Hace poco la empresa de taxis, Uber, fue hackeada y la noticia hecha pública a través de Twitter. Se trató de un ataque Man In The Middle que puso en jaque a toda la organización de la empresa.
Lo que cuentan los empleados es que recibieron un email urgente de seguridad informática diciendo que tendrían que dejar de usar slack, una forma en la que las empresas de tecnología y, en general, la mayoría de las empresas se comunican internamente, sobre todo con una cultura remota.
Lo que sucedió luego fue el ataque: Dentro de las oficinas de Uber, cuando un empleado intentaba acceder a un Website cualquiera, se encontraba de inmediato con una imagen pornográfica o con un insulto.
Todos se preguntaban lo mismo -¿Cómo puedo pasar eso?-
Pues, resulta que el hacker explicó por completo qué fue lo que hizo a través de una cuenta WhatsApp.
En uno de los mensajes, los investigadores de informática le preguntaba al hacker cómo había obtenido acceso a la intranet
– “¿Lo que hiciste fue hackear a un empleado haciéndole fishing, luego accediste al VPN (una red privada virtual) y de esa manera escaneaste la intranet para obtener las credenciales y acceso de contraseñas?”.
La respuesta fue sí.
Cabe recalcar aquí que, según lo explicado, este ataque no ha sido resultado de un descuido por parte de los informáticos, sino que se trata de un ataque Man In The Middle, en el cual puede utilizarse a un empleado para introducirse dentro de los sistemas informáticos de la empresa.
También puede interesarte: ¡Sorprendente! Una obra creada con la IA Midjourney gana concurso de arte
Cómo funciona un ataque Man in the middle
“Como sugiere su nombre en inglés, en este método se introduce un intermediario (el cibercriminal o una herramienta maliciosa) entre la víctima y la fuente: una página de banca online o una cuenta de correo electrónico”. Todo esto tiene la intención de robar los datos con los que un usuario inicia sesión en un sitio web o app.
En el mundo offline, un ataque Man in the middle consistiría en la creación y envío de facturas falsas cuyos cheques de pago serían recibidos por el atacante o ciberdelincuente.
En este caso, el atacante creó una página falsa, similar a la página verdadera de entrada al sistema interno de Uber, para después requerir el nombre de usuario y contraseña (credenciales) de los empleados y luego fingir la generación de múltiples factores de autenticación.
Una vez el atacante tuvo en su poder las credenciales del usuario, tan solo debía pasar la restricción del factor de autenticación para poder penetrar en los sistemas de Uber y tener a la empresa en sus manos.
Para conseguir el código de autenticación, lo que hizo el hacker fue enviarle repetidas y molestas notificaciones push al empleado de Uber, inclusive, llego a hacerse pasar por parte del equipo informático, diciendo que, si quería que pararan las notificaciones tenía que aceptar el mensaje, y el empleado terminó por hacerlo
Parece que todo fue demasiado fácil
Una vez estuvo dentro de la VPN de la red privada virtual de Uber, todo fue demasiado fácil, tan fácil que no parecía cierto. Todo estaba indexado y fácil de encontrar. Muchas de las credenciales de autenticación, los secretos y las contraseñas estaban simplemente en texto plano.
Esto es algo típico, puede que las empresas hagan muchos esfuerzos por tener múltiples capas de seguridad informática de manera externa a sus sistemas, pero una vez dentro es poco común que se audite el acceso a gente que ya está autenticada, lo cual es un descuido fatal, ya que, al no auditarlo, se deja que los cibercriminales estén completamente libres en los sistemas una vez que han ejecutado este tipo de ataques.
Uber tenía una red compartida que incluía scripts de powershell, uno de ellos con el nombre de usuario y la contraseña de administrador de un sistema de autenticación llamado Thycotic. Usando esto pudieron extraer secretos de todos los otros servicios de autenticación, incluyendo Amazon web Services, Google Apps, Gmail, Docs, etcétera.
Uber dice que no fueron ellos los hackeados
De acuerdo con la versión de Uber, un contratista externo fue hackeado, y, a partir de este hackeo, el atacante logró acceder a otras cuentas de empleados. Dicen que esta historia del empleado hackeado y el ataque Man In The Middle es falsa.
El atacante incluso se comunicó por Slack con parte del equipo
“Hola @gear, anunció que soy un hacker y Uber ha sufrido un ataque y una filtración de datos slack ha sido completamente borrado”.
Slack es un lugar donde la gente tiene conversaciones de todo tipo. Imagina que un atacante entre y se robe todas las conversaciones históricas. Esto es lo que dicen que sucedió: datos confidenciales de uno de los sistemas internos de control de desarrollo llamado Confluence y dos repositorios de Fabricator también fueron robados.
Sin duda un gran problema para Uber y una gran lección para todos los que trabajamos en la industria Tech.
Si te ha gustado este artículo, te invitamos a disfrutar demás contenido como este en nuestra sección de tecnología.
¡Atención! Uno de nuestros redactores ha preparado con mucho cariño esta información para ti. ¡No te la pierdas! Descubre datos útiles y divertidos que te encantarán. Si te ha gustado, no dudes en volver por más cuando quieras. ¡Te esperamos!