Aparentemente el ataque a UBER tiene mucho tiempo de estar siendo planeado.
Por Hernando Segura, socio fundador de ATTI Cyberlabs
Iniciando el día de ayer comenzamos a recibir noticias de un aparente hackeo a la infraestructura tecnológica de UBER. ¿Es esto importante y por qué debería preocuparnos?
Está confirmado por parte de UBER que están en medio de una vulneración maliciosa de sus sistemas. La empresa no ha brindado muchos datos, pero la información que se tiene apunta a una exfltración masiva de datos que evidencia que el ataque tiene mucho tiempo de haber iniciado con éxito. El comunicado en su cuenta de Twitter de ayer 15 de septiembre es el siguiente:
Uber es una empresa fundada en el 2009, y hoy es la compañía de plataformas compartidas de transporte más grande del mundo. Sus operaciones están respaldadas por un vasto arreglo de aplicaciones, soluciones, bases de datos y almacenamiento en la nube, que deja detrás a la mayoría de las empresas globales. La empresa almacena, procesa y analiza datos de múltiples fuentes, incluyendo los relacionados a cada viaje de usuario, su origen, destino, duración, frecuencia, etc, para sus más de 93 millones de usuarios activos. Almacena también nuestros datos de pago, direcciones usuales, datos de nuestros familiares, números de tarjetas de crédito, y otros.
Aparentemente el ataque a UBER tiene mucho tiempo de estar siendo planeado, pero su éxito se debe a que el atacante logró acceso a un repositorio de contraseñas, después de haber vulnerado el acceso al VPN de un colaborador, del quien obtuvo sus contraseñas de acceso (incluido su acceso vía Múltiple Factor de Autenticación MFA) usando ingeniería social, presumiblemente un correo malicioso o phishing.
Es evidente que la información potencialmente exfiltrada tiene calibre global. En manos de delincuentes estos datos personales pueden potenciar estafas, extorsiones y fraude de tarjeta de crédito, entre muchos otros más. Su impacto puede ser extenso, mucho máyor que las vulneraciones de Garmin, Colonial Pipeline o Kaseya, pero sobre todo porque la posible vulneración de datos reside en la dimensión de usuario final. Es decir, datos personales y altamente sensitivos suyos, míos y de nuestros familiares.
Qué sabemos hasta ahora. No mucho. Aparentemente uno de los atacantes publicó su método de penetración, que incluye la vulneración del acceso vía VPN. Esta tecnología, lo sabemos, ha llegado a su obsolescencia y continuamente es atacada por hackers incluso con medianos niveles de sofisticación. Mecanismos de identificación y acceso más modernos, como Zero Trust, han comenzado a sustituir las tecnologías basadas en VPN precisamente debido a las debilidades que esta posee.
Qué debemos hacer. Lo primero es no entrar en pánico. Cualquier utilización maliciosa de datos personales, incluyendo tarjetas de crédito, tomaría algún tiempo en materializarse. De cualquier forma es una buena práctica revisar las transacciones de nuestras tarjetas, no como respuesta a este incidente, sino como práctica común y disciplinada. Revise con especial cuidado cuáles tarjetas tiene usted inscritas en la plataforma, y enfóquese en los estados de cuenta de estas. Sobre todo, tome en cuenta que ninguna exfiltración de números de tarjeta ha sido confirmada. Solamente continúe siendo precavido con sus transacciones financieras.
De igual forma, estemos atentos a intentos de estafas telefónicas, por correo o por redes sociales, utilizando datos personales de cualquier tipo. Esto es siempre una buena práctica, independientemente de este caso particular.
Finalmente, revise en su empresa sus prácticas de identificación de usuarios y accesos a los sistemas sensitivos. Si aún utiliza VPNs, considere migrar a tecnologías más robustas, y por supuesto fortalecer sus accesos a través de MFAs. No está de más verificar la preparación de sus colaboradores para reconocer un ataque de phishing o de ingeniería social. Implemente una campaña de simulación de phisning y de cultura cibernética permanente.
Como siempre, para nuestras empresas, propongamos estas tres pregunas a lo interno:
1- ¿Tenemos un buen plan de respaldos, que se ejecuta eficazmente?
2- ¿Tenemos un buen plan de recuperación ante incidentes cibernéticos?
3- ¿Conocemos nuestro nivel de madurez en ciberdefensa? ¿Tenemos una hoja de ruta de mejoramiento?