Desde hace unos días y durante las próximas semanas la maquinaria electoral estadounidense se ha puesto en marcha para presentar al público a los candidatos y tratar de convencer al mayor número posible de votantes. Es por ello que cualquier información confidencial que se pueda obtener de uno de los candidatos, sus consejeros o del propio partido supone una ventaja para el adversario.
Nuestro compañero Cameron Camp ha escrito un artículo al respecto de una filtración de datos fiscales del candidato por el partido republicano, Mitt Romney, supuestamente cometida por uno o más hackers. Al parecer, estos hackers consiguieron acceder a las declaraciones de impuestos de este candidato a la presidencia y varios medios han informado al respecto. Este ataque tuvo lugar, presuntamente, en la oficina de Franklin de la empresa PriceWaterhouseCoopers, en las afueras de Nashville, aunque la empresa ha declarado que este ataque nunca sucedió. Tenemos que avisar a nuestros lectores de que las autoridades aún están investigando el caso, por lo que la información proporcionada en este artículo todavía tiene que ser confirmada.
Además del interés político de la noticia, lo que encontramos especialmente interesante es que los atacantes publicaron cómo tuvieron acceso a esta información confidencial, y no usaron precisamente alta tecnología. A continuación contamos cómo supuestamente obtuvieron esta información según sus propias palabras:
“Los 1040 informes de impuestos de Romney se obtuvieron de las oficinas de PWC el 25 de mayo de 2012 mediante el acceso a la tercera planta gracias a un empleado que trabajaba en esa misma planta. Una vez allí, el equipo bajó a la segunda planta usando las escaleras y accedió al despacho vacío”.
En otras palabras, según su declaración se obtuvo acceso físico al sistema de almacenamiento de informes, aparentemente sin mayores problemas. Esto nos devuelve a aquellos tiempos en los que hackers como Kevin Mitnick y sus coetáneos consiguieron sus hazañas principalmente gracias a la ingeniería social, más centrada en ganarse la confianza de las personas que en aprovecharse de vulnerabilidades en los sistemas.
Recientemente, durante una clase de ciberguerra preparada por la fundación Securing Our eCity (de la cual ESET es uno de los socios fundadores), uno de los ponentes habló sobre los “hackeos” de bajo perfil tecnológico. Aunque el título de la charla parezca inofensivo, el ponente, Chey Cobb, con experiencia protegiendo algunos de los secretos mas importantes de Estados Unidos, destacó que la mayoría de incidentes graves en los sistemas (incluyendo aquellos con una supuesta seguridad imbatible) habían sido causados por cosas como una excavadora que cortó un cable de fibra óptica en las afueras de un edificio o un atacante que se presentó como un reparador de aire acondicionado y que consiguió acceso a sitios protegidos. Hay muchos otros ejemplos en los que el acceso se consiguió sin emplear alta tecnología.
La declaración de los hackers continúa de la siguiente forma: “Durante la noche, accedimos a la oficina 260 y se copiaron las 1040 declaraciones impuestos disponibles.” Parece sencillo. A continuación, esto es lo que escribieron a PWC:
“Pudimos conseguir acceso a su red de servidores de ficheros y copiar los documentos de Willard M. Romney y Ann D. Romney. Estamos seguros de que, una vez se descubra dónde se produjo el fallo de seguridad, alguien resultará despedido, pero ese no es nuestro problema.”
Sin más detalles específicos es difícil deducir cómo accedieron a la red de servidores de ficheros, pero un antiguo empleado de PWC ha confirmado que, con ese acceso, esos archivos confidenciales podrían haber sido obtenidos desde esa oficina. De nuevo destacamos “en caso de ser verdad”, pero hay algo que debemos resaltar: no se puede obviar la seguridad física si tus sistemas permiten acceder a información confidencial. También es importante restringir el copiado de este tipo de información a dispositivos USB. No importa si un atacante tiene acceso físico a un servidor de ficheros o simplemente a una estación de trabajo con acceso a una carpeta compartida corporativa. Ambos deberían estar protegidos frente a accesos no autorizados y sustracción de datos usando dispositivos extraibles.
Estas medidas son algo básico que la mayoría de empresas debería poner en práctica sin que esto afecte considerablemente a su presupuesto. Esperaremos a ver cómo termina la investigación, pero este caso debería servir de ejemplo. Pregúntese si podría descubrir a un atacante en su empresa, ¿sería capaz de detectar a alguien que esté conectando un pendrive a una máquina y esté copiando datos confidenciales? Si la respuesta es negativa, quizás sea un buen momento para mejorar tanto la seguridad básica como física de su empresa, especialmente si se trata de una empresa de contabilidad, o de una que trata con datos confidenciales, sin importar su campo.
Josep Albors