Ataque a Uber: ¿cómo operan los hackers como Lapsus$, que ponen en jaque a compañías internacionales?

A mediados de setiembre Uber sufrió una violación a su red informática que lo llevó a desconectar varios de sus sistemas de ingeniería y comunicaciones. Se trató de uno de los ataques más graves que haya sufrido la compañía. Según informó la misma empresa, atrás de esta agresión estaría el conocido grupo de hackers Lapsus$, el cual también sería responsable de la reciente filtración del videojuego GTA VI, de la popular franquicia Rockstar.

No es la primera vez que se habla de Lapsus$. Estos cibercriminales ya han ganado notoriedad por haber vulnerado a algunas de las empresas más importantes del rubro tecnológico. Entre sus víctimas se encuentran Nvidia, Ubisoft, Vodafone, Samsung, Mercado Libre e, inclusive, Microsoft. A esta última, le robaron 37 GB con código fuente de su navegador Bing y su asistente digital Cortana.

MIRA: Nueva forma de ciberataque podría destruir tus archivos más importantes

Y aunque autoridades como el FBI le siguen la pista, hasta el momento no se conoce a ciencia cierta las identidades de los miembros que conforman esta organización criminal. Lo que sí se sospecha es que sus integrantes se mueven por dinero y notoriedad. Así, su principal objetivo es hackear grandes empresas, robar sus datos y amenazarlas con publicarlos para, de esa manera, cobrar un rescate.

Ante estos acontecimientos surge una pregunta válida, ¿cómo es posible que compañías tan grandes y de tanta reputación puedan ser vulneradas con –pareciera- tanta facilidad?

Basta un resquicio para tomar el control

“En estos casos se trata de actores maliciosos que tienen el tiempo, los recursos y la motivación suficientes para lograr sus objetivos. Y aquello se hace posible en combinación con vulnerabilidades en la infraestructura de la organización, así como debilidades, deficiencias, descuidos o negligencias entre su personal”, comenta a El Comercio Miguel Ángel Mendoza, investigador de seguridad de Eset Latam.

En el caso de Uber, lograron ingresar a sus sistemas gracias a una estrategia de ingeniería social. De acuerdo al portal Vice, primero se robaron credenciales de un colaborador de la empresa. Luego, se le envió al empleado en el transcurso de una hora varias notificaciones push para que acepte o rechace un intento de inicio de sesión. Y si bien el empleado de Uber no validó estos inicios de sesión, uno de los atacantes contactó al colaborador por WhatsApp haciéndose pasar por un trabajador del área de TI, a quien le dijo que para detener las notificaciones push debía aceptarlas.

“Por el lado de los atacantes basta un resquicio para generar una afectación negativa en una organización, mientras que para los equipos de seguridad es necesario proteger todos los elementos de la infraestructura tecnológica. La combinación de estos factores permite que los atacantes logren sus propósitos maliciosos u ofensivos”, señala el experto.

Mendoza explica que, acorde con Uber, para poder realizar toda esta operación es probablemente que los agresores hayan comprado la contraseña en la dark web, luego de que el dispositivo personal del trabajador se infectara con un malware, exponiendo esas credenciales.

Después de que los ciberdelincuentes lograron conseguir el acceso tuvieron carta abierta para ingresar a varias otras cuentas de empleados que, finalmente, les dieron permisos elevados para una serie de herramientas.

Según informó el periodista de New YorK Times, Kevin Roose, una persona que aseguró ser la responsable del ataque a Uber se comunicó con el medio y dijo, además de que tiene 18 años, que realizó el ataque porque la seguridad era débil.

“Prácticamente tienen acceso completo a Uber”, dijo Sam Curry, un ingeniero de seguridad de Yuga Labs que mantuvo correspondencia con la persona que afirmó ser responsable de la violación al citado medio estadounidense. “Este es un compromiso total, por lo que parece”.

Los ataques más frecuentes a empresas

Son varias las técnicas que utilizan los delincuentes cibernéticos para realizar sus fechorías. Para Orlando Perea, gerente general en Perú de la empresa de ciberseguridad Softline, “muchas veces no depende del tamaño de las compañías sino de la información que posea el hacker, de la oportunidad que se cree para que se acceda al sistema operativo de la empresa y del tipo de seguridad con el que cuente la compañía afectada”.

De acuerdo a Perea, los principales tipos de ataque de los cuales las empresas y sus usuarios son blanco son tres.

Phishing: un método para engañar y hacer que el usuario comparta contraseñas, números de tarjeta de crédito, claves de acceso y otra información confidencial haciéndose pasar por una persona, empresa o servicio de confianza a través de una web, mensaje de correo electrónico, SMS o incluso llamada telefónica.

