{"id":12672,"date":"2018-03-20T17:32:18","date_gmt":"2018-03-20T23:32:18","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=12672"},"modified":"2018-03-28T01:19:10","modified_gmt":"2018-03-28T07:19:10","slug":"small-hacks-sas2018","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/small-hacks-sas2018\/12672\/","title":{"rendered":"Peque\u00f1os hackeos: caf\u00e9 gratis, espionaje de taxis y un aeropuerto vulnerable"},"content":{"rendered":"

Las webs de noticias suelen contar historias sobre errores en computadoras y vulnerabilidades empleadas para llevar a cabo incidentes a gran escala como los ataques del a\u00f1o pasado WannaCry<\/a> y NotPetya<\/a>. Pero los expertos saben que muchos de los hackeos<\/i> realizados con \u00e9xito son el resultado de una equivocaci\u00f3n por parte de los desarrolladores o instaladores.<\/p>\n

Los sistemas mal configurados est\u00e1n a la orden del d\u00eda y un hacker<\/i> solo necesita unas pocas horas desde que lo descubre hasta que se aprovecha de ello. En el Security Analyst Summit 2018<\/a>, el investigador israel\u00ed Inbar Raz dio una serie de ejemplos para confirmar este hecho.<\/p>\n

\"\"<\/p>\n

Caf\u00e9 gratis<\/h3>\n

Muchas cafeter\u00edas ofrecen tarjetas de fidelizaci\u00f3n. El proceso es el siguiente: el cliente recibe una tarjeta, la recarga como una tarjeta bancaria y la usa para pagar en la cafeter\u00eda; as\u00ed, consiguen premios por compras grandes o frecuentes. El cliente puede comprobar el cr\u00e9dito en la web de la cafeter\u00eda introduciendo el n\u00famero de la tarjeta.<\/p>\n

Cuando Inbar Raz adquiri\u00f3 una de estas tarjetas, cay\u00f3 en la cuenta de que la web permite a los usuarios comprobar cualquier n\u00famero de tarjeta sin limitaciones, por lo que, con la ayuda de un programa que tard\u00f3 media hora en escribir, Raz fue probando diferentes n\u00fameros de tarjeta hasta dar con algunas con mucho dinero.<\/p>\n

Luego, tras leer la banda magn\u00e9tica de su tarjeta con un lector USB econ\u00f3mico, Raz descubri\u00f3 que el n\u00famero se hab\u00eda escrito en la tarjeta sin codificarlo; el \u00fanico aporte de seguridad era un bit<\/i> de control muy f\u00e1cil de calcular. Lo siguiente fue coser y cantar, remplaz\u00f3 el n\u00famero en la banda de la tarjeta por uno de los encontrados y accedi\u00f3 al cr\u00e9dito de otras tarjetas.<\/p>\n

Raz, por razones \u00e9ticas, puso en pr\u00e1ctica el concepto comprando otra tarjeta, recarg\u00e1ndola y escribiendo su n\u00famero en la primera tarjeta. Funcion\u00f3. En teor\u00eda, cualquier empleado podr\u00eda darse cuenta si comprobara el n\u00famero del recibo con el impreso en la tarjeta, pero, es muy poco probable que eso pase. As\u00ed pues, el hacker<\/i> podr\u00eda disfrutar de caf\u00e9 gratis sin l\u00edmite (y puede que tambi\u00e9n de una buena rebanada de pastel).<\/p>\n

Seguimiento al estilo de Uber<\/h3>\n

Hace un tiempo, Uber form\u00f3 parte de un esc\u00e1ndalo<\/a> en el que se afirm\u00f3 que los empleados hab\u00edan realizado un mal uso de la aplicaci\u00f3n para rastrear a pasajeros importantes.<\/p>\n

Al parecer, otros servicios de taxi permit\u00edan el acceso a esta informaci\u00f3n sin tener que operar con ellos. Inbar Raz averigu\u00f3 que cuando se reserva un taxi online<\/i>, se puede rastrear su estado mediante el n\u00famero de tel\u00e9fono de contacto (y como en el caso del caf\u00e9, no existe protecci\u00f3n contra las b\u00fasquedas por fuerza bruta<\/a>).<\/p>\n

Escribi\u00f3 un peque\u00f1o programa y obtuvo un mapa en el que se indicaban las direcciones de todos<\/b> los pedidos de taxi.<\/p>\n

\"\"<\/p>\n

(In)seguridad en el aeropuerto<\/h3>\n

A veces, el wifi gratis puede tener sorpresas escondidas. En una sala VIP de un aeropuerto del este de Europa, Inbar Raz decidi\u00f3 comprobar la configuraci\u00f3n del punto de acceso local.<\/p>\n

La configuraci\u00f3n del router<\/i> pod\u00eda abrirse desde la direcci\u00f3n est\u00e1ndar de la web, sin necesidad de introducir ning\u00fan usuario ni contrase\u00f1a. Una vez analizados los ajustes, Raz vio que no se trataba de un simple punto de acceso para invitados, sino del router<\/i> central del aeropuerto al que se conectan sistemas de seguridad y con el que se realizan comunicaciones vitales. Cualquiera podr\u00eda desactivar estos servicios con un port\u00e1til o, incluso, un smartphone<\/i>.<\/p>\n

\"\"<\/p>\n

Que los programadores y los administradores de sistemas presten atenci\u00f3n. No des por hecho que tu cafeter\u00eda (o servicio de taxis o aeropuerto) no es de inter\u00e9s para los <\/i>hackers. Los ajustes est\u00e1ndar, las contrase\u00f1as f\u00e1ciles como \u201cadmin\u201d o \u201c12345\u201d, no utilizar CAPTCHA y dem\u00e1s medidas para luchar contra los ataques autom\u00e1ticos, son las debilidades m\u00e1s comunes en seguridad (y el modo m\u00e1s com\u00fan que tienen los cibercriminales para hacer de las suyas). Hasta los hackers<\/i> m\u00e1s novatos pueden aprovecharse de estas situaciones. Y las personas como Inbar Raz (que informen de las vulnerabilidades en lugar de aprovecharse de ellas) se pueden contar con los dedos de una mano.<\/p>\n","protected":false},"excerpt":{"rendered":"

En el Security Analyst Summit de este a\u00f1o, Inbar Raz ha revelado c\u00f3mo se las arregl\u00f3 para hackear el sistema de tarjetas de fidelizaci\u00f3n de una cadena de caf\u00e9, un servicio de taxi y un aeropuerto.<\/p>\n","protected":false},"author":32,"featured_media":12673,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[3195,522,783,1710,3327],"class_list":{"0":"post-12672","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-thesas2018","9":"tag-hackear","10":"tag-sas","11":"tag-security-analyst-summit","12":"tag-the-sas-2018"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/small-hacks-sas2018\/12672\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/small-hacks-sas2018\/12792\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/small-hacks-sas2018\/10602\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/small-hacks-sas2018\/14917\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/small-hacks-sas2018\/13230\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/small-hacks-sas2018\/15551\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/small-hacks-sas2018\/15194\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/small-hacks-sas2018\/19912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/small-hacks-sas2018\/4804\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/small-hacks-sas2018\/21606\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/small-hacks-sas2018\/9097\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/small-hacks-sas2018\/16130\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/small-hacks-sas2018\/9454\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/small-hacks-sas2018\/19896\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/small-hacks-sas2018\/19833\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/small-hacks-sas2018\/19853\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/12672","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=12672"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/12672\/revisions"}],"predecessor-version":[{"id":12674,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/12672\/revisions\/12674"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/12673"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=12672"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=12672"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=12672"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}