Artículos de Seguridad Threat Center ESET Online Scanner Amenazas Explicadas Niveles de Amenazas Consejos Prácticos Casos de Estudio ThreatSense ESET Live Grid
 
El FBI y Scotland Yard versus Anonymous: Lecciones de seguridad

En los últimos días, la atención pública relacionada con la seguridad informática, se ha centrado en las noticias de que Anonymous, ha revelado el contenido de una conferencia telefónica entre el FBI y Scotland Yard. Parte del interés es el hecho de que dos sofisticadas organizaciones hayan sido vulneradas tan fácilmente. Para algunos, lo más interesante es la lección que podemos aprender sobre el tema.



Para Steven M. Bellovin, profesor del departamento de Ciencias de la Computación de la Universidad de Columbia, Estados Unidos, lo importante es lo que podemos aprender acerca de lo que está mal con la seguridad. "Muchos de los fracasos que condujeron a este incidente, son endémicas en el mundo de hoy, y gran parte de los consejos que nos dan sobre lo que debe hacerse son simplemente erróneos o posiblemente incluso perjudiciales," afirma.

Para Bellovin, la primera cuestión es cómo Anonymous ha logrado grabar la llamada. Los métodos mostrados en las películas, no son tan sencillos de implementar como lo hace ver Hollywood. No son imposibles, pero no son el camino más fácil para una tarea como ésta.

Más bien, lo que parece haber sucedido es que Anonymous ha podido leer un correo electrónico donde se anunciaban los detalles para participar en la llamada, y simplemente el grupo intervino en la misma como todos los demás participantes.

Ese mensaje fue enviado a "más de tres docenas de personas de las oficinas de Scotland Yard y otras agencias en Francia, Alemania, Irlanda, Países Bajos y Suecia," cualquier simple falla de seguridad en alguna parte de esa cadena, podría haber dado lugar a la fuga de información.

Aquí vemos el primer fallo: los detalles de las llamadas eran, efectivamente, una credencial compartida. Es muy probable que en la conferencia, el moderador no tuviera ninguna idea de quién había ingresado.

Podemos ver el mismo fenómeno en otros escenarios. Muchas personas comparten una contraseña para el inicio de sesión, el acceso al correo electrónico, etc. No es extraño que un ejecutivo de vacaciones ofrezca a su secretaria la contraseña de su cuenta de correo electrónico, o que algunas parejas compartan las contraseñas por cuestiones románticas. Cualquiera sea la razón, ello genera un gran riesgo de seguridad.

En las noticias, se informa que "uno de los destinatarios del mensaje, --un oficial policial de otro país--, remitió la notificación a una cuenta privada". En este punto, es tentador culpar a esta persona. Puede decirse que él (o ella), estuviera mal entrenado o haya ignorado algunas órdenes previas. Para Bellovin, este funcionario se comportó de un modo muy racional, y tal vez le resultaba más fácil acceder al mensaje reenviándoselo a una cuenta de Gmail, por no tener acceso fácil al correo del trabajo en ese momento.

No debería ocurrir --y es de esperar que un oficial de policía que trabaja en alguna organización que combate el delito cibernético entienda los riesgos--, pero en la vida real, un mecanismo de seguridad que puede ser incómodo, tienta a los empleados a evadirlo por razones de tiempo o para ser más productivo.

Pero, ¿cómo sabía Anonymous cuál cuenta de correo electrónico debería monitorear? Una variedad de grupos delictivos, han hecho un hábito atacar servidores de correo electrónico de organismos oficiales, con cierto éxito en aquellas organizaciones policiales menos sofisticadas.

Como resultado de esas acciones, se puede obtener una lista de direcciones de correo electrónico, y tal vez sus contraseñas. Y quizás lo más importante, puede saberse si se está usando un servidor de correo externo, uno que no está protegido por las redes privadas virtuales, firewalls, contraseñas, y otros tipos de protección más sofisticados. A partir de allí, un atacante tiene varias maneras de proceder.

En primer lugar, podría usar las mismas contraseñas de correo electrónico con el servidor de correo externo. Las probabilidades de tener éxito son altas, demasiada gente utiliza las mismas claves. ¿Y por qué hacen esto? Debido a que "tienen demasiadas contraseñas para recordar," sobre todo si son todas del tipo "fuerte" (letras, números, mayúsculas, minúsculas espacios, etc.). Y, por supuesto, tienen prohibido escribirlas en algún lugar.

La mayor parte de los consejos que se reciben, comienzan con "elegir una contraseña segura". Las contraseñas seguras no son una mala idea, pero nadie puede memorizar todas las contraseñas que tienen, la reutilización es la respuesta habitual.

Una segunda manera en la que los atacantes podrían haber comprometido la cuenta del funcionario, es a través de un mensaje de phishing, una trampa que termina instalando un keylogger, un software que captura todo lo ingresado a través del teclado. Si los atacantes hicieron esto, incluso la encriptación de los mensajes de correo electrónico no habría ayudado; el mismo malware que roba la contraseña de acceso, probablemente podría robar la clave privada.

Sin embargo, Bellovin está bastante seguro de que no se utilizó el cifrado, la mayoría de los sistemas de encriptación son demasiado difíciles de usar. Las "Smart-cards", o tarjetas inteligentes habrían ayudado, aunque no son 100% seguras (ver "Virus informático utiliza tarjetas de acceso del Departamento de Defensa de EEUU").

Para Bellovin, está claro que no existió un único fallo en esta fuga. En particular, el error más crucial, podría haber sido el reenvío de un correo electrónico a una cuenta personal. Prevenir que este tipo de incidentes se repitan no es una tarea fácil, ya que existen muchos puntos débiles involucrados.





Publicado el 11/02/2012

Otras noticias recientes:

Estafas vía SMS (06/03/2014)
¡Feliz Año Nuevo! (01/01/2014)
Ministerio del Interior de Perú víctima de ataque de hacktivistas (27/12/2013)
Los gamers fueron atacados casi 12 millones de veces en 2013 (26/12/2013)
Más de la mitad de los que usan móviles, prefiere ignorar los riesgos de seguridad (24/12/2013)
¿Será el hackeo de automóviles la siguiente gran ciber amenaza? (20/12/2013)
Crean método para memorizar contraseñas recreando historias (19/12/2013)
Alerta por campaña de phishing que utiliza la muerte de Mandela (18/12/2013)
Irán advierte sobre la posibilidad de un arma más poderosa que Stuxnet (14/12/2013)
Malware expone datos de miles de pacientes en Estados Unidos (11/12/2013)
Principio de la página Página anterior Imprimir esta página