Informe de (in)Seguridad: y los Premios Darwin 2024 son para…
16.04.2024
VolverEn abril, tradicionalmente le pedimos a nuestro analista líder, Sergio Bertoni que comparta una selección de los incidentes increíbles, divertidos y ridículos que se destacaron.
Este resumen encontraremos a un ladrón de papel de oficina, una venta de exhibiciones de museo en eBay, una lista de reproducción generada por IA y un empleado, que se hizo pasar por un hacker, chantajeando a su empleador.
La ironía del destino
Qué pasó: un famoso hacker fue víctima de su propio malware.
Cómo sucedió: Desde 2020, un cibercriminal conocido como "La_Citrix" que se dedica a piratear empresas y vender el acceso a sus servidores citrix/vpn/RDP y que también vende registros que contienen información robada de computadoras infectadas con malware para robar información. Se cree que mientras infectaba otras computadoras, La_Citrix infectó involuntariamente su propia computadora y probablemente la vendió sin darse cuenta.
Durante la investigación, la API de Hudson Rock identificó a La_Citrix como un empleado de casi 300 empresas diferentes, pero después de ver las credenciales que tenía almacenadas en la computadora, se descubrió que este pirata orquestó todos los incidentes de piratería utilizando su computadora personal, y los navegadores instalados en esa computadora almacenaron las credenciales corporativas utilizadas para los distintos ataques. Los expertos también lograron revelar el nombre real de La_Citrix, su número de teléfono y su domicilio. Hudson Rock informó que enviará los datos a las agencias policiales.
Sergio Bertoni, analista jefe de SearchInform: Incluso un hacker experimentado puede ser víctima de sus propios trucos. Este caso recuerda al de un famoso organizador de los mayores ataques DDoS. Había permanecido en el anonimato durante seis años. David Bukoski, propietario del servicio DDoS Quantum Stresser, se reveló pidiendo una pizza por Internet. Al pedir la pizza, el hacker introdujo la dirección de correo electrónico que utilizó para registrarse en Quantum Stresser.
Por un trozo de papel
Qué pasó: una empleada consiguió robar papel por valor de 240.000 euros de la oficina. Consiguió comprar propiedades y otras cosas interesantes.
Cómo ocurrió: Cómo sucedió: una empleada del departamento de limpieza llevaba casi un año y medio sacando papel de oficina de la empresa. Según la fiscalía, la mujer robó en total 112.000 resmas de papeles de oficina, cuyo valor total superó los 240.000 euros. Con el producto de la venta de papel, la empleada se compró un departamento y un coche Mercedes-Benz.
Cuando la mujer se enteró de la causa penal en su contra, vendió la propiedad por debajo del precio de mercado y desapareció. Como resultado, fue incluida en una lista internacional de personas buscadas y fue juzgada “en ausencia” y deberá cumplir con una pena de prisión cuando aparezca.
Sergio Bertoni, analista jefe de SearchInform: El incidente del robo de papel revela una vez más de forma ilustrativa lo que puede hacer un solo empleado. En las empresas más pequeñas, nuestros analistas se encuentran a menudo con el despilfarro de los recursos de la empresa. Por ejemplo, los empleados suelen explotar las impresoras para uso personal. Recientemente, en la empresa de uno de nuestros clientes se descubrió que una empleada imprimió 1.500.000 páginas de libros de texto.
También recuerdo un incidente con el efecto contrario. Un empleado de una pequeña empresa robaba carbón. Los directivos eran conscientes del problema, pero, por alguna razón, no lo resolvieron (al parecer, tenían demasiado carbón). Al cabo de un tiempo, la empresa cambió a otro tipo de combustible y el carbón dejó de ser necesario. La eliminación habría requerido fondos adicionales. Es curioso, pero el empleado que solía robar carbón se convirtió no en una plaga, sino en un ayudante. El problema de la utilización del carbón se fue resolviendo poco a poco con su ayuda.
Crimen artístico
Qué ocurrió: un empleado del Museo Británico de Londres vendió objetos en eBay.
Cómo ocurrió: el museo demandó a Peter John Higgs, conservador de las colecciones griegas. Resultó que Peter, que trabajó en el museo durante casi 30 años, habría estado vendiendo artefactos piezas de joyería hechos de oro, piedras semipreciosas y objetos de vidrio que corresponden al periodo de tiempo que va desde el siglo XV a.C. hasta el siglo XIX d.C. Según The Times, los daños causados por las acciones del exempleado ascendieron a cerca de100 millones de dólares.
El empleado fue sorprendido en el momento en que empezaba a publicar anuncios de los objetos, descritos con todo detalle. Además, aunque el hombre utilizaba un seudónimo, olvidó que su cuenta de Paypal estaba vinculada a Twitter, donde solía publicar posts con su nombre real.
