CIUDAD DE MÉXICO (apro).- El correo convencional y la paquetería a domicilio son dos vías que están al alcance de la ciberdelincuencia.
Empresas y consumidores están acostumbrados a los ataques vía electrónica. Sin embargo, la correspondencia física y la entrega de pedidos a los clientes del comercio electrónico constituyen otra forma mediante la cual los delincuentes pueden acceder al sistema de un particular para sustraer su información o infectar sus computadoras.
Así lo descubrió el grupo X-Force Red de la empresa IBM, que llevó a la práctica esta novedosa forma de hackeo. Hizo llegar, por medio de sobres y cajas, dispositivos ocultos que lograron infiltrarse con facilidad y sin ser detectados en redes corporativas de empresas. No para dañarlas, sino para “educarlas”.
El ejercicio es descrito en un artículo de la página SecurityIntelligence por Charles Henderson, jefe global de X-Force Red, un equipo autónomo de hackers veteranos contratados precisamente para “atacar” los sistemas electrónicos de las empresas a las que brindan servicio, con el fin de detectar vulnerabilidades para poder resolverlas.
De entrada, recuerda que tan sólo el servicio postal de Estados Unidos procesa y entrega 484.8 millones de piezas de correo de primera clase al día, aproximadamente una y media por persona. Esto, sin tener en cuenta los millones de envíos entregados a través de correos internacionales. A esto hay que sumarle los envíos de empresas de mensajería, relacionadas sobre todo con comercio electrónico.
A estos esquemas convencionales recurrió precisamente IBM X-Force Red para probar la efectividad del sistema al que bautizó “buque de guerra”, aunque bien pudo llamarse “caballo de Troya”.
“Nuestro objetivo al hacerlo fue ayudar a educar a nuestros clientes sobre los puntos ciegos de seguridad y las formas modernas en que los adversarios pueden interrumpir sus operaciones comerciales o robar datos confidenciales”, afirma Henderson.
En ese contexto rememora la forma como cibercriminales operaban en décadas pasadas, recorriendo la carretera en una camioneta equipada con un equipo capaz de detectar redes de WiFi con estándares débiles de protección.
Descubrieron que entre las más vulnerables estaban las redes de las tiendas minoristas. Bastaba con estacionarse afuera del almacén para infiltrarse remotamente y acceder a datos personales de clientes. Fue así como se cometió el famoso hackeo a la cadena TJX en 2005, que significó el robo de millones de registros de sus consumidores, lo que al final le costó a la compañía casi 2 mil millones en pérdidas financieras.
Ante la paranoia de nuestros días, no es práctico dar vueltas con una camioneta alrededor de un supermercado. Pero se pueden seguir practicando intrusiones remotas mediante dispositivos más pequeños y que además pueden ser operados a una mayor distancia.
“Un atacante podría controlar el dispositivo desde la comodidad de su hogar en cualquier parte del mundo. Todo lo que un agente malicioso debe hacer es esconder un dispositivo pequeño (similar al tamaño de un teléfono celular pequeño) en un paquete y enviárselo a su víctima para obtener acceso a su red”, alerta Henderson.
“De hecho, podrían enviar múltiples dispositivos a su ubicación de destino gracias al bajo costo de construcción. El dispositivo, un sistema con control remoto habilitado para 3G, puede colocarse en el fondo de una caja de embalaje o rellenarse en el oso de peluche de un niño y entregarse directamente en las manos o en el escritorio de la víctima seleccionada”.
Henderson narra que su equipo diseñó este tipo de tanques de guerra y descubrieron lo barato y fácil que resulta construirlos (con 100 dólares puede hacerse uno).
“Aplicando algunos trucos astutos, pudimos convertir estos dispositivos en gadgets de baja potencia cuando están activos y apagarlos completamente cuando están inactivos. Mediante el uso de un módem tipo Internet de las Cosas también pudimos mantener estos dispositivos conectados mientras estábamos en tránsito y comunicarnos con ellos cada vez que se encendían”, añade Henderson, quien describe la forma como pueden comprometerse redes WiFi vulnerables mediante esos intrusos.
¿Cómo evitarlo? Henderson recomienda tratar a la paquetería como se trataría a las personas en materia de seguridad: con protocolos de inspección para evitar que cualquier caja esté en cualquier lugar, deshacerse de las cajas lo más rápido posible, e instalar escáneres en compañías que reciban grandes volúmenes.
Y, además, prohibir que los empleados reciban paquetería de Amazon o eBay en la recepción de su oficina. Aunque es probable que ya muchas empresas practiquen esta prohibición sin necesidad de temer a los hackers.