TecnoXplora » Internet » Ciudad con ley

INTERNET, CIUDAD CON LEY

¿Por qué cientos de miles de empresas quedan expuestas al robo de datos?

El 98% de los ataques a grandes empresas se produce por tratarse de un blanco fácil: el criminal aprovecha vulnerabilidades conocidas para vender los paquetes de información a un precio bajo. Minimizar al menos ese tipo de riesgos ayudaría a proteger a los clientes y preservar la buena imagen de la empresa.

Cientos de miles de empresas expuestas al robo de datos

Cientos de miles de empresas expuestas al robo de datos Silvia Barrera

Publicidad

Verizon Communications Inc. es una compañía global de banda ancha y telecomunicaciones y forma parte del Índice Dow Jones norteamericano con 250.000 empleados, para situarnos en contexto. Hace unos días el gigante norteamericano de telecomunicaciones, referente por los casos y estudios de seguridad que realiza y publica sobre fugas de datos, tiene conocimiento de que en foros del mercado underground se encuentra a la venta parte la información de contacto de alrededor de 1,5 millones de sus clientes, de los 140 millones que guarda en sus bases de datos.

Pensamos en los posibles vectores de ataque: espionaje de la competencia de otras empresas nacionales o internacionales, ciberactivismo, cibercriminales expandiendo su línea de negocio o quizá un 'insider' (un empleado o ex trabajador).

El precio: "¡lo tengo barato, oiga!" Todo el paquete de información robado, por 100.000 dólares. Pero también, si es mucho para el bolsillo del comprador, se venden lotes de 100.000 registros por 10,000 dólares cada uno. Los vendedores ofrecían además la opción de adquirir información acerca de las vulnerabilidades de seguridad en el sitio Web de Verizon.

Lo primero que debe de hacer una empresa, entre otras medidas (cuyo plan de contingencia y respuesta debía estar definido), es determinar el origen de los hechos, averiguar qué está pasando para saber a qué nos enfrenta y cuál ha sido el vector de ataque del que hablábamos antes.

El origen que Verizon identificó recientemente fue un fallo de seguridad en su sitio web que permitió a los criminales robar solo (o eso dicen) la información de contacto de sus clientes. Lo más llamativo son las manifestaciones de Verizon a través de un correo electrónico con respecto al ataque: "recientemente hemos descubierto y remediado una vulnerabilidad de seguridad en nuestro portal de clientes de la empresa".

Verizon menciona que su fallo de seguridad ha sido "recientemente encontrado" y aún no ha respondido a las preguntas acerca de cómo se produjo ni los clientes afectados. Lo que sí se sabe de Verizon es que trabaja con diferentes bases de datos en múltiples formatos, incluyendo la plataforma MongoDB, por lo que es muy probable que los atacantes utilizaran este sistema para extraer la información que se llevaron. Ahora viene lo curioso.

Casualmente, la mayoría de los estudios que publica Verizon afirman que el 98% de los ataques que se producen son porque el criminal aprovecha vulnerabilidades conocidas. Es decir, va al blanco fácil, lo cual tiene su lógica.

Entonces me acordé de una de las ponencias de Pedro Candel en @Sh3llCON (Santander), @NN2ed_s4ur0n en Twitter, conocido experto en ciberseguridad en DELOITTE CyberSOC Academy y co- organizador de Navaja Negra, que venía avisando desde hace muchos meses de los 'agujeros negros' de la base de datos MONGO, que Pedro titulaba como MONGOLoL.

Candel exponía que el funcionamiento de este sistema de gestión de bases de datos no pone de manifiesto vulnerabilidades, sino que simplemente se trata de una mala o débil práctica de configuración (de seguridad) cuando queda expuesta la IP pública de un servidor sin filtrado y/o protección permitiendo el acceso de terceros no autorizados por defecto sin autenticación.

Con un simple mapeo de puertos (con cualquier herramienta automática), se puede comprobar que existen puertos abiertos que dejan información expuesta y permiten entrar sin autenticación en las bases de datos expuestas para consultar nombres, direcciones de correo electrónico, IP´s, datos de medios de pago, usuarios y contraseñas, entre otras. MongoDB, precisamente, no viene con demasiadas medidas de seguridad por defecto. Afecta a cientos de dominios y miles de IPs en todo el mundo. Con ello, un ciberdelincuente podría además realizar consultas, cambiar el contenido publicado de las webs (por ejemplo, la noticia de un periódico, los precios de un producto, etc.), e incluso, sin emplear medios técnicos, el autor podría ocultar sus rastros.

Pedro Candel expone que con sólo 8 líneas de código de configuración muy básicas podemos autentificarnos como usuarios, entrar con todos los permisos y/o roles y tener un sistema securizado.

No es la única: otros sistemas de bases de datos como Redis, Memcached, ElasticSearch, CouchDB, Riak, Cassandra, etc... también se encuentran expuestos sin autenticación o con credenciales por defecto.

Además del daño reputacional de una empresa, quedan expuestos los datos de sus clientes, que nada tienen que ver con que las empresas usen sistemas de gestión de bases de datos con fallos garrafales de configuración, y que, además de quedar expuestos, pueden ser blancos fáciles a posteriori para el phishing y otros ataques dirigidos. En el caso de Verizon, guarda datos de empresas bastante jugosas para un cibercirminal.

Y Verizon, un gigante de las telecomunicaciones, habla de un "fallo de seguridad recientemente encontrado" cuando estos fallos llevan reportados y comunicados (conocidos mucho antes) a varios dominios afectados en España desde hace un año.

La cuestión es que esta situación no es una responsabilidad solo de grandes empresas como Verizon, problemas de vulnerabilidades, fallos de configuración en los sistemas que afectan a miles de empresas (también pequeñas y medianas) en todo el mundo y muchos de estos fallos, o no se conocen o no se quieren conocer. Si estos riesgos, por lo menos los ya conocidos, fueran minimizados por los departamentos de seguridad, se ahorrarían formar parte de ese 98% del delito ocasional que aprovecha el fallo. Si no se hace por las propias empresas, al menos que se haga por la seguridad de sus propios clientes.

Publicidad