{"id":639907,"date":"2023-02-23T13:51:01","date_gmt":"2023-02-23T13:51:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ejecutivos-financieros-de-vulnerabilidad-secreta-estan-desaparecidos\/"},"modified":"2023-02-23T13:51:03","modified_gmt":"2023-02-23T13:51:03","slug":"los-ejecutivos-financieros-de-vulnerabilidad-secreta-estan-desaparecidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ejecutivos-financieros-de-vulnerabilidad-secreta-estan-desaparecidos\/","title":{"rendered":"Los ejecutivos financieros de vulnerabilidad secreta est\u00e1n desaparecidos"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

El (otro) riesgo en las finanzas<\/strong><\/h2>\n

Hace algunos a\u00f1os, un desarrollador de bienes ra\u00edces con sede en Washington recibi\u00f3 un enlace de documento de First American, una compa\u00f1\u00eda de servicios financieros en la industria de bienes ra\u00edces, relacionado con un acuerdo en el que estaba trabajando. Todo sobre el documento estaba perfectamente bien y normal.<\/p>\n

La parte extra\u00f1a, \u00e9l dijo<\/a> un reportero, era que si cambiaba un solo d\u00edgito en la URL, de repente, pod\u00eda ver el documento de otra persona. C\u00e1mbialo de nuevo, un documento diferente. Sin herramientas t\u00e9cnicas ni experiencia, el desarrollador podr\u00eda recuperar registros de FirstAm que se remontan a 2003 \u2013 885 mill\u00f3n <\/em>en total, muchos contienen los tipos de datos confidenciales revelados en transacciones inmobiliarias, como datos bancarios, n\u00fameros de seguro social y, por supuesto, nombres y direcciones.<\/p>\n

Que casi mil millones de registros pudieran filtrarse a partir de una vulnerabilidad web tan simple parec\u00eda impactante. Sin embargo, las empresas de servicios financieros tienen consecuencias a\u00fan m\u00e1s graves cada semana. Verizon, en su m\u00e1s reciente Informe de investigaciones de violaci\u00f3n de datos<\/a>, revel\u00f3 que las finanzas son la industria individual m\u00e1s atacada en todo el mundo cuando se trata de ataques b\u00e1sicos a aplicaciones web. y de acuerdo a estatista<\/a>, las infracciones exitosas cuestan a estas empresas un promedio de alrededor de seis millones de d\u00f3lares cada una. El FMI tiene estimado<\/a> que las p\u00e9rdidas de toda la industria por los ataques cibern\u00e9ticos “podr\u00edan llegar a unos cientos de miles de millones de d\u00f3lares al a\u00f1o, erosionando las ganancias de los bancos y amenazando potencialmente la estabilidad financiera”.<\/p>\n

En respuesta, los ejecutivos asignan millones m\u00e1s cada a\u00f1o a sistemas de defensa sofisticados: XDR, SOC, herramientas de inteligencia artificial y m\u00e1s. Pero mientras las empresas se fortalecen contra las APT y maduran las operaciones delictivas cibern\u00e9ticas, los agujeros de seguridad como rudimentario <\/em>ya que FirstAm sigue siendo rampante en toda la industria.<\/p>\n

Hay una categor\u00eda de vulnerabilidad, en particular, que rara vez surge en las discusiones de la sala de juntas. Sin embargo, una vez que comience a buscar, lo encontrar\u00e1 en casi todas partes. Y mucho m\u00e1s que los d\u00edas cero, las falsificaciones profundas o el phishing selectivo, es muy f\u00e1cil para los piratas inform\u00e1ticos descubrir este tipo de error y atacarlo.<\/p>\n

Una vulnerabilidad que todos pasan por alto<\/strong><\/h2>\n\n\n\n\n
\"Vulnerabilidad\"<\/td>\n<\/tr>\n
Imagen creada con Midjourney<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En 2019, tres investigadores de la Universidad Estatal de Carolina del Norte probado<\/a> una hip\u00f3tesis com\u00fanmente entendida pero poco discutida en ciberseguridad.<\/p>\n

Seg\u00fan cuenta la historia, Github y otros repositorios de c\u00f3digo fuente han causado un auge en la industria del software. Permiten que los desarrolladores talentosos colaboren en todo el mundo donando, tomando y combinando c\u00f3digo en un software mejor y m\u00e1s nuevo, construido m\u00e1s r\u00e1pido que nunca. Para permitir que los diferentes c\u00f3digos se lleven bien, usan credenciales: claves secretas, tokens, etc. Estas juntas de conexi\u00f3n permiten que cualquier parte del software abra su puerta a otra. Para evitar que los atacantes pasen por el mismo camino, est\u00e1n protegidos detr\u00e1s de un velo de seguridad.<\/p>\n

\u00bfO son?<\/p>\n

Entre el 31 de octubre de 2017 y el 20 de abril de 2018, los investigadores de NCSU analizaron m\u00e1s de dos mil millones de archivos de m\u00e1s de cuatro millones de repositorios de Github, lo que representa alrededor del 13 por ciento de todo en el sitio. En esas muestras hab\u00eda casi 600 000 claves criptogr\u00e1ficas y de API: secretos, incrustados directamente en el c\u00f3digo fuente, para que cualquiera los viera. M\u00e1s de 200\u00a0000 de esas claves eran \u00fanicas y se distribuyeron en m\u00e1s de 100\u00a0000 repositorios en total.<\/p>\n

