10 lecciones de seguridad que nos dejó Mr. Robot S02

La segunda temporada de Mr. Robot nos tuvo con los pelos de punta semana a semana, mientras nos enterábamos los planes de Fsociety y seguíamos las andanzas de Elliot, Darlene, Cisco y compañía, vigilados de cerca por el Dark Army y la agente del FBI Dominique DiPierro.

La ciberseguridad y las técnicas de hacking son solo un medio que utilizan para conseguir sus objetivos, pero juegan un rol central en esta serie que ya se ganó el respeto de la comunidad de seguridad informática por el cuidado que se le pone a los detalles en lo que respecta a la parte técnica. Lo confirmamos de primera mano cuando asistimos al panel especial que los asesores técnicos dieron en DEF CON, donde contaron cómo piensan los ataques que aparecen en cada capítulo.

Pero ahora, terminando Mr. Robot S02 y habiendo analizado los hacks de cada capítulo, nos proponemos cotejarlos con la realidad para encontrar las 10 lecciones sobre seguridad que nos dejó.

1. La amenaza interna puede estar en los lugares más obvios

Si hay algo que asusta al CISO de una empresa es la posibilidad de que un ataque informático se haya realizado desde dentro, a manos de un empleado de la propia compañía. Alguien con acceso a información privada y que no tiene que sortear tantas barreras como un atacante externo es muy peligroso y difícil de controlar si no se toman las medidas adecuadas a tiempo. Además, como señaló el investigador de ESET Stephen Cobb, ninguna organización es capaz de mantener la confidencialidad si un usuario en el que confía decide violarla.

Elliot es un claro ejemplo, ya que al inicio de la serie trabaja en una empresa de ciberseguridad llamada Allsafe protegiendo los activos de E Corp, pero en realidad, quiere destruirla aprovechando el conocimiento de sus puntos débiles. Su propósito al aceptar este trabajo fue destruir a E Corp desde adentro, haciendo las veces de caballo de Troya: escondido a la vista de todos. Este objetivo nace de su historia personal, ya que su padre fue una de las tantas víctimas mortales del derrame de químicos en una fábrica de la compañía en Washington Township.

Para evitar incidentes de seguridad desde dentro de la empresa, se ha de controlar a qué recursos puede acceder cada empleado y no otorgar más permisos de los necesarios, además de controlar qué se introduce y se saca de la empresa, ya sea vía medios electrónicos o usando dispositivos de almacenamiento.

2. La Ingeniería Social sigue siendo funcional para los atacantes en muchos niveles

Las técnicas de Ingeniería Social son una constante en la historia de la seguridad de Internet, ya que incluyen cualquier tipo de manipulación usada por los cibercriminales para obtener información, realizar fraudes u obtener acceso ilegítimo a los equipos de las víctimas.

robot_s02e6_angela

La segunda temporada de Mr. Robot nos mostró dos claros ejemplos:

En el episodio 9 Angela necesita conectar el Rubber Ducky ya programado al PC del ejecutivo de E Corp de quien quiere obtener información, pero debe conseguir que la secretaria que vigila su despacho deje su puesto. Con un sólido guion basado en su conocimiento de la compañía y del funcionamiento interno de la oficina, Angela logra entrar al despacho y conecta el Rubber Ducky con la esperanza de obtener credenciales de acceso, para luego suplantar la identidad del ejecutivo en la red corporativa y acceder a información confidencial que le será de utilidad para su causa personal.
En el episodio 10 Elliot se hace pasar por un agente de la policía de Nueva York para conocer la posición del teléfono desde donde, supuestamente, Tyrell Wellick ha realizado una llamada. Siguiendo el procedimiento establecido para casos de emergencia, que consigue averiguar en Internet, Elliot convence a la operadora de que esta información es necesaria para evitar que alguien sufra daño.

3. La protección en la Internet de las Cosas sigue siendo un desafío

En esta temporada hemos visto ejemplos de lo que puede ocurrir si no se protegen adecuadamente los dispositivos que conforman el Internet de las Cosas. Quizá el más vistoso es el momento en que miembros de Fsociety toman el control de la instalación domótica de la casa de Susan Jacobs, la abogada de E Corp, en el episodio 1.

Al tenerlo todo controlado desde un único punto y aprovechando vulnerabilidades en sistemas domóticos, Darlene y sus compañeros consiguen que la propietaria abandone su hogar para que ellos lo utilicen como base de operaciones a lo largo de la temporada.

