La historia de un robo real, contada por DragonJAR

La empresa DragonJAR, enfocada en la prestación de servicios de seguridad informática y análisis forense digital, se presentó en Talent Land y relató «la historia de un robo real». Para amenizar la charla, la narración se planteó como una pelea de buenos versus malos. A continuación, reproducimos la historia.

Todo comenzó con una llamada telefónica bancaria hecha a un concesionario para preguntarle el porqué de tantas transferencias realizadas la noche anterior. Esto fue demasiado extraño y causó alboroto en la oficina del concesionario, pues ahí nadie trabaja por la noche. Peor aún: el traspaso fue bastante alto, de millones. La organización escaló el problema hasta sus directivos para que solicitaran ayuda profesional en el área especializada y fue allí cuando apareció Jaime Andrés Restrepo y su equipo de DragonJAR para mitigar el ataque. Y bueno, aquí comienza el combate.

WhatsApp Image 2018-04-18 at 10.31.46 PM

Los profesionales de DragonJAR se presentaron en la oficina de la organización y encontraron que, de acuerdo con los protocolos de seguridad, el disco duro de la computadora dañada estaba resguardado en una caja fuerte. Preguntaron por qué habían apagado el equipo y la respuesta fue:

— Necesitábamos usarlo. ¿Y quién va a estar ahí un mes?

— ¿Un mes!

— Sí, aproximadamente tiene ese tiempo desde el ataque.

Se demoraron demasiado en responder ante tal situación, ocasionando así que el atacante tomara ventaja. Punto para el delincuente.

Una vez con el disco duro en mano, se le hicieron pruebas y fue sometido a procesos para comenzar con la extracción de información y ver qué se encontraba. El primer resultado desenmascaró los ataques anteriores que se habían recibido en ese equipo. Luego se vio involucrado el encargado de soporte técnico, debido a que la organización contaba con licencias para el software y él corría este mismo de manera ilegal; problemas en la administración de los equipos tecnológicos que afectaron demasiado a la concesión. Punto para el delincuente.

«Hacer las cosas mal es vulnerar la seguridad de un software. Es atacarse a sí mismo.»

Jaime Andrés Restrepo

WhatsApp Image 2018-04-18 at 10.31.48 PM

Otro problema fue, nuevamente con el personal de trabajo: la contadora, una chica con romances internacionales, descargó archivos maliciosos que se ejecutaban con discreción en el sistema para cumplir ciertas tareas. En esta parte, el delincuente cometió el error de no proteger su ejecutable y a consecuencia de ello se obtuvo información de él. Punto para los profesionales.

La empresa contaba con la medida de utilizar un teclado virtual para teclear las contraseñas, pero resulta que el archivo que había bajado la trabajadora se estaba ejecutando con el fin de hacer capturas de pantalla y guardarlas dentro del sistema. Dejar evidencia de todo lo que se está haciendo en el equipo de la víctima fue el segundo error por parte del delincuente. Punto para los profesionales.

La contraseña descubierta por parte del atacante demuestra una política muy baja por parte de la empresa. Se utilizaba el nombre de un producto de esta misma y el año de apertura de la cuenta. El banco sólo permite hacer transferencias desde la IP pública que tenían registrada. Punto para el delincuente.

El delincuente optó por vulnerar otra cuenta de una empresa (banco) distinta, pero los resultados no fueron como él lo esperaba. Pensaba que había extraído el dinero a través de las transferencias realizadas y se llevó la sorpresa que el banco detectó el comportamiento anómalo de los hechos. Acto seguido, detuvo la acción para que el robo no pasara a mayores.

Un día antes de que se registrara el robo, el criminal había instalado algún software en el equipo de la víctima. Llamó mucho la atención que el delincuente ya tenía acceso visual por medio del escritorio remoto, pero por alguna razón montó el programa para tener mejor control de la máquina. Punto para los profesionales, porque el software que utilizó deja rastro de las direcciones IP usadas.

Hasta aquí, ya se sabía a dónde ir a buscar. A través de una solicitud por vía un juez se podría pedir a los distintos proveedores que describieran quién tenía asignadas esas direcciones en ese momento. A fin de cuentas, los malos lograron robar muchísimo dinero, el valor de más de diez autos. Ganó el atacante.

WhatsApp Image 2018-04-18 at 10.31.47 PM

Como dato curioso destaca el hecho de que es posible que haya existido colaboración interna con el delincuente por parte de algún empleado. Había cámaras de seguridad que mostraban la ausencia de uso del equipo, pero estaba encendido con la pantalla apagada. El concesionario dice que confiaba en la contadora debido a que llevaban veinte años con ella. Confianza total en ella. Casualmente, la empleada, el día del ataque tuvo una cita odontológica y no pudo asistir a trabajar.

«Para mí es sospechoso ese tipo de actividades. Aunque uno, como analista, sólo tiene que reportar lo que encontró.»

Jaime Andrés Restrepo

Por último, Restrepo mencionó que las malas prácticas de las organizaciones son las que las hacen vulnerables a este tipo de ataques. Por ejemplo: entre el personal de las empresas se va escalando la información hasta llegar a los superiores para que decidan qué hacer; lo que se traduce en muchísimo tiempo perdido, que es hábilmente aprovechado por los delincuentes cuando sucede.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s