13 Oct Los hackers ponen en rídiculo a expertos
Por Ariel Torres
¿Puede un ataque informático perpetrado contra una corporación dejar una lección para el usuario común de tecnología? Sí, cuando esa corporación se dedica a la seguridad informática.
Entra en escena RSA Corporation, subsidiaria de EMC, un coloso informático nacido en 1979. RSA es un proveedor de productos de autenticación y criptografía para empresas y gobiernos que en abril del año último había lanzado un servicio para detectar intrusiones y crímenes informáticos. Pese a su blindaje, el 17 del mes último se supo que sus servidores habían sido vulnerados y que se sustrajo información sensible.
Pese al bochorno, RSA hizo dos cosas que acreditan su seriedad. Primero, lo informó(www.sec.gov/Archives/edgar/data/790070/000119312511070159/dex992.htm ) cuando el ataque estaba en progreso. Ante la consulta de La Nacion, los representantes locales de EMC respondieron que la compañía no había revelado desde qué fecha sabía que estaba bajo ataque.
Segundo, publicaron un meduloso relato en el blog oficial (http://blogs.rsa.com/rivner/anatomy-of-an-attack/) explicando el proceder de los atacantes.
Primero, el usuario
El tipo de ataque que sufrió RSA es obra de los que se conocen como Advanced Persistent Threat (APT), grupos con los recursos y la intención de hackear y espiar blancos específicos. En el caso de RSA los nombres de China y Rusia volvieron a salir como posibles, aunque no se los menciona en el blog de la compañía. También se usa la frase ataques APT para referirse al modus operandi: alta tecnología de espionaje y persistencia contra un blanco en particular, en lugar de atacar de forma oportunista.
¿Cómo lograron entrar en la que debería ser una de las compañías más seguras del mundo? Enviando e-mails con un supuesto “Plan de reclutamiento para 2011”. Si bien los filtros de correo lo etiquetaron y archivaron como spam , hubo al menos un empleado, relata RSA en su blog, que se sintió tentado de abrirlo. Típico de los ataques APT, no buscan doblegar la infraestructura, sino que apuntan al empleado.
Siempre habrá alguien que no está conforme, y ese plan de reclutamiento le hizo violar la primera regla de la seguridad: la prudencia frente a mensajes muy prometedores.
El adjunto que abrió el empleado era una hoja de cálculo de Excel con un virus que, aprovechando una vulnerabilidad de Adobe Flash Player, instaló una puerta trasera (o backdoor ) en la máquina del empleado. Por este medio el grupo atacante pudo averiguar quién era el empleado, cuáles eran sus privilegios y avanzar en busca de contraseñas con más permisos, hasta dar con información confidencial. Un clásico, pero con una vuelta de tuerca.
Normalmente, los backdoor son contactados desde el centro de comando y control (así se lo llama) del hacker; en este caso, fue al revés. El backdoor era quien llamaba hacia el exterior, dificultando mucho su detección por los medios de defensa convencionales.
En total, y aunque RSA todavía no ha dado a conocer qué información robaron los piratas ni hasta qué punto está comprometida la seguridad de empresas, entidades financieras y el gobierno de los Estados Unidos, involucrado en la investigación desde el primer momento, dos lecciones se desprenden del ataque. Primero, no abrir adjuntos si no tenemos la certeza de que son seguros. Segundo, actualizar el software para minimizar las vulnerabilidades por donde se podría filtrar el software malicioso.
Más inseguridad online
Los detalles del caso RSA llegan en un contexto turbulento para la seguridad informática. Un ataque iniciado la semana última infectaba al cierre de esta edición unos 4 millones de páginas web para engañar con un falso antivirus a los visitantes; además, se supo ayer, los servidores de la empresa Epsilon fueron invadidos y millones de direcciones de correo electrónico de particulares resultaron expuestas.
LA NACION