Imagínate si esto se convirtiera en una realidad y cibercriminales ocuparan casas ajenas cotidianamente, dejando fuera a sus dueños por tiempo indeterminado…

Otro caso relacionado a seguridad en IoT son las conversaciones personales que tiene la detective Dominique DiPierro con su asistente personal Alexa, ya que algunos de los temas que trata son muy personales y, en caso de que un atacante pudiera comprometer el sistema, obtendría información muy personal de la víctima.

Son muchas las amenazas que pueden afectar a dispositivos de IoT, por lo que la inclusión de estos casos en la serie es otra forma de demostrar que aún hay camino por recorrer en lo que respecta a seguridad. Los fabricantes deben ser conscientes de los riesgos y pensar en la protección de los usuarios desde el momento cero, ya que a posteriori pueden aparecer amenazas como Remaiten, por ejemplo: un bot de Linux que afecta a routers y otros dispositivos de IoT.

mr robot_s2_ep7_susan_jacobs

4. Todos los dispositivos móviles deben estar actualizados y protegidos para evitar malware y explotación de vulnerabilidades

En varias ocasiones durante esta temporada hemos visto que los smartphones son de todo menos seguros. De hecho, el episodio 8 nos muestra un flashback en el que uno de los mismísimos miembros de Fsociety fue víctima de un ataque de parte de uno de sus compañeros, aprovechando una vulnerabilidad real en Android (Stagefright) que le permitió tomar el control del dispositivo.

Por otro lado, el ataque contra las oficinas provisionales del FBI se basaba en aprovechar otras vulnerabilidades de Android junto con la utilización de una femtocelda maliciosa, para interceptar las comunicaciones móviles y conseguir información de primera mano de los agentes sin que estos se diesen cuenta, algo que derivó en la filtración de una conversación confidencial y que causó el enfado de la opinión pública.

5. La correcta gestión de contraseñas debe ser una costumbre

A pesar de todos los consejos que se han proporcionado en los últimos años acerca de cómo tener una política de contraseñas segura, en la serie también vemos que Susan, la abogada de E Corp, tiene su contraseña de correo electrónico anotada en un papel en su escritorio. Este tipo de acciones, junto con el uso de contraseñas débiles y su reutilización en distintas plataformas, facilitan el trabajo de los atacantes.

Hemos de acabar con estas malas prácticas a la hora de generar y almacenar las contraseñas, utilizando credenciales únicas para cada servicio con claves fáciles de recordar pero difíciles de adivinar. Los gestores de contraseñas nos pueden ayudar en esta tarea, y además podemos añadir el doble factor de autenticación si queremos disponer de una capa adicional de seguridad.

Este video te ayudará a crear una contraseña segura en un minuto:

6. Los dispositivos USB pueden ser usados como vectores de ataque

Los dispositivos USB pueden ser utilizados en ataques dirigidos si los usuarios siguen empeñados en recoger y conectar todos los que encuentren e incluso aceptarlos de manos de desconocidos. Una vez que se conecta uno de estos dispositivos al ordenador de la víctima, el atacante tiene un amplio abanico de posibilidades.

Puede optar por el camino fácil y camuflar malware en archivos aparentemente inofensivos, tal y como vimos en la primera temporada con los USB abandonados por Darlene en el aparcamiento, o al inicio de la segunda con el archivo autorun.inf que permite ejecutar un fichero a elección de forma automática al introducir el medio extraíble.

mrrobot_s2e10_usb

También existen técnicas más avanzadas y que pueden tener más éxito, como por ejemplo la utilización de herramientas como Rubber Ducky. Con este pendrive especial se pueden programar comandos que se ejecutarán automáticamente al conectarlo, y permitirán obtener información privada que será almacenada en la memoria interna. Esto es lo que hace Angela en la oficina del ejecutivo de E Corp, para acceder a registros confidenciales de la filtración de Washington Township.

Pero las posibilidades no terminan ahí, ya que se pueden usar dispositivos USB incluso para robar información de computadoras aisladas de cualquier red, tal y como vimos en la demostración del ataque USBee.

7. El cifrado puede resguardar los datos aun en situaciones complejas

Cuando los miembros de Fsociety bajo el mando de Darlene se encuentran inesperadamente frente a Susan Jacobs, revisan todos sus dispositivos y equipos para obtener información que pueda comprometerla y les permita extorsionarla. Pero en caso de que Susan hubiese cifrado los archivos almacenados en sus dispositivos, las técnicas forenses no hubieran servido para acceder a ellos.

