Hace unos días, un grupo de hackers realizó un ataque a un proveedor de servicios de Internet en Estados Unidos, logrando acceso a los nombres de usuario y contraseña de los clientes. Las contraseñas obtenidas fueron utilizadas para ingresar a sistemas bancarios de algunas de las víctimas y transferir alrededor de 100 mil dólares, según afirman los cibercriminales en su cuenta de Twitter.

Mediante la utilización de la técnica SQL injection, un servidor vulnerable del proveedor de servicios de Internet Sebastian, de California, fue atacado para obtener los datos de sus usuarios. El ataque pudo ser perpetrado en cuestión de minutos gracias a la automatización con la herramienta sqlmap, la cual busca posibles ataques y los aplica, volcando la estructura y contenido de las bases de datos. Posteriormente el grupo subió un video demostrando no sólo el ataque al ISP, sino también el acceso a las cuentas bancarias de algunos clientes. En la siguiente imagen se observa una captura de dicho video:

sqlmap dbs

La captura corresponde al comando sqlmap con la opción "dbs", que muestra las bases de datos disponibles en el servidor. En la parte superior de la imagen se ha resaltado el servidor que está siendo atacado, y también puede observarse información como el tipo de ataque y el motor de base de datos. En base al conocimiento de esta información, los cibercriminales pueden buscar las tablas con información de los usuarios, lo cual se muestra en la siguiente imagen:

sqlmap users

Se han ofuscado los nombres de usuario y direcciones de correo electrónico, pero los valores resaltados corresponden a las contraseñas. Con esto queremos mostrar una falla grave de seguridad, más bien a nivel conceptual, por parte de los administradores: las contraseñas estaban almacenadas en texto plano y pueden ser usadas en forma directa si caen en manos equivocadas. En este caso, a nivel de seguridad, la buena práctica sería que las contraseñas estuvieran almacenadas como un valor resultante de aplicar una función de hash (como MD5 o SHA1), además de la utilización de "granos de sal".

Otro factor fundamental en el ataque, que excede la responsabilidad de este proveedor de servicios de Internet y que tiene que ver con los usuarios, es que para algunos de los clientes, la contraseña utilizada era la misma que la de otros servicios de correo electrónico, redes sociales o entidades bancarias. Si bien es cierto que puede ser difícil recordar muchas contraseñas, nunca debe utilizarse la misma contraseña para todos los servicios. En la siguiente imagen puede verse cómo los cibercriminales ingresan al sistema de transacciones bancarias de uno de los usuarios:

robo bancario

En resumen, a partir de una contraseña robada en el servidor del ISP se ha logrado acceso a la cuenta bancaria de un usuario, puesto que la contraseña era la misma. El video luego muestra cómo se puede llevar a cabo un movimiento de fondos, con lo cual los criminales proclaman que han ganado cientos de miles de dólares. Por ello debemos insistir en que nunca debe utilizarse la misma contraseña para distintos servicios. Una buena alternativa es la utilización de herramientas para hacer más fácil la gestión de contraseñas. Luego, en el caso de que se exploten vulnerabilidades, como lo ocurrido con este ISP, el usuario puede minimizar el impacto con una gestión responsable de las contraseñas.

Matías Porolli
Especialista de Awareness & Research