Aunque el estudio acumul\u00f3 datos durante seis meses, unos pocos d\u00edas, incluso unas pocas horas, habr\u00edan sido suficientes para aclarar el punto. Los investigadores destacaron c\u00f3mo se filtraron miles de nuevos secretos durante cada d\u00eda de su estudio.<\/p>\n

La investigaci\u00f3n reciente no solo ha respaldado sus datos, sino que los ha llevado un paso m\u00e1s all\u00e1. Por ejemplo, solo en el a\u00f1o calendario 2021, GitGuardian identificado<\/a> m\u00e1s de seis mill\u00f3n<\/em> secretos publicados en Github: alrededor de tres por cada 1000 confirmaciones.<\/p>\n

En este punto, uno podr\u00eda preguntarse si las credenciales secretas contenidas (“codificadas”) en el c\u00f3digo fuente son realmente tan malas si son tan comunes. La seguridad en los n\u00fameros, \u00bfverdad?<\/p>\n

El peligro de las credenciales codificadas<\/strong><\/h2>\n

Las credenciales codificadas parecen una vulnerabilidad te\u00f3rica hasta que se abren paso en una aplicaci\u00f3n en vivo.<\/p>\n

El oto\u00f1o pasado, Symantec identificado<\/a> cerca de 2.000 aplicaciones m\u00f3viles que exponen secretos. M\u00e1s de las tres cuartas partes de tokens de AWS filtrados, lo que permiti\u00f3 a terceros acceder a servicios de nube privada, y casi la mitad de tokens filtrados que permitieron a\u00fan m\u00e1s “acceso completo a numerosos, a menudo millones, de archivos privados”.<\/p>\n

Para ser claros, se trataba de aplicaciones p\u00fablicas leg\u00edtimas que se utilizan actualmente en todo el mundo. Al igual que las cinco aplicaciones bancarias que Symantec encontr\u00f3, todas usan el mismo SDK de terceros para la autenticaci\u00f3n de identidad digital. Los datos de identificaci\u00f3n son parte de la informaci\u00f3n m\u00e1s confidencial que poseen las aplicaciones, pero este SDK filtr\u00f3 credenciales en la nube que “podr\u00edan exponer datos de autenticaci\u00f3n privados y claves pertenecientes a todas las aplicaciones bancarias y financieras que utilizan el SDK”. No termin\u00f3 ah\u00ed, ya que “las huellas digitales biom\u00e9tricas de los usuarios utilizadas para la autenticaci\u00f3n, junto con los datos personales de los usuarios (nombres, fechas de nacimiento, etc.), quedaron expuestas en la nube”. En total, las cinco aplicaciones bancarias filtraron m\u00e1s de 300.000 huellas dactilares biom\u00e9tricas de sus usuarios.<\/p>\n

Si estos bancos han escapado al compromiso, tienen suerte. Filtraciones similares han eliminado peces a\u00fan m\u00e1s grandes antes.<\/p>\n

Como Uber. Te imaginas que solo los adversarios cibern\u00e9ticos altamente organizados y talentosos podr\u00edan violar una empresa de tecnolog\u00eda de la posici\u00f3n de Uber. En 2022, sin embargo, un joven de 17 a\u00f1os logr\u00f3 hacerlo todo solo. Despu\u00e9s de que un poco de ingenier\u00eda social lo condujo a la red interna de la empresa, localiz\u00f3 un script de Powershell que conten\u00eda credenciales de nivel de administrador para el sistema de administraci\u00f3n de acceso privilegiado de Uber. Eso es todo lo que necesitaba para luego comprometer todo tipo de herramientas y servicios posteriores utilizados por la empresa, desde su AWS hasta su Google Drive, Slack, paneles de empleados y repositorios de c\u00f3digo.<\/p>\n

Esta podr\u00eda haber sido una historia m\u00e1s notable, si no hubiera sido por la otro<\/em> Uber perdi\u00f3 secretos ante los piratas inform\u00e1ticos en un repositorio privado de 2016 incumplimiento<\/a> que expuso datos pertenecientes a m\u00e1s de 50 millones de clientes y siete millones de conductores. O el otro<\/em> vez lo hicieron, a trav\u00e9s de un repositorio p\u00fablico, en 2014, revelando la informaci\u00f3n personal de 100,000 conductores en el camino.<\/p>\n

Qu\u00e9 hacer<\/strong><\/h2>\n

Las finanzas son el sector individual m\u00e1s objetivo de los ciberatacantes en todo el mundo. Y cada investigador que extrae miles de aplicaciones vulnerables, o millones de repositorios vulnerables, demuestra cu\u00e1n simple ser\u00eda para los atacantes identificar credenciales codificadas en el c\u00f3digo esencial para administrar cualquier empresa moderna en esta industria.<\/p>\n

Pero tan f\u00e1cilmente como los malos pueden hacerlo, tambi\u00e9n lo pueden hacer los buenos. Tanto AWS como Github intentan, lo mejor que pueden, monitorear las credenciales con fugas en sus plataformas. Claramente, esos esfuerzos no son suficientes por s\u00ed solos, que es donde interviene un proveedor de ciberseguridad.<\/p>\n

Obtenga m\u00e1s informaci\u00f3n sobre c\u00f3mo monitorear el c\u00f3digo fuente en busca de secretos de uno de nuestros expertos <\/a><\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n