Aún quedan muchos usuarios que piensan que el uso de cifrado es más un incordio que una buena práctica de seguir, o al menos lo piensan hasta que sufren algún incidente que demuestra su importancia para resguardar los datos privados, de manera que nadie pueda acceder a ellos si no conoce la clave.

8. El ransomware llegó para quedarse

En el episodio 1 Darlene prepara un ataque usando una variante de Cryptowall, capaz de propagarse a toda la red una vez hecha la infección. El uso de un malware de este estilo para obligar a E Corp a pagar un rescate es simple pero efectivo, más aún si tenemos en cuenta que no disponen de copias de seguridad de muchos de sus datos, porque fueron eliminadas en el ataque llevado a cabo en la primera temporada.

Una vez más, todo un ejemplo de la versatilidad del ransomware, una de las amenazas que más problemas causan actualmente a todo tipo de empresas y usuarios. Por tal motivo, la necesidad de concientizar a usuarios y proteger la red se hace visible nuevamente.

9. Siempre se debe prestar atención a las contraseñas por defecto

En el episodio 5 Darlene logró eliminar todo el material grabado por las cámaras de vigilancia del FBI, y aunque no se nos muestra en detalle la técnica que utilizó, es altamente probable que tenga que ver con un conocimiento previo del sistema de vigilancia usado, marcas y modelos de los equipos, posibles vulnerabilidades a explotar o nombres de usuario y contraseñas de alguien con permisos para editar esos videos.

Este ejemplo nos recuerda al caso de Insecam en 2014, cuando la página transmitía imágenes en directo de hasta 70.000 cámaras conectadas a Internet, aprovechando que todavía tenían contraseñas por defecto que sus dueños no habían cambiado.

En efecto, saber las contraseñas de estas cámaras de vigilancia disminuye el tiempo necesario para lanzar un ataque como el que sucedió en ese episodio.

Lamentablemente, aún son demasiado pocos los usuarios que cambian las contraseñas por defecto de dispositivos del Internet de las Cosas que se conectan a Internet. Así pues, los delincuentes solo tienen que hacer barridos en línea en busca de un tipo de dispositivo especial, como cámaras IP, usando servicios como Shodan para conseguir acceder remotamente a ellos.

10. Criptomonedas, una constante en los negocios turbios de la Dark Web

En el episodio 3 vimos la elección entre carteras calientes y frías para gestionar bitcoins. Lo cierto es que el negocio turbio de Ray en la Dark Web nos recordó la relación casi inevitable entre criptomonedas y ciberdelito, ya que son las elegidas por una vasta variedad de familias de ransomware para cobrar en forma anónima los rescates que le exigen a sus víctimas. También son la divisa de las operaciones en redes anónimas.

El hecho de ser descentralizadas también las convierte en elementos de especulación financiera; por ejemplo, en el episodio 11 se menciona parte del plan de E Corp para imponer su criptomoneda E Coin en reemplazo de Bitcoin, alegando que podrá ser centralizada y controlada por el gobierno, y que incluso permitirá la introducción de puertas traseras para monitorear las transacciones, al contrario de lo que sucede con Bitcoin.

robot_s2e9_whiterose_price

A decir verdad, las criptomonedas no son intrínsecamente maliciosas sino un elemento que puede ser usado con diversos fines. Como usuarios, quienes opten por usarlas pueden aplicar medidas para cuidar sus billeteras y, entre tanto, la comunidad de Bitcoin se esfuerza por mejorar su seguridad.

Conclusión

Incluir este tipo de acontecimientos relacionados a la seguridad en una serie de alcance masivo, que atrajo no solo a la comunidad informática sino al público en general, es una buena forma de mostrar cuán descuidadas pueden ser algunas compañías al lanzar servicios y aplicaciones web y los errores que se siguen cometiendo por parte de usuarios y proveedores.

Las acciones de Fsociety, independientemente de sus motivaciones, no distan mucho de las que podría cometer cualquier grupo de atacantes dispuesto a comprometer la seguridad de una compañía o incluso hundirla. Queda en manos de los profesionales de seguridad y los usuarios, entonces, saber cómo prevenirlo.

Y a ti, ¿qué te pareció la segunda temporada de Mr. Robot?

Créditos imágenes: USA Network