El mes pasado, Tech Crunch informó que el fabricante de terminales de pago Wiseasy había sido pirateado. Aunque es posible que Wiseasy no sea muy conocido en América del Norte, sus terminales de pago basados en Android se utilizan ampliamente en la región de Asia Pacífico y los piratas informáticos lograron robar contraseñas de 140 000 terminales de pago.
¿Cómo sucedió el Wiseasy Hack?
Los empleados de Wiseasy usan un tablero basado en la nube para administrar terminales de pago de forma remota. Este tablero permite a la empresa realizar una variedad de tareas de configuración y administración, como administrar usuarios de terminales de pago, agregar o eliminar aplicaciones e incluso bloquear la terminal.
Los piratas informáticos pudieron obtener acceso al panel de control de Wiseasy al infectar las computadoras de los empleados con malware. Esto permitió a los piratas informáticos obtener acceso a los paneles de dos empleados diferentes, lo que en última instancia llevó a una recolección masiva de credenciales de terminales de pago una vez que obtuvieron acceso.
Principales lecciones aprendidas del Wiseasy Hack
1 — La transparencia no siempre es la mejor política
Si bien es fácil descartar el hack de Wiseasy como resultado de una infección de malware inevitable, la verdad es que Wiseasy cometió varios errores (según el artículo de Tech Crunch) que permitieron que el hack tuviera éxito.
Por ejemplo, el tablero en sí mismo probablemente expuso más información de la que debería. Según TechCrunch, el tablero «permitía que cualquiera pudiera ver nombres, números de teléfono, direcciones de correo electrónico y permisos de acceso». Aunque se podría argumentar que dicha información es necesaria para que Wiseasy administre las terminales en nombre de sus clientes, Tech Crunch continúa diciendo que una vista del tablero reveló el nombre de Wi-Fi y la contraseña de texto sin formato para la red en la que se encontraba la terminal de pago. conectado a.
En un entorno de seguridad estándar, la interfaz nunca debe estar diseñada para mostrar contraseñas. La visualización abierta de la información del cliente, sin una verificación secundaria del usuario final, también va en contra de una política de confianza cero.
2 — Las credenciales por sí solas no son suficientes
Un segundo error que probablemente ayudó a que el truco tuviera éxito fue que Wiseasy no requería que se usara la autenticación multifactor al acceder al tablero. En el pasado, la mayoría de los sistemas estaban protegidos únicamente por credenciales de autenticación. Esto significaba que cualquier persona con acceso a un nombre de usuario y una contraseña válidos podía iniciar sesión, incluso si se robaban las credenciales (como fue el caso del hack de Wiseasy).
La autenticación multifactor requiere que los usuarios usen un mecanismo adicional para probar su identidad antes de acceder a recursos confidenciales. A menudo, esto significa proporcionar un código que se envió al teléfono inteligente del usuario mediante un mensaje de texto SMS, pero existen muchas otras formas de autenticación multifactor. En cualquier caso, Wiseasy no usó la autenticación multifactor, no había nada que impidiera que los piratas informáticos iniciaran sesión con credenciales robadas.
3 — Los dispositivos deben revisarse tres veces
Un posible tercer error podría haber sido que los empleados de Wiseasy accedieran a recursos confidenciales desde un dispositivo no protegido. Tech Crunch informó haber visto capturas de pantalla del tablero de Wiseasy en el que un usuario administrador tenía acceso remoto a las terminales de pago. El artículo de Tech Crunch no dice que la computadora del administrador se infectó con malware, pero dado que se usó malware para obtener acceso al tablero y la captura de pantalla muestra que un administrador inició sesión en el tablero, es muy posible que la máquina de un administrador se haya visto comprometida. .
Como práctica recomendada, las cuentas con privilegios solo deben usarse cuando sea necesario para una tarea en particular (y las cuentas estándar se usan en otros momentos). Además, lo ideal es que las cuentas con privilegios se utilicen solo en sistemas de gestión designados que se hayan reforzado y no se utilicen para ninguna otra tarea.
4 — Manténgase al tanto de su propia seguridad
Finalmente, el mayor error cometido en el hack de Wiseasy fue que la empresa aparentemente (según el artículo de Tech Crunch) no sabía que sus cuentas habían sido comprometidas hasta que Buguard se puso en contacto con ellas.
Buguard es una empresa de seguridad especializada en pruebas de penetración y monitoreo de la web oscura. Idealmente, Wiseasy estaría monitoreando su propia red en busca de una posible infracción y la apagaría inmediatamente cuando se notara por primera vez.
Avanzando: cómo proteger su propia red de un ataque similar
El truco de Wiseasy subraya la importancia de adherirse a las mejores prácticas de seguridad establecidas desde hace mucho tiempo, como requerir autenticación multifactor y usar estaciones de trabajo de administración dedicadas para operaciones privilegiadas. Suscribirse a una filosofía de confianza cero en su organización puede resolver muchos de estos problemas.
Además, es importante tener una forma de saber si las cuentas de su organización se han visto comprometidas. De lo contrario, un atacante que haya obtenido acceso a las credenciales de la cuenta robada podría usar esas credenciales indefinidamente. Una de las mejores maneras de evitar que esto suceda es usar la política de contraseñas de Specops. Specops mantiene una base de datos de miles de millones de contraseñas que se sabe que han sido comprometidas.
Esta base de datos se mantiene actualizada con las contraseñas que se encuentran en las listas de contraseñas violadas conocidas, así como las contraseñas que se utilizan activamente en los ataques. La política de contraseñas de Specops utiliza esta información para asegurarse de que ninguna de las contraseñas de sus usuarios se haya visto comprometida. Si se descubre que una cuenta está utilizando una contraseña comprometida, el software le notificará para que pueda desactivar la cuenta o cambiar su contraseña de inmediato. Puede probar las herramientas de política de contraseñas de Specops en su AD de forma gratuita, en cualquier momento.
Ya sea que esté realizando pruebas de penetración internas, avanzando hacia una infraestructura de confianza cero o bloqueando contraseñas violadas conocidas de su Active Directory, hay muchas maneras de asegurarse de que su organización no sea víctima de las consecuencias de un malware. ataque como Wiseasy.