Hackean por medio del correo… a la antigüita (Video)

Un pirata electrónico en forma de dispositivo puede llegar dentro de una caja enviada por mensajería. Foto: IBM Un pirata electrónico en forma de dispositivo puede llegar dentro de una caja enviada por mensajería. Foto: IBM

CIUDAD DE MÉXICO (apro).- El correo convencional y la paquetería a domicilio son dos vías que están al alcance de la ciberdelincuencia.

Empresas y consumidores están acostumbrados a los ataques vía electrónica. Sin embargo, la correspondencia física y la entrega de pedidos a los clientes del comercio electrónico constituyen otra forma mediante la cual los delincuentes pueden acceder al sistema de un particular para sustraer su información o infectar sus computadoras.

Así lo descubrió el grupo X-Force Red de la empresa IBM, que llevó a la práctica esta novedosa forma de hackeo. Hizo llegar, por medio de sobres y cajas, dispositivos ocultos que lograron infiltrarse con facilidad y sin ser detectados en redes corporativas de empresas. No para dañarlas, sino para “educarlas”.

IBM Security

@IBMSecurity

IBM investigated how cybercriminals exploit package deliveries to hack into networks right from someone’s front door. Explore the way this warshipping tactic works and how to spot it: https://securityintelligence.com/posts/package-delivery-cybercriminals-at-your-doorstep/?cm_mmc=OSocial_Twitter-_-Security_Security+Brand+and+Outcomes-_-WW_WW-_-SI+TW+blog&cm_mmca1=000034XK&cm_mmca2=10009814 

Ver imagen en Twitter
Ver los otros Tweets de IBM Security

El ejercicio es descrito en un artículo de la página SecurityIntelligence por Charles Henderson, jefe global de X-Force Red, un equipo autónomo de hackers veteranos contratados precisamente para “atacar” los sistemas electrónicos de las empresas a las que brindan servicio, con el fin de detectar vulnerabilidades para poder resolverlas.

De entrada, recuerda que tan sólo el servicio postal de Estados Unidos procesa y entrega 484.8 millones de piezas de correo de primera clase al día, aproximadamente una y media por persona. Esto, sin tener en cuenta los millones de envíos entregados a través de correos internacionales. A esto hay que sumarle los envíos de empresas de mensajería, relacionadas sobre todo con comercio electrónico.

A estos esquemas convencionales recurrió precisamente IBM X-Force Red para probar la efectividad del sistema al que bautizó “buque de guerra”, aunque bien pudo llamarse “caballo de Troya”.

Sumit Gupta@SumitGup

Amazing white hat work by @IBMSecurity team on a new type of enterprise attack called “Warshipping”. Beware of the $100 hacking device in our corporate gifts like Teddy Bears that can sniff your Wifi password https://buff.ly/2yMyFJq 

Ver imagen en Twitter
Ver los otros Tweets de Sumit Gupta

“Nuestro objetivo al hacerlo fue ayudar a educar a nuestros clientes sobre los puntos ciegos de seguridad y las formas modernas en que los adversarios pueden interrumpir sus operaciones comerciales o robar datos confidenciales”, afirma Henderson.

En ese contexto rememora la forma como cibercriminales operaban en décadas pasadas, recorriendo la carretera en una camioneta equipada con un equipo capaz de detectar redes de WiFi con estándares débiles de protección.

Descubrieron que entre las más vulnerables estaban las redes de las tiendas minoristas. Bastaba con estacionarse afuera del almacén para infiltrarse remotamente y acceder a datos personales de clientes. Fue así como se cometió el famoso hackeo a la cadena TJX en 2005, que significó el robo de millones de registros de sus consumidores, lo que al final le costó a la compañía casi 2 mil millones en pérdidas financieras.

Ante la paranoia de nuestros días, no es práctico dar vueltas con una camioneta alrededor de un supermercado. Pero se pueden seguir practicando intrusiones remotas mediante dispositivos más pequeños y que además pueden ser operados a una mayor distancia.

“Un atacante podría controlar el dispositivo desde la comodidad de su hogar en cualquier parte del mundo. Todo lo que un agente malicioso debe hacer es esconder un dispositivo pequeño (similar al tamaño de un teléfono celular pequeño) en un paquete y enviárselo a su víctima para obtener acceso a su red”, alerta Henderson.

“De hecho, podrían enviar múltiples dispositivos a su ubicación de destino gracias al bajo costo de construcción. El dispositivo, un sistema con control remoto habilitado para 3G, puede colocarse en el fondo de una caja de embalaje o rellenarse en el oso de peluche de un niño y entregarse directamente en las manos o en el escritorio de la víctima seleccionada”.

X-Force Red@xforcered

You have heard of wardialing and wardriving, now see warshipping! Attacking your network from a cardboard box.

Video insertado

22 personas están hablando de esto

Henderson narra que su equipo diseñó este tipo de tanques de guerra y descubrieron lo barato y fácil que resulta construirlos (con 100 dólares puede hacerse uno).

“Aplicando algunos trucos astutos, pudimos convertir estos dispositivos en gadgets de baja potencia cuando están activos y apagarlos completamente cuando están inactivos. Mediante el uso de un módem tipo Internet de las Cosas también pudimos mantener estos dispositivos conectados mientras estábamos en tránsito y comunicarnos con ellos cada vez que se encendían”, añade Henderson, quien describe la forma como pueden comprometerse redes WiFi vulnerables mediante esos intrusos.

¿Cómo evitarlo? Henderson recomienda tratar a la paquetería como se trataría a las personas en materia de seguridad: con protocolos de inspección para evitar que cualquier caja esté en cualquier lugar, deshacerse de las cajas lo más rápido posible, e instalar escáneres en compañías que reciban grandes volúmenes.

Y, además, prohibir que los empleados reciban paquetería de Amazon o eBay en la recepción de su oficina. Aunque es probable que ya muchas empresas practiquen esta prohibición sin necesidad de temer a los hackers.

Comentarios

Load More