Malware: corresponde al uso y envío de software o “código disfrazado” malicioso en forma de link, documento, fotos, multimedia o textos para incitar al usuario a que lo ejecute y, así, lograr instalarse en los sistemas y vulnerar después su seguridad. Con esto, es posible extraer información confidencial y valiosa para la organización o simplemente causar malfuncionamiento de sus sistemas.

Cryptojacking: término asignado al uso malintencionado de los dispositivos de ciertos usuarios (pc, teléfonos inteligentes, tablets o incluso servidores empresariales on-premise y de nube pública y privada) sin el debido consentimiento ni conocimiento del usuario para minar y extraer criptomonedas.

Por su parte, Diana Robles, Líder de IBM Security para Perú, Colombia, Ecuador, Venezuela y Región Caribe, señala a este Diario que el ransomware ha persistido como el principal método de ataque, con el 29% del total en América Latina. Contrario a lo que suele pensarse, este tipo de ataque no solo lo sufren las grandes empresas, sino que en realidad basta con tener una computadora personal para ser una posible víctima. Según un informe de IBM Security, el ransomware y los ataques destructivos representaron el 28% de las filtraciones en las organizaciones de infraestructuras críticas.

Por otro lado, acorde a la ejecutiva, el phishing fue la causa más común de los ciberataques en el 2021 globalmente. Se observó un aumento de más del 53% en la tasa de clics cuando se combinaron las campañas de phishing con llamadas telefónicas posteriores a sus víctimas.

Qué tipo de empresas son las más afectadas

Aunque en la actualidad ningún sector se encuentra exento de ser atacado, sin importar el giro o tamaño de la organización, sí hay una tendencia en los ataques cibernéticos.

“En Latinoamérica la industria de manufactura fue la más atacada en el 2021 con 22% de incidencia. Con la pandemia, esta industria pasó a ser un ‘botín’ para los ciberdelincuentes, quienes encontraron un punto de influencia en el papel crítico que las organizaciones manufactureras juegan en las cadenas de suministro mundiales, para presionar a las víctimas a pagar un rescate”, dice la representante de IBM.

“Los bancos y las entidades financieras también están en la mira de los ciberatacantes. Además de albergar la riqueza global, administran gran cantidad de datos confidenciales diariamente y son la columna vertebral de la economía global, motivos suficientes para verse muy atractivas ante los ojos de los atacantes”, puntualiza.

El detalle aquí es que los cibercriminales no se detendrán solo con presionar a la organización víctima para obtener un rescate, sino que pueden extorsionar a sus socios comerciales cuyos datos poseen o que no pueden permitirse la interrupción de la cadena de suministro. Los rescates suelen ser por montos bastante elevados, en 2021 alcanzaron los U$S 800.000, según un reporte de Sophos.

El eslabón más vulnerable de la cadena

Orlando Perea señala que existen formas diferentes de vulnerar a una compañía y no siempre es a través de los propios sistemas informáticos, sino que a veces el canal de acceso son las mismas personas, es decir, los colaboradores de las empresas.

“Hemos visto como plataformas tan comunes como la mensajería instantánea del teléfono puede ser una ventana para hackear el sistema de una compañía. Por eso es esencial que las empresas cuenten con las soluciones de ciberseguridad adecuadas que validen múltiples factores de acceso para proteger sus sistemas, pero también deben informar y entrenar a sus empleados para que sean conscientes de la importancia que tiene prevenir estos ataques e informar de cualquier movimiento o ciberactividad sospechosa”, explica el ejecutivo de Softline.

Esto quiere decir que no basta con que las organizaciones e instituciones pongan énfasis en sus sistemas de seguridad informáticos, también deben educar al personal en una cultura de prevención de riesgos, más aún cuando muchas herramientas de las empresas están en mano de los mismos trabajadores, sea por medio de dispositivos como celulares o laptops, así como por accesos sus plataformas y sistemas.

Por el lado de los usuarios, hay pequeñas acciones que podrían ayudar bastante a protegerse ellos mismos y, con eso, proteger a las empresas que representan. Entre los principales consejos están utilizar un administrador de contraseñas, la mayoría solemos utilizar contraseñas repetidas, por tanto, este gestor ayuda a no reutilizar credenciales al generar contraseñas seguras sin tener que ser memorizadas; otro punto importante es tener un pensamiento crítico, si vemos algún mensaje sospechoso en la bandeja de entrada, lo mejor es no abrirlo; finalmente, hay que cuidarse de las estafas de internet, ya que muchas veces los delincuentes se hacen pasar por personas o marcas en la que podemos confiar, en ese sentido, lo mejor es ingresar a la misma página para confirmar ofertas que hayan podido haber llegado por correo.