Hace unos días, un grupo de delincuentes realizó un ataque a un
proveedor de servicios de Internet en Estados Unidos, logrando acceso a
los nombres de usuario y contraseña de los clientes. Las contraseñas
obtenidas fueron utilizadas para ingresar a sistemas bancarios de
algunas de las víctimas y transferir alrededor de 100 mil
dólares,
según afirman los cibercriminales en su cuenta de Twitter.
Mediante la utilización de la técnica SQL injection, un servidor
vulnerable del proveedor de servicios de Internet Sebastian, de
California, fue atacado para obtener los datos de sus
usuarios. El
ataque pudo ser perpetrado en cuestión de minutos gracias a la
automatización con la herramienta
SQLmap,
la cual busca posibles ataques y los aplica, volcando la estructura y
contenido de las bases de datos. Posteriormente el grupo subió un
video demostrando no sólo el ataque al ISP, sino también el acceso a las cuentas bancarias de algunos clientes.
La captura corresponde al comando sqlmap con la opción
"dbs", que
muestra las bases de datos disponibles en el servidor. En la parte
superior de la imagen se ha resaltado el servidor que está siendo
atacado, y también puede observarse información como el tipo de ataque y
el motor de base de datos. En base al conocimiento de esta información,
los cibercriminales pueden buscar las tablas con información de los
usuarios, lo cual se muestra en la siguiente imagen:
Se han ofuscado los nombres de usuario y direcciones de correo
electrónico, pero los valores resaltados corresponden a las contraseñas.
Con esto queremos mostrar una falla grave de seguridad, más bien a
nivel conceptual, por parte de los administradores: las contraseñas
estaban almacenadas en texto plano y pueden ser usadas en forma directa
si caen en manos equivocadas. En este caso, a nivel de seguridad, la
buena práctica sería que las
contraseñas estuvieran almacenadas como un
valor resultante de aplicar una función de hash (como MD5 o SHA1),
además de la utilización de
"granos de sal".
Otro factor fundamental en el ataque, que excede la responsabilidad de
este proveedor de servicios de Internet y que tiene que ver con los
usuarios, es que para algunos de los clientes, la contraseña utilizada
era la misma que la de otros servicios de correo electrónico, redes
sociales o entidades bancarias. Si bien es cierto que puede ser difícil
recordar muchas
contraseñas,
nunca debe utilizarse la misma contraseña para todos los servicios.
En la siguiente imagen puede verse cómo los cibercriminales ingresan al
sistema de transacciones bancarias de uno de los
usuarios:
En resumen, a partir de una contraseña robada en el servidor del ISP se
ha logrado acceso a la cuenta bancaria de un usuario, puesto que la
contraseña era la misma. El video luego muestra cómo se puede llevar a
cabo un movimiento de fondos, con lo cual los criminales proclaman que
han ganado cientos de miles de dólares. Por ello debemos insistir en que
nunca debe utilizarse la misma contraseña para distintos servicios.