Ciberseguridad: durmiendo con el enemigo

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Si se habla de ataques cibernéticos, el público sospechoso detrás de ellos suele ser extraños o piratas informáticos en el orden estatal.

Según la Oficina Federal de Seguridad de la Información (BSI) alemana, los denominados perpetradores domésticos generan mayor riesgo.

Tales ataques por parte de empleados actuales o anteriores tendrían muchas más posibilidades de éxito debido a su conocimiento interno.

Ulrich Bartholmös estaba sentado en la bicicleta de carretera cuando su empleador iba a ser destruido.

Eran las cinco y media de la mañana, su teléfono inteligente estaba sonando, no respondió.

Entonces el teléfono sonó por segunda vez. Vio que la llamada vino de la empresa, se detuvo al borde de la carretera y pudo ver el desastre en su pantalla.

Bartholmös es el jefe de seguridad de TI de una agencia digital, que administra sitios web y bases de datos de clientes. Los sitios web estaban fuera de línea, al menos una base de datos de marketing completamente eliminada. Un cliente de la compañía es el patrocinador principal del Tour de Francia, que estaba por comenzar en pocos días.

Aprendió con los gritos de sus clientes, dice Bartholmös mientras cuenta la historia en julio de 2017, en una reunión en la que los fiscales que se centran en el delito cibernético promueven su trabajo.

Los fiscales dicen que los hackers cometen errores, los hackers pueden ser atrapados. Es importante que se proporcione un anuncio.

Bartholmös puso un mensaje.

El proceso se gana, no hay nada que celebrar

Un año y medio más tarde, Bartholmös se sienta en el tribunal de distrito de Böblingen, solo el juez ha dictado un veredicto, y los responsables fueron condenados.

Bartholmös pide que lo dejen solo por unos momentos más. Mira hacia el convicto, un hombre de 26 años.

Bartholmös lo mira fijamente, el hombre habla alternativamente con los oficiales de policía y su abogado, se pone esposado y se lo llevan.

Bartholmös abandona la sala, se gana el proceso, pero hay poco que celebrar: 2,8 millones de euros en daños, un hombre tras las rejas y una compañía que acaba de volver a despegar.

Ha sobrevivido a uno de los tipos más peligrosos de ataques de piratas informáticos que enfrentan las empresas de todo el mundo: el ataque de los culpables. El joven condenado es un ex empleado de Bartholmös.

Si se habla de ataques cibernéticos, el público sospechoso detrás de ellos suele ser extraños o piratas informáticos en el orden estatal.

El atacante interno “ya tiene acceso a los recursos internos de una organización y (por lo tanto) puede analizar salvaguardas y vulnerabilidades durante un largo período de tiempo”.

El ex empleado de Bartholmös también tenía acceso a recursos internos. Durante el proceso, el hombre guarda silencio. Un científico forense de TI que ha analizado técnicamente el ataque, pero asume que utilizó para el ataque una cuenta que se creó hace años, pero nunca se usó.

Lo modificó para que pudiera iniciar sesión a través de un acceso VPN, para que pudiera marcar cómodamente en la red corporativa desde su casa.

Entonces la cuenta dormía sin usar hace medio año. Durante este tiempo, el empleado fue despedido, hubo un acuerdo de cancelación y una indemnización por despido.

A las 2:37 am de la noche del 25 al 26 de junio, lanzó el ataque en dos oleadas devastadoras. Ya era tarde para todo.

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris