"Conoce cómo un router descartado puede revelar a los cibercriminales secretos de una organización"
Tener que quitar un router averiado del rack de equipamiento y reemplazarlo por uno nuevo es probablemente algo que sucede a menudo en los entornos de red de las empresas. Sin embargo, tan importante como lograr que el cambio e implementación de un nuevo equipo se realice sin contratiempos es pensar en el destino que se le dará al router descartado.
Cuando el equipo de investigación de ESET compró algunos routers de segunda mano para configurar un entorno de prueba, los miembros del equipo se sorprendieron cuando descubrieron que, en muchos casos, las configuraciones utilizadas anteriormente no habían sido borradas… y lo que es peor, los datos que contenían estos dispositivos podrían ser utilizados para identificar a los propietarios anteriores y conocer los detalles de sus configuraciones de red.
Esto nos llevó a realizar una prueba más extensa, comprando más dispositivos usados y adoptando una metodología simple para ver si estos datos también existían en la segunda tanda de dispositivos adquiridos. En total se compraron 18 routers, uno de ellos no encendía y dos eran un par reflejado, por lo que los contamos como un solo equipo; teniendo esto en cuenta, descubrimos que el 56 % de los dispositivos contenían datos y detalles de configuración.
En las manos equivocadas, los datos que contienen estos dispositivos –incluidos los datos de los clientes, las claves de autenticación de router a router, la lista de aplicaciones y mucho más– son suficientes para lanzar un ciberataque. Un actor malicioso podría obtener datos para lograr el acceso inicial a la red y luego comenzar a investigar para detectar dónde se encuentran los activos digitales de la empresa y qué podría ser de valor. Probablemente la mayoría de los lectores comprende lo que puede venir después en un escenario como este.
Los cambios en los últimos años en los métodos utilizados por los actores maliciosos para lanzar un ciberataque a una empresas con la intención de obtener un beneficio económico están bien documentados. Estos cambios hacia un estilo de ataque como el que realizan los grupos de amenazas persistentes avanzadas (APT) han permitido a los ciberdelincuentes establecer un punto de entrada para lograr poner un pie dentro de las redes de una organización. Luego, dedican tiempo y recursos para extraer datos sensibles, explorar métodos para evadir las medidas de seguridad y, en última instancia, poner de rodillas a una empresa al someterla a un ataque de ransomware o al de otro código malicioso.
Acceder de forma no autorizada a la red de una compañía tiene un costo: en la actualidad el precio promedio de credenciales de acceso a una red corporativa, según una investigación de KELA Cybercrime Prevention, ronda los 2.800 dólares. Esto significa que si un router usado comprado por poco dinero es capaz de proporcionar sin demasiado esfuerzo acceso a una red, el retorno de la inversión para los cibercriminales puede ser significativo. Esto suponiendo que los atacantes solo se dediquen a comercializar los datos de acceso y venderlos en mercados clandestinos de la darkweb, en lugar de ellos mismos lanzar un ciberataque.
Algo preocupante que dejó esta investigación fue la falta de compromiso por parte de las empresas cuando intentamos alertarlas sobre el acceso público a sus datos. Algunas compañías se mostraron receptivas al contacto, algunas confirmaron que los dispositivos habían sido enviados para su destrucción o para que se lleve adelante un proceso de borrado de los datos, algo que claramente no había ocurrido. Otros simplemente ignoraron los repetidos intentos de contacto.
Una lección que deja esta investigación es que cualquier dispositivo que una compañía descarte debe pasar por un proceso de limpieza, y que ese proceso debe certificarse y auditarse regularmente para garantizar que la información sensible de una organización no termine siendo comercializada en mercados de compra y venta de hardware de segunda mano.
Hemos publicado los detalles de esta investigación en un White paper (en inglés), salvo los nombres de las empresas y los datos que permitiría su identificación. El White paper también contiene una guía sobre el proceso que se debe seguir, incluidas las referencias a la publicación especial 800.88r1 del NIST, Guía para la sanitización de medios. Recomendamos leer los detalles de esta investigación y aprovechar estos hallazgos como impulso para verificar los procesos en su propia organización y de esta manera asegurarse de que no se está divulgando información por error.
Referencias: ESET
Autor: Tony Anscombe