad de hackeos y robos de información a grandes empresas en los últimos años. Todo esto, que sepamos, porque normalmente los ataques a grandes entidades suelen ser de carácter confidencial y no salen a la luz. En estos casos de los que hemos hablado, el acceso a los datos ha sido bastante evidente y por lo que sabemos, se ha podido divulgar el ataque en si. Un ejemplo es el ataque a OneLogin, Telefónica, NHS, etc.

Como podemos protegernos

Marcos nos pudo explicar más concretamente los problemas y vulnerabilidades que tienen las empresas. Esto conlleva a una alta posibilidad de un hackeo o robo de información. Entre otros factores, la utilización de software libre en las empresas, llevan a algunos expertos en seguridad informática a poder analizar el código fuente de estos softwares y encontrarles algún punto de entrada para poder ser hackeados en las empresas. Con un software cerrado y privado, el acceso al código es mas difícil. Los 0-Days o la localización de vulnerabilidades hay que parchearlos, de esta forma, nos vamos cubriendo ante posibles ataques futuros. 

Un término muy interesante que nos pudo hablar Marcos fue el análisis de la caja blanca, caja negra. Digamos que un análisis de caja blanca es el acceso, por parte de expertos en seguridad informática, de todos el software y de todas las instalaciones para poder ver fallos de seguridad y arreglarlos. Este tipo de análisis normalmente se puede realizar en la mayoría de las empresas, pero, los análisis de caja negra, es un tanto diferente. Una empresa, como puede ser un banco, da al experto de seguridad un punto de acceso, que puede ser la pagina web, y el banco te dice: aquí tienes el punto de acceso, hackeamelo o intenta acceder, y si lo haces, avísame para arreglar esa vulnerabilidad. Normalmente, el análisis de caja negra no existe un acceso al software de la empresa, ni siquiera al acceso a las instalaciones en muchos casos,

Preguntas y respuestas

Gamika, como no, pudo preguntarles algunas cuestiones que tenia el corresponsal de Gamika en la conferencia. Pudieron respondernos a las preguntas Marcos Fernández y Sergiu Mesesan.

  • Las malas lenguas y algunos medios conspiranóicos, han hablado que el ataque de WannaCry a nivel mundial fue orquestado por la Agencia de Inteligencia Americana (CIA), la pregunta es: ¿qué sistemas de protección tenemos a nivel mundial para que esto no vuelva a ocurrir?

Es cierto que Telefónica se quedó sin acceso, que el servicio de salud en Inglaterra se quedaron sin acceso a los aparatos médicos, pero hay pocas posibilidades de que este tipo de ataques ocurra de manera global y cataclísmica. Se tendría que crear algún tipo de ataque multiplataforma que aun no ha pasado. 

  • Hace unos meses, algunos medios importantes de noticias, publicaron que el servicio militar de China había reclutado a unos 100.000 informáticos para una posible ciberguerra. En cambio, el Centro Nacional de Inteligencia Española, solo había reclutado a 46, la pregunta es: ¿es posible tales cifras?

La cifra de China me parece demasiado enorme, y no siempre son hackers, tal vez puedan ser informáticos sin acceso a sistemas de seguridad ni de ciberataque.