SAS
Las webs de noticias suelen contar historias sobre errores en computadoras y vulnerabilidades empleadas para llevar a cabo incidentes a gran escala como los ataques del año pasado WannaCry y NotPetya. Pero los expertos saben que muchos de los hackeos realizados con éxito son el resultado de una equivocación por parte de los desarrolladores o instaladores.
Los sistemas mal configurados están a la orden del día y un hacker solo necesita unas pocas horas desde que lo descubre hasta que se aprovecha de ello. En el Security Analyst Summit 2018, el investigador israelí Inbar Raz dio una serie de ejemplos para confirmar este hecho.
Café gratis
Muchas cafeterías ofrecen tarjetas de fidelización. El proceso es el siguiente: el cliente recibe una tarjeta, la recarga como una tarjeta bancaria y la usa para pagar en la cafetería; así, consiguen premios por compras grandes o frecuentes. El cliente puede comprobar el crédito en la web de la cafetería introduciendo el número de la tarjeta.
Cuando Inbar Raz adquirió una de estas tarjetas, cayó en la cuenta de que la web permite a los usuarios comprobar cualquier número de tarjeta sin limitaciones, por lo que, con la ayuda de un programa que tardó media hora en escribir, Raz fue probando diferentes números de tarjeta hasta dar con algunas con mucho dinero.
Luego, tras leer la banda magnética de su tarjeta con un lector USB económico, Raz descubrió que el número se había escrito en la tarjeta sin codificarlo; el único aporte de seguridad era un bit de control muy fácil de calcular. Lo siguiente fue coser y cantar, remplazó el número en la banda de la tarjeta por uno de los encontrados y accedió al crédito de otras tarjetas.
Raz, por razones éticas, puso en práctica el concepto comprando otra tarjeta, recargándola y escribiendo su número en la primera tarjeta. Funcionó. En teoría, cualquier empleado podría darse cuenta si comprobara el número del recibo con el impreso en la tarjeta, pero, es muy poco probable que eso pase. Así pues, el hacker podría disfrutar de café gratis sin límite (y puede que también de una buena rebanada de pastel).
Seguimiento al estilo de Uber
Hace un tiempo, Uber formó parte de un escándalo en el que se afirmó que los empleados habían realizado un mal uso de la aplicación para rastrear a pasajeros importantes.
Al parecer, otros servicios de taxi permitían el acceso a esta información sin tener que operar con ellos. Inbar Raz averiguó que cuando se reserva un taxi online, se puede rastrear su estado mediante el número de teléfono de contacto (y como en el caso del café, no existe protección contra las búsquedas por fuerza bruta).
Escribió un pequeño programa y obtuvo un mapa en el que se indicaban las direcciones de todos los pedidos de taxi.
(In)seguridad en el aeropuerto
A veces, el wifi gratis puede tener sorpresas escondidas. En una sala VIP de un aeropuerto del este de Europa, Inbar Raz decidió comprobar la configuración del punto de acceso local.
La configuración del router podía abrirse desde la dirección estándar de la web, sin necesidad de introducir ningún usuario ni contraseña. Una vez analizados los ajustes, Raz vio que no se trataba de un simple punto de acceso para invitados, sino del router central del aeropuerto al que se conectan sistemas de seguridad y con el que se realizan comunicaciones vitales. Cualquiera podría desactivar estos servicios con un portátil o, incluso, un smartphone.
Que los programadores y los administradores de sistemas presten atención. No des por hecho que tu cafetería (o servicio de taxis o aeropuerto) no es de interés para los hackers. Los ajustes estándar, las contraseñas fáciles como “admin” o “12345”, no utilizar CAPTCHA y demás medidas para luchar contra los ataques automáticos, son las debilidades más comunes en seguridad (y el modo más común que tienen los cibercriminales para hacer de las suyas). Hasta los hackers más novatos pueden aprovecharse de estas situaciones. Y las personas como Inbar Raz (que informen de las vulnerabilidades en lugar de aprovecharse de ellas) se pueden contar con los dedos de una mano.
