El (otro) riesgo en las finanzas
Hace algunos años, un desarrollador de bienes raíces con sede en Washington recibió un enlace de documento de First American, una compañía de servicios financieros en la industria de bienes raíces, relacionado con un acuerdo en el que estaba trabajando. Todo sobre el documento estaba perfectamente bien y normal.
La parte extraña, él dijo un reportero, era que si cambiaba un solo dígito en la URL, de repente, podía ver el documento de otra persona. Cámbialo de nuevo, un documento diferente. Sin herramientas técnicas ni experiencia, el desarrollador podría recuperar registros de FirstAm que se remontan a 2003 – 885 millón en total, muchos contienen los tipos de datos confidenciales revelados en transacciones inmobiliarias, como datos bancarios, números de seguro social y, por supuesto, nombres y direcciones.
Que casi mil millones de registros pudieran filtrarse a partir de una vulnerabilidad web tan simple parecía impactante. Sin embargo, las empresas de servicios financieros tienen consecuencias aún más graves cada semana. Verizon, en su más reciente Informe de investigaciones de violación de datos, reveló que las finanzas son la industria individual más atacada en todo el mundo cuando se trata de ataques básicos a aplicaciones web. y de acuerdo a estatista, las infracciones exitosas cuestan a estas empresas un promedio de alrededor de seis millones de dólares cada una. El FMI tiene estimado que las pérdidas de toda la industria por los ataques cibernéticos “podrían llegar a unos cientos de miles de millones de dólares al año, erosionando las ganancias de los bancos y amenazando potencialmente la estabilidad financiera”.
En respuesta, los ejecutivos asignan millones más cada año a sistemas de defensa sofisticados: XDR, SOC, herramientas de inteligencia artificial y más. Pero mientras las empresas se fortalecen contra las APT y maduran las operaciones delictivas cibernéticas, los agujeros de seguridad como rudimentario ya que FirstAm sigue siendo rampante en toda la industria.
Hay una categoría de vulnerabilidad, en particular, que rara vez surge en las discusiones de la sala de juntas. Sin embargo, una vez que comience a buscar, lo encontrará en casi todas partes. Y mucho más que los días cero, las falsificaciones profundas o el phishing selectivo, es muy fácil para los piratas informáticos descubrir este tipo de error y atacarlo.
Una vulnerabilidad que todos pasan por alto
 |
| Imagen creada con Midjourney |
En 2019, tres investigadores de la Universidad Estatal de Carolina del Norte probado una hipótesis comúnmente entendida pero poco discutida en ciberseguridad.
Según cuenta la historia, Github y otros repositorios de código fuente han causado un auge en la industria del software. Permiten que los desarrolladores talentosos colaboren en todo el mundo donando, tomando y combinando código en un software mejor y más nuevo, construido más rápido que nunca. Para permitir que los diferentes códigos se lleven bien, usan credenciales: claves secretas, tokens, etc. Estas juntas de conexión permiten que cualquier parte del software abra su puerta a otra. Para evitar que los atacantes pasen por el mismo camino, están protegidos detrás de un velo de seguridad.
¿O son?
Entre el 31 de octubre de 2017 y el 20 de abril de 2018, los investigadores de NCSU analizaron más de dos mil millones de archivos de más de cuatro millones de repositorios de Github, lo que representa alrededor del 13 por ciento de todo en el sitio. En esas muestras había casi 600 000 claves criptográficas y de API: secretos, incrustados directamente en el código fuente, para que cualquiera los viera. Más de 200 000 de esas claves eran únicas y se distribuyeron en más de 100 000 repositorios en total.
Aunque el estudio acumuló datos durante seis meses, unos pocos días, incluso unas pocas horas, habrían sido suficientes para aclarar el punto. Los investigadores destacaron cómo se filtraron miles de nuevos secretos durante cada día de su estudio.
La investigación reciente no solo ha respaldado sus datos, sino que los ha llevado un paso más allá. Por ejemplo, solo en el año calendario 2021, GitGuardian identificado más de seis millón secretos publicados en Github: alrededor de tres por cada 1000 confirmaciones.
En este punto, uno podría preguntarse si las credenciales secretas contenidas (“codificadas”) en el código fuente son realmente tan malas si son tan comunes. La seguridad en los números, ¿verdad?
El peligro de las credenciales codificadas
Las credenciales codificadas parecen una vulnerabilidad teórica hasta que se abren paso en una aplicación en vivo.
El otoño pasado, Symantec identificado cerca de 2.000 aplicaciones móviles que exponen secretos. Más de las tres cuartas partes de tokens de AWS filtrados, lo que permitió a terceros acceder a servicios de nube privada, y casi la mitad de tokens filtrados que permitieron aún más “acceso completo a numerosos, a menudo millones, de archivos privados”.
Para ser claros, se trataba de aplicaciones públicas legítimas que se utilizan actualmente en todo el mundo. Al igual que las cinco aplicaciones bancarias que Symantec encontró, todas usan el mismo SDK de terceros para la autenticación de identidad digital. Los datos de identificación son parte de la información más confidencial que poseen las aplicaciones, pero este SDK filtró credenciales en la nube que “podrían exponer datos de autenticación privados y claves pertenecientes a todas las aplicaciones bancarias y financieras que utilizan el SDK”. No terminó ahí, ya que “las huellas digitales biométricas de los usuarios utilizadas para la autenticación, junto con los datos personales de los usuarios (nombres, fechas de nacimiento, etc.), quedaron expuestas en la nube”. En total, las cinco aplicaciones bancarias filtraron más de 300.000 huellas dactilares biométricas de sus usuarios.
Si estos bancos han escapado al compromiso, tienen suerte. Filtraciones similares han eliminado peces aún más grandes antes.
Como Uber. Te imaginas que solo los adversarios cibernéticos altamente organizados y talentosos podrían violar una empresa de tecnología de la posición de Uber. En 2022, sin embargo, un joven de 17 años logró hacerlo todo solo. Después de que un poco de ingeniería social lo condujo a la red interna de la empresa, localizó un script de Powershell que contenía credenciales de nivel de administrador para el sistema de administración de acceso privilegiado de Uber. Eso es todo lo que necesitaba para luego comprometer todo tipo de herramientas y servicios posteriores utilizados por la empresa, desde su AWS hasta su Google Drive, Slack, paneles de empleados y repositorios de código.
Esta podría haber sido una historia más notable, si no hubiera sido por la otro Uber perdió secretos ante los piratas informáticos en un repositorio privado de 2016 incumplimiento que expuso datos pertenecientes a más de 50 millones de clientes y siete millones de conductores. O el otro vez lo hicieron, a través de un repositorio público, en 2014, revelando la información personal de 100,000 conductores en el camino.
Qué hacer
Las finanzas son el sector individual más objetivo de los ciberatacantes en todo el mundo. Y cada investigador que extrae miles de aplicaciones vulnerables, o millones de repositorios vulnerables, demuestra cuán simple sería para los atacantes identificar credenciales codificadas en el código esencial para administrar cualquier empresa moderna en esta industria.
Pero tan fácilmente como los malos pueden hacerlo, también lo pueden hacer los buenos. Tanto AWS como Github intentan, lo mejor que pueden, monitorear las credenciales con fugas en sus plataformas. Claramente, esos esfuerzos no son suficientes por sí solos, que es donde interviene un proveedor de ciberseguridad.
Obtenga más información sobre cómo monitorear el código fuente en busca de secretos de uno de nuestros expertos
About the Author
