Por Kenrick Vezina
Si alguna vez ha estado explorando la red y ha alterado de forma manual parte de la URL en la barra de direcciones de su navegador—por ejemplo, para acceder a una carpeta diferente en Flickr, o a un perfil de otro amigo en Facebook—usted habrá llevado a cabo la misma sencilla técnica que un grupo de hackers utilizó recientemente para comprometer más de 360.000 cuentas bancarias de Citigroup.
Esta primavera, según el New York Times, unos hackers informáticos con cuentas legítimas de tarjetas de crédito de Citi entraron en el sitio web y se dieron cuenta de que la URL mostraba datos únicos para cada cuenta. Al cambiar unos cuantos números en la URL, los hackers entraron dentro de las cuentas de otras personas sin tener que acceder al sistema como lo harían dichas personas. A partir de ahí, utilizaron un software personalizado para sustituir automáticamente los números de cuenta, lo que les permitió acceder a varias cuentas en un corto tiempo, según informó el Times. (Citigroup declinó hacer comentarios más allá de una declaración que reconoce que los hackers obtuvieron nombres, números de cuenta, direcciones de correo electrónico, y el historial de transacciones.)
Bruce Schneier, jefe de tecnología de la empresa de telecomunicaciones BT, afirma que evitar que la URL muestre información específica de las cuentas es una medida de "seguridad a nivel de guardería infantil". La investigadora de seguridad L. Jean Camp, de la Universidad de Indiana, está de acuerdo con que el ataque fue notablemente simple. "¿Se lo puede creer?" señala.
Lo cual plantea una pregunta: ¿Cómo es posible que una sofisticada institución financiera—que ha sido hackeada con anterioridad—permita que suceda algo como esto? En esencia, han construido una bóveda de acero sólido y utilizan madera de balsa para la puerta.
La balcanización dentro de Citigroup podría haber desempeñado un papel importante en todo esto. Las grandes organizaciones, señala Camp, suelen tener grupos separados para el servicio al cliente y la seguridad de la red. En una empresa típica, los empleados saben que ciertas tareas deben ir siempre a través de ciertos departamentos—todos los cambios personales pasan a través de Recursos Humanos, por ejemplo. No obstante, este papel de "guardián" no siempre existe para la seguridad. Esto significa que un grupo de servicio al cliente podría diseñar una página web para los titulares de tarjetas de crédito sin necesidad de que en primer lugar fuese puesta a prueba por el equipo de seguridad. Camp ha consultado con al menos una gran empresa en la que el equipo de interfaz de usuario afirmó, en cuanto a su diseño, que "si añadimos la seguridad, no funcionará". La seguridad sólo se pide en respuesta a una amenaza o violación, afirma Camp.
E incluso si una empresa presta gran atención a la seguridad, la complejidad de la organización puede entorpecer las cosas, afirma Patrick Peterson, experto en seguridad de Cisco Systems. Señala que otras partes de Citigroup, al parecer, habían solucionado este mismo agujero de seguridad, a pesar de que el grupo de tarjetas de crédito no lo hiciese. La compañía "podría poseer 20, 30, 40 líneas de negocio", señala, "y un 99,999 por ciento de las veces lo hacen bien. Pero de pronto a alguien se le olvida algo. No es justificable, pero es difícil cuando las cosas se amplian una y otra vez".
Chris Novak, director ejecutivo de la rama de seguridad de Verizon, y que realiza labores de asesoría con empresas sobre prevención de intrusiones, afirma que los descuidos de seguridad suelen ser consecuencia de un enfoque del tipo 'nosotros y ellos'. En otras palabras, muchas organizaciones asumen que los empleados y otros miembros internos son de confianza, por lo que se centran en la defensa contra las amenazas externas. Sin embargo, al diseñar sus sistemas con estos dos grupos en mente, a menudo pasan por alto un tercer grupo: "aquellos que no son desconocidos, pero que tampoco son empleados". Eso es básicamente lo que sucedió en el atraco de Citi, cuando los hackers nunca se encontraron con las defensas creadas para aquellas personas que no pertenecen en absoluto a la empresa. Es como si la empresa asumiese que los ladrones de bancos no tienen cuentas bancarias.
Novak afirma que cuando a las organizaciones se les muestran las vulnerabilidades que estos usuarios-pero-no-empleados pueden explotar, su primera respuesta suele ser: "Bueno, ¿y por qué iba a hacer eso un usuario?" Además, añade, muchas de las grandes organizaciones "piensan que no tienen problemas pequeños". Terminan preocupándose por situaciones del tipo "Misión Imposible", afirma, aunque la gran mayoría de los ataques son "oportunistas".
Schneier sugiere una explicación más calculada para la falta de defensas adecuadas de Citi. Tal vez el banco no haya gastado dinero en una buena seguridad ya que pensó que sería más barato y más sencillo reembolsar a sus clientes por cualquier cargo fraudulento, afirma.
Sea como fuere, estas debilidades básicas de seguridad son más comunes de lo que se podría esperar, afirma Novak. Fallos similares a los de Citigroup surgen cada año en el Informe de Investigación de Filtración de Datos de Verizon, un análisis de cientos de intrusiones. En el informe de 2011, por ejemplo, sólo el 18 por ciento de los casos investigados por Verizon resultaron ser mediante ataques de "alta" dificultad—que requieren "conocimientos avanzados".
Copyright Technology Review 2011.
No hay comentarios:
Publicar un comentario