Según The Daily Telegraph, los representantes del museo tuvieron conocimiento de los robos hace varios años atrás, pero decidieron no hacer público el incidente y no despidieron al conservador hasta el verano de 2023. También se afirmó que algunos de los artefactos no estaban asegurados, es más, ni siquiera estaban registrados en catálogos digitales.
Por lo tanto, ahora es casi imposible demostrar que pertenecían a la colección del Museo Británico.
Sergio Bertoni, analista jefe de SearchInform: El incidente demuestra lo importante que es realizar un registro e inventario, incluso para los archivos digitales, así como llevar a cabo la auditoría de los derechos de acceso de los usuarios.
Todos son hackers
Qué pasó: el empleado del departamento de seguridad de la información de la empresa se hizo pasar por hacker para chantajear a su jefe.
Cómo ocurrió: en 2018, unos hackers atacaron una empresa con sede en Oxford con la ayuda de un ransomware. Tras el incidente, los atacantes se pusieron en contacto con el ejecutivo de la organización y exigieron un rescate. La analista de seguridad de la información de la empresa, Ashley Lyles, que participaba activamente en las investigaciones internas de los incidentes, decidió aprovecharse de la situación.
Lyles consiguió acceder al correo electrónico del ejecutivo de la empresa, cambió el contenido del correo original, enviado por los piratas informáticos, y también modificó la dirección a la que se pedía el envío del rescate. Durante algún tiempo mantuvo correspondencia con la dirección e intentó persuadirles para que pagaran el rescate. Pero finalmente los responsables de la empresa se negaron a pagar, y la investigación llevó a las fuerzas policiales hasta la dirección IP del domicilio de Ashley Lyles.
Durante casi cinco años, la empleada había estado negando su implicación en el incidente, pero en mayo de 2023, Lyles finalmente se declaró culpable.
Sergio Bertoni, analista jefe de SearchInform: Este caso nos remite a la eterna pregunta, que también nos hacen a menudo en diversas conferencias: ¿Quién controla a los encargados de controlar? Entre los responsables de la Seguridad de la Información, como en otras áreas, no todos son santos
Inteligencia Artificial, Listas de reproducción
Qué ocurrió: un estafador obtuvo casi 16.000 dólares vendiendo pistas musicales falsas.
Cómo ocurrió: un estafador, vendió canciones falsas "filtradas" de Ocean a través de Discord en un foro de fans.
La investigación reveló que sus ganancias ascendieron a 16.000 dólares antes de que lo detuvieran luego de convencer a los clientes que las canciones pertenecían al famoso cantante y compositor de R&B y Hip-Hop Frank Ocean. Aseguró a sus clientes que esas canciones se habían filtrado. El estafador las ofrecía a un precio que oscilaba entre 3.000 y 4.000 dólares por unidad. En realidad, estafador, que usó el nombre de "Mourningassassin" solo se limitaba a utilizar la voz del cantante y generar nuevas pistas con ayuda de la Inteligencia Artificial.
Dado que abril, el cantante hizo una aparición en un festival e insinuó el lanzamiento inminente del álbum, el estafador se aprovechó de ansiedad los fans que llevaban esperando los temas de Frank Ocean desde 2016.
Sergio Bertoni, analista jefe de SearchInform: Es interesante examinar incidentes como este en términos de cómo la tecnología relacionada con la inteligencia artificial está cambiando el panorama criminal. Mi incidente favorito hasta ahora es la llamada colectiva deepfake que resultó en una pérdida de más de 25 millones
¿Qué hora es?
Qué ocurrió: el centro de cómputos del gran banco se cayó debido a que las baterías se descargaron.
Cómo ocurrió: Uno de los mayores bancos del Reino Unido sufrió un fallo en todos los sistemas de información, incluido el centro de cómputos. El incidente fue tan grave que los empleados no pudieron trabajar. El departamento de TI reinició los servidores y realizó diagnósticos, pero las medidas no ayudaron a que los sistemas volvieran a funcionar, ya que el problema no estaba en los sistemas de TI del banco. El motivo de los fallos eran las baterías descargadas, que el personal de soporte técnico del banco olvidó cambiar. Debido que las pilas de dos relojes patrón, que sincronizaban la hora en todos los sistemas de información del banco, estaban descargadas. Los relojes dejaron de mostrar la hora exacta, lo que provocó que todos los dispositivos retrocedieran automáticamente a la fecha del 1 de enero de 1954.
Sergio Bertoni, analista jefe de SearchInform: Una excepción que confirma la regla "si funciona, no lo toques". Pero sigue siendo importante no sólo construir una infraestructura "para la eternidad". Es necesario realizar auditorías periódicas y trabajar constantemente en la optimización, de lo contrario puede ocurrir que los sistemas dejen de funcionar de repente.