Ganar dinero con 1.200 Millones de identidades robadas

La noticia esta semana - entre toda la avalancha de noticias en el mundo de la ciberseguridad que se generan - ha sido para mí la de los 1.200 Millones de Identidades Robadas que estaban en manos de un grupo cibercriminal ruso, al que los investigadores han bautizado como CyberVor por eso de que Vor significa criminal en ruso. Según explica la noticia publicada en la web de la empresa, las técnicas que han utilizado los ladrones no son para nada desconocidas para los que trabajan en seguridad.

Cómo construir una base de datos de identidades robadas

La primera de ellas es fácil, irse al mercado negro y comprar bases de datos robadas de sitios web vulnerados. Estas bases de datos pueden ser de muchos usuarios o de pocos, pero al final van sumando identidades. En Internet ya es posible, simplemente buscando las guaridas de los ladrones de identidad o gracias a los grandes volcados de bases de datos conseguir unos buenos millones de ellas. En el caso de Have I Been Pwnd? el número anda ya - solo con los grandes sitios - por los 163 Millones de identidades.

La segunda de las formas que han podido utilizar para conseguir más bases de datos es mediante el uso de un botnet  Según parece, aprovechando las identidades compradas y grandes bases de datos de correo electrónico habrían hecho spam para conseguir infectar al máximo número de equipos con el malware de la botnet. Con estos equipos infectados, se llevarían todas las identidades que sus víctimas teclearan en los navegadores para ir construyendo la base de datos. Algo similar a cómo se explica en el artículo de Encontrar las guaridas de los ladrones de identidad.

Una vez metido el equipo dentro de la botnet, además de quitarle las identidades, las víctimas se dedicarían a buscar fallos de SQL Injection en todos los sitios web que visitaran, generando una base de datos de unos 400.000 sitios vulnerables a SQL Injection de los que también se habrían sacado bases de datos.

Según el reporte publicado, el objetivo principal del ataque era el robo de identidades, con usuarios, contraseñas y direcciones de correo electrónico, pero como consecuencia consiguieron un volumen ingente de datos personales de todas las víctimas, que podría ser utilizado en ataques más selectivos contra todos ellos.

Al final, parece que esos 1.200 Millones de identidades robadas estaban asociadas a más o menos 500.000 direcciones de correo electrónico, es decir, que de muchos usuarios consiguieron más de una identidad en varios sitios afectados y podrían haber sido más, si no fuera porque en los registros también se usan muchas direcciones de correo electrónico de usar y tirar y es difícil de unir una identidad con otra por ellos.

¿Es posible que un solo grupo se hiciera con 1.200 Millones de identidades únicas?

Pues a mí parecer no es para nada imposible. Entre las que ya hay en Have I been Pwned? más las del robo de la empresa Target estaríamos hablando de más de 500 Millones de ellas, así que con trabajo, esfuerzo, una botnet y dinero fresco (o virtual) para comprar en el Black Market parece más que posible.

¿Es posible que haya 400.000 sitios web?

Pues sí. Y probablemente muchos, muchos, muchos más. Ya hemos visto en el pasado ataques masivos SQL Injection usando el propio Google que han afectado a una burrada de sitios web. Caso reciente que recuerde, el de la operación Lizamoon que se utilizó para distribuir malware con URLs drive by download que se inyectaban en el código de las webs aprovechando vulnerabilidades de SQL Injection buscadas automáticamente a través de Google, y por supuesto no fue la primera.

Figura 2: Sitios de Apple.com indexados con las URLS de Lizamoon

En el año 2008 hubo uno de los primeros ataques de esta guisa, que afecto a millones de sitios con tecnología ASP. Ahora lo difícil es automatizar el ataque vía Google por las medidas de protección anti-dorking pero si se usa una botnet todo cambia.

¿Y las credenciales FTP que citan en el artículo?

Si consigues las credenciales de un servidor FTP con un malware instalado en un equipo - como se explica en el artículo sobre el robo de identidad - el paso siguiente es conectarse y descargar todas las bases de datos que estén allí. Al final, si consigues identidades de acceso a servidores FTP de un hosting, te puedes llevar bases de datos de sitios grandes y pequeños con mucha facilidad.

¿Para que las pueden querer?

Pues es bastante sencillo. Al final las identidades dan acceso a cosas, que pueden ser valiosas por sí mismas, pero si no, siempre se pueden utilizar para hacer los negocios tradicionales de Fraude Online que llevan mucho tiempo funcionando. Algunos de ellos son todavía más curiosos e imaginativos, a la par que provechosos si tienes los compradores adecuados. 

