Cuando se trata de ciberseguridad, las empresas de todos los tamaños son blancos para los cibercriminales, y sus propietarios nunca deben asumir que nada es completamente seguro. Recientemente me pidieron que investigara y pusiera a prueba la ciberseguridad de un club de golf independiente en Reino Unido, y me pareció que podía resultar un experimento interesante.
Además, el dueño del club aseguró que me “costaría” hackearlos, ya que tenían a alguien “cuidando de su seguridad” ¡Esto solo me hizo sentir más decidido y listo para el desafío!
Con 14 años de experiencia en la unidad de ciberdelincuencia y forense digital en la policía, ahora reviso y analizo las posibles ciberamenazas que enfrentan las empresas. Ser capaz de entender a los criminales cibernéticos, a menudo me ayuda a revelar información sobre su mentalidad, lo que puede conducir a una mejor protección para las organizaciones.
En este punto, necesito agregar un pequeño descargo de responsabilidad. Antes de embarcarme en mi escapada en este hermoso campo en la impresionante campiña inglesa, el propietario del club me concedió pleno acceso y permiso para ir a donde quisiera y hacer lo que quisiera, ¡dentro de lo razonable, por supuesto!
Al igual que lo es para realizar un buen ataque, la investigación es vital. Si bien estoy familiarizado con el entorno, la jerga y el atuendo de un club de golf de calidad, necesitaba aprender todo lo que pudiera sobre el personal y este club en particular; y en estas situaciones Google es tu mejor amigo. Armado con lo que encontré en Internet y un par de técnicas de buena calidad en mi bolsillo trasero, estaba bastante seguro de que podría divertirme con mi establecimiento de golf objetivo.
Decidí hacerme pasar por un productor asistente de televisión, consultando si era posible hacer una visita de reconocimiento para un nuevo comercial y solicitando tomar algunas fotos para informar a mi productor. Llamé al club con una semana de anticipación y me presenté con una historia. El gerente de desarrollo de negocios respondió a la llamada y (naturalmente) le encantó la idea, invitándome con entusiasmo a visitar el club la semana siguiente.
Un día de campo para los hackers
Llegué al campo una mañana soleada y fui directo a la recepción poco después de las 9 am, equipado con mi computadora portátil, unidad USB, cámara DSLR y una chaqueta que emanaba confianza. Luego de reunirme con el gerente de desarrollo de negocios (con quien había hablado anteriormente) me fui durante una hora con mi cámara y tomé algunas fotos del lugar.
A mi regreso, le mostré las fotos y le pregunté si podía usar su red Wi-Fi privada, mencionando que sería más seguro(!), y solicité la contraseña, que me fue felizmente dada. Luego dije que había olvidado algunos formularios que necesitaban ser firmados, así que le pregunté si podía abrir mi unidad USB en su computadora para enviar a imprimirlos. Él dudó e incluso dijo: “Normalmente no dejaría que alguien que no conozco haga esto, pero como es para la televisión, haré una excepción”.
Fue entonces cuando presencié el verdadero espectáculo de terror, algo que no esperaba volver a ver nunca más… ¡¡Todavía estaban usando Windows XP!! El soporte para este sistema operativo cesó en 2014 y se convierte en algo altamente peligroso si está conectado a Internet, por lo que ver esta situación en la actualidad me impactó, incluso me asusto. Para empeorar las cosas, XP se estaba ejecutando en la computadora de la tienda y corría su software de punto de venta, con todos los datos financieros y sensibles que se ejecutan a través de este dispositivo, sería un resultado muy peligroso si fuera elegido como blanco de ataque.
Una vez que fingí que el documento que necesitaba imprimir faltaba en mi unidad USB, ofrecí a enviar un falso formulario a través de los formularios de Google para obtener información personal adicional de él, junto con una de sus contraseñas. Inmediatamente hizo clic en el enlace al formulario y lo completó. De hecho, luego tomó una llamada y me dejó con acceso completo a dos máquinas más sin que nadie me estuviera observando.
Con acceso a la contraseña de Wi-Fi, unidades USB e incluso máquinas no supervisadas, podría haber completado cualquier hazaña que pudiera soñar. Desde la instalación de un troyano de acceso remoto o keyloggers en las máquinas, hasta la colocación de otro malware, como ransomware en la red para exigir el pago para descifrar los datos, ¡esto era el sueño de un hacker!
Dejar la computadora sin supervisión y desbloqueada es un peligro en cualquier lugar de trabajo, pero particularmente en una posición a la que el público puede acceder y aprovechar otros desaciertos de seguridad, me hizo dar cuenta que algunas empresas todavía están demasiado atrasadas en lo que refiere a seguridad.
Por supuesto que no comprometí la red de este club de golf, pero las lecciones aprendidas fueron vitales y la gravedad es preocupante. El haber tenido acceso completo a una cantidad de datos personales, confidenciales y financieros presentes en la red podría haber significado un costo extremadamente elevado para el club. Si se ven comprometidas las redes, las multas por parte del GDPR por filtrar este tipo de información personal podrían haber sido catastróficas. Unirse a un club de golf incluye la entrega de una gran cantidad de información, por lo que la pérdida de estos datos podría provocar enormes consecuencias y más de una víctima.
Pensar a largo plazo
La facilidad con la que se puede realizar un ataque algunas veces puede ser impresionante. Una buena historia de fondo, un toque de encanto y un poco de suerte te llevará a la mayoría de las áreas que podrían ser explotadas. Si a esto sumamos que se han dejado de lado las recomendaciones básicas de ciberseguridad, la nefasta tarea en cuestión puede llegar a ser mucho más sencilla. Una chaqueta vistosa solo ayuda a sellar el trato.
Los actores de amenazas son buenos exactamente en aprovecharse de las debilidades o vulnerabilidades, por lo que todos necesitamos mejorar lo que hacemos lejos del campo de golf y comenzar a enfocarnos en averiguar dónde están esas debilidades en nuestros negocios.
Al informar al dueño del club de golf, se asustó un poco, pero tampoco se sorprendió. Él mismo dijo que nunca pensó que alguien jamás lograría comprometer su negocio y erróneamente asumió que los cibercriminales son los que usan una capucha y van detrás de las grandes compañías. La verdad es, sin embargo, que cada negocio es un potencial objetivo y si siguen siendo tan fácilmente penetrables, seguirá siendo redituable para los criminales atacarlos.