Intrusión en Uber: hacker se habría hecho pasar por colega
La reciente ciberintrusión en Uber pone bajo el reflector la llamada “ingeniería social”: una práctica mediante la cual un hacker se hace pasar por colega
Uber aseguró que todos sus servicios estaban en funcionamiento después de haber sufrido lo que los profesionales en ciberseguridad han calificado como una falla grave en su seguridad de datos. El servicio de taxis por app afirmó el viernes que no había pruebas de que el hacker haya tenido acceso a datos confidenciales de los usuarios.
Sin embargo, la intrusión, aparentemente cometida por un hacker en solitario, puso en evidencia una práctica cada vez más eficaz y que involucra la llamada “ingeniería social”: El hacker aparentemente obtuvo acceso haciéndose pasar por un colega, engañando a un empleado de Uber para que le diera sus acreditaciones.
Entonces fue capaz de localizar contraseñas en la red, que le permitieron obtener el nivel de acceso privilegiado que está reservado para los administradores de sistemas.
El daño potencial era grave: las capturas de pantalla que el hacker compartió con los investigadores de seguridad indican que obtuvo acceso completo a los sistemas alojados en la nube donde Uber almacena datos financieros y confidenciales de los clientes.
Se desconoce cuántos datos robó el hacker o cuánto tiempo estuvo dentro de la red de Uber. Dos investigadores que se comunicaron directamente con la persona —que se identificó como un joven de 18 años ante uno de ellos— dijeron que el hacker parecía estar interesado solamente en hacerse publicidad. No hubo indicios de que hubiera dañado datos.
Sin embargo, los archivos compartidos con los investigadores y publicados ampliamente en Twitter y otras redes sociales indican que el hacker pudo obtener acceso a los sistemas internos más cruciales de Uber.
“Fue muy grave el acceso que tuvo. Fue terrible”, opinó Corbin Leo, uno de los investigadores que chateó con el hacker en línea.
Las reacciones de la comunidad de ciberseguridad en internet fueron duras, teniendo en cuentas que Uber ya había sufrido una intrusión grave en sus sistemas informáticos en 2016.
El hackeo “no fue sofisticado ni complicado y claramente se basó en múltiples y enormes fallos sistémicos en materia de cultura e ingeniería de seguridad”, tuiteó Lesley Carhart, directora de respuesta a incidentes de Dragos Inc., que se especializa en sistemas de control industrial.
Leo dijo que las capturas de pantalla que compartió el intruso mostraron que obtuvo acceso a los servidores de Uber en la nube de Amazon y Google. En ellos Uber almacena su código fuente, datos financieros y datos de los clientes, incluso los números de las licencias de conducir.
“Si él hubiera tenido las ‘llaves del reino’ podría haber empezado a interrumpir servicios. Podría haber borrado cosas. Podría haber descargado los datos de los clientes, cambiar las contraseñas de la gente”, alertó Leo, investigador y jefe de desarrollo de negocios de la empresa de seguridad Zellic.
Algunas capturas de pantalla compartidas por el pirata informático —muchas de las cuales circularon en línea— mostraron que tuvo acceso a datos financieros delicados y a bases de datos internas.
Algo que también circuló ampliamente en línea: El hacker anunciando la intrusión el jueves en el propio servicio de comunicación de Uber en la aplicación Slack.
Leo, junto con Sam Curry, un ingeniero de Yuga Labs que también se comunicó con el hacker, dijo que no había ninguna indicación de que el hacker hubiera hecho algún daño o que estuviera interesado en algo más que hacerse notar.
“Está bastante claro que es un hacker joven porque quiere lo que el 99% de los hackers jóvenes quieren, que es la fama”, aseguró Leo.
Curry dijo que habló con varios empleados de Uber el jueves que dijeron que estaban “trabajando para bloquear todo internamente” para restringir el acceso del hacker. Eso incluía la red de la compañía de San Francisco en Slack, dijo.
El propio hacker proporcionó una dirección en la app Telegram. Curry y otros investigadores entablaron entonces una conversación con él por separado, donde el intruso proporcionó capturas de pantalla como prueba.
The Associated Press intentó contactar al hacker en la cuenta de Telegram, pero no recibió respuesta.
Las capturas de pantalla publicadas en línea parecían confirmar lo que los investigadores dijeron que el ciberpirata afirmó: que obtuvo acceso privilegiado a los sistemas más críticos de Uber a través de la “ingeniería social”.
El escenario aparente habría sido este:
El hacker primero obtuvo la contraseña de un empleado de Uber, probablemente a través de una práctica llamada “phishing”: el acto de engañar a un usuario de medios electrónicos para que revele contraseñas y otros datos confidenciales. Luego, el hacker bombardeó al empleado con notificaciones automáticas, pidiéndole que confirmara un inicio de sesión remoto en su cuenta. Cuando el empleado no respondió, el hacker se comunicó con él a través de WhatsApp, haciéndose pasar por un compañero de trabajo del departamento de tecnología, expresando una urgencia. Finalmente, el empleado cedió y confirmó el inicio de sesión remoto con un clic de su ratón.
La “ingeniería social” es una estrategia popular de los ciberintrusos: los seres humanos tienden a ser el eslabón más débil de cualquier red. Los adolescentes usaron “ingeniería social” en 2020 para hackear Twitter y más recientemente ha sido usada en hackeos de las empresas tecnológicas Twilio y Cloudflare, explicó Rachel Tobac, directora ejecutiva de SocialProof Security, que se especializa en capacitar a los trabajadores para que no sean víctimas de esa estrategia.
“La dura verdad es que la mayoría de las organizaciones del mundo podrían ser hackeadas de la misma manera que Uber lo fue”, tuiteó Tobac. En una entrevista, dijo que “incluso la gente superexperta en tecnología cae en los métodos de ingeniería social todos los días”.
“Los atacantes son cada vez más hábiles a la hora de eludir o piratear la MFA (autenticación multifactor)”, recalcó Ryan Sherstobitoff, analista principal de amenazas de la firma SecurityScorecard.
Es por eso que muchos profesionales de la seguridad abogan por el uso de las llamadas claves de seguridad físicas tipo FIDO para la autenticación de usuarios. Sin embargo, las empresas de tecnología han adoptado dicho hardware de manera irregular.
El ciberataque también destacó la necesidad de monitoreo en tiempo real de parte de sistemas basados en la nube para detectar mejor a los intrusos, subrayó Tom Kellermann de la empresa Contrast Security. “Se debe prestar mucha más atención a la protección de las nubes desde adentro” porque una sola llave maestra normalmente puede abrir todas sus puertas.
Algunos expertos cuestionaron cuánto ha mejorado la ciberseguridad en Uber desde que fue hackeada en 2016.
Su exdirector de seguridad, Joseph Sullivan, está siendo enjuiciado actualmente por supuestamente arreglar un pago de 100.000 dólares a los hackers a fin de encubrir esa intrusión de alta tecnología, cuando se robó la información personal de unos 57 millones de clientes y conductores.
En un comunicado publicado el viernes, Uber dijo que “las herramientas internas de software que desactivamos ayer como precaución está de nuevo en operación”.
Dijo que todos sus servicios —incluso Uber Eats y Uber Freight— estaban funcionando y que había notificado a la policía. El FBI afirmó a través de un correo electrónico que está “al tanto del incidente cibernético que involucra a Uber y nuestra asistencia a la compañía está en curso.”
Uber dijo que no había evidencia de que el intruso haya accedido a “datos delicados de los usuarios”, como el historial de viajes, pero no respondió a las preguntas de The Associated Press, entre ellas si los datos se almacenaban encriptados.