Por ejemplo, en el caso de la re-utilización de contraseñas, se podría intentar conseguir identidades valiosas en el mundo de la ciberseguridad como los Apple ID o las cuentas Google para controlar los terminales y equipos de las víctimas remotamente, acceder por ejemplo al backup de un iPhone en la nube como se explica en el libro de hacking iPhone o tener controlada la ubicación constantemente de una persona por su terminal Android, etcétera.  

Con los correos electrónicos es posible averiguar las redes sociales, o sitios donde se tiene cuenta. Si se reutilizan las cuentas, se puede acceder a más datos que estén alojados en esos sitios. Si se termina consiguiendo una base de datos con la identidad, la password, la ubicación de conexión, la dirección de correo electrónico, donde vive, la tarjeta de crédito, el número de teléfono, etcétera, la base de datos se hace cada vez más valiosa. 

Las posibilidades de qué hacer con esos datos depende de a quién se los vendas. ¿Os imagináis esa información en manos de agencias de espionaje? ¿O en manos de grupos terroristas? ¿O en manos de bandas de estafadores? En cualquier caso, con 1.200 Millones de identidades, más datos personales, etcétera, las posibilidades son muchas.

¿Se podría hacer algo para mitigar este caso?

Lo importante no es que mitigues este caso, sino que tengas unos hábitos saludables en la gestión de identidades que te ayuden a evitar este caso y los que no te enteres que también suceden:

- Cambia las contraseñas periódicamente: Yo me marco una hora en mi agenda una vez al mes para cambiar las claves de los sitios principales.
- No reutilices contraseñas y huye de métodos predecibles: Si alguien ve una password y puede predecir el métido, estás muerto.
- Pon un segundo factor de autenticación en tus identidades: Google Authenticator, Verificación en dos pasos para Apple ID y Latch en todos los sitios que puedas ponerlas hoy en día.

En este artículo sobre protección de identidades digitales tienes más información sobre el uso de segundos factores de autenticación y segundos factores de autorización como Latch.

¿Y si soy el administrador de un sitio web?

Si gestionas un sitio con identidades pon un 2FA para tus usuarios. Si tienes una base de datos de usuarios, nunca podrás estar seguro de que no le hayan robado las cuentas, o de que roben tu cuenta de administrador por que la reutilizaste en otro sitio. Para evitar problemas, se responsable y dale al usuario de tu sitio la opción de poner un 2FA. Puedes poner Google Authenticator, Latch o cualquier otro que haya por ahí. 

Latch lo tienes disponible para muchas plataformas com WordPress, Drupal, Joomla, PrestaShop, OpenVPN, OpenLDAP, DotNetNuke, RedMine, Open X-change, PHPBB, PHPMyAdmin u OpenSSH.Tienes en la web todos los plugins de Latch disponibles para descarga.

Figura 4: Plugins y SDKs de Latch

Pero además tienes disponible Latch para Windows, para Active Directory y los SDKs para que lo pongas en cualquier aplicación web que gestione identidades, sea .NET, Java, PHP, Ruby On Rails, PowerShell, Python, Lenguaje C, y hasta para Node.JS. Si tienes dudas, tenemos guías para ayudarte con la integración de los puglings o en apps escritos en cualquiera de las plataformas.

¿Puede volver a pasar algo similar a esto?

No solo creo que vuelva a pasar, sino que creo que muchos ya están haciendo lo mismo, o ya lo tienen hecho. Recuerdo que con un simple ataque de phishing un par de criminales rusos consiguieron secuestrar masivamente dispositivos de Apple con el caso del ransomware de Oleg Pliss. Hay negocio y dinero en el mundo del cibercrimen y el fraude online, así que habrá gente que pensará que es una buena idea. 

Figura 5: Un anuncio para trabajar en el cibercrimen ruso

Recuerdo el caso de Paunch, el creador del kit de Exploits BlackHole, que llegó a generar 2.3 Millones de Dólares Americanos con su negocio. Y claro, sin pagar impuestos. El mundo del cibercrimen es un negocio con unos márgenes muy atractivos para aquellos que no temen dar con sus huesos en la cárcel.

Al final, a día de hoy, a pesar de la gran guerra que hay entre los grandes proveedores de Internet, la identidad de las personas en Internet sigue siendo un problema que resolver a muchos niveles. A nivel técnico, a nivel - tal vez legislativo - y por supuesto a nivel individual donde la gente no está tomando la suficiente conciencia aún del valor de su/s identidad/es digitales.

Saludos Malignos!