Ciberdelincuentes pueden vulnerar las redes utilizando datos de enrutadores corporativos revendidos
Tú sabes que se supone que debes limpiar tu teléfono inteligente o computadora portátil antes de revenderlo o dárselo a tu primo. Después de todo, hay una gran cantidad de datos personales valiosos que deben permanecer bajo tu control.
Las empresas y otras instituciones deben adoptar el mismo enfoque, eliminando su información de las PCs, servidores y equipos de red para que no caigan en las manos equivocadas. Sin embargo, en la conferencia de seguridad de RSA en San Francisco la próxima semana, los investigadores de la firma de seguridad ESET presentarán hallazgos que muestran que más de la mitad de los enrutadores empresariales de segunda mano que compraron para probarlos habían sido dejados completamente intactos por sus dueños anteriores. Y los dispositivos rebosaban de información de red, credenciales y datos confidenciales sobre las instituciones a las que habían pertenecido.
Los investigadores compraron 18 enrutadores usados en diferentes modelos fabricados por tres proveedores principales: Cisco, Fortinet y Juniper Networks. De ellos, nueve estaban tal como los habían dejado sus dueños y totalmente accesibles, mientras que solo cinco habían sido limpiados adecuadamente. Dos estaban cifrados, uno estaba inutilizable y el otro era una copia espejo de otro dispositivo.
Datos confidenciales
Los nueve dispositivos desprotegidos contenían credenciales para la VPN de la organización, credenciales para otro servicio de comunicación de red segura o contraseñas de administrador raíz codificadas. Y todos ellos incluían suficientes datos de identificación para determinar quién había sido el propietario u operador anterior del enrutador (router).
Ocho de los nueve dispositivos desprotegidos incluían claves de autenticación de router a router e información sobre cómo se conectaba el router a aplicaciones específicas utilizadas por el propietario anterior. Cuatro dispositivos expusieron las credenciales para conectarse a las redes de otras organizaciones, como socios de confianza, colaboradores u otros terceros. Tres contenían información sobre cómo una entidad podría conectarse como un tercero a la red del propietario anterior. Y dos contenían directamente datos de clientes.
“Un router central toca todo en la organización, por lo que sé todo sobre las aplicaciones y el carácter de la organización; hace que sea muy, muy fácil hacerse pasar por la organización. En un caso, este gran grupo tenía información privilegiada sobre una de las firmas contables más grandes y una relación directa con ellos. Y ahí es donde para mí comienza a asustarme, porque somos investigadores, estamos aquí para ayudar, pero ¿dónde están el resto de estos enrutadores?”.
Cameron Camp, el investigador de seguridad de ESET que lideró el proyecto
El gran peligro es que la gran cantidad de información en los dispositivos sea valiosa para los ciberdelincuentes e incluso para los hackers respaldados por estados. Los inicios de sesión de aplicaciones corporativas, las credenciales de red y las claves de cifrado tienen un gran valor en los mercados de la web oscura y los foros criminales. Los atacantes también pueden vender información sobre personas para su uso en el robo de identidad y otras estafas.
Información valiosa para los ciberdelincuentes
Los detalles sobre cómo opera una red corporativa y la estructura digital de una organización también son extremadamente valiosos, ya sea que se esté realizando un reconocimiento para lanzar un ataque de ransomware o planeando una campaña de espionaje. Por ejemplo, los enrutadores pueden revelar que una organización en particular está ejecutando versiones desactualizadas de aplicaciones o sistemas operativos que contienen vulnerabilidades explotables, esencialmente brindando a los hackers una hoja de ruta de posibles estrategias de ataque. Y los investigadores incluso encontraron detalles en algunos enrutadores sobre la seguridad del edificio físico de las oficinas de los propietarios anteriores.
Dado que los equipos de segunda mano tienen descuento, sería potencialmente factible que los ciberdelincuentes inviertan en la compra de dispositivos usados para extraer información y acceso a la red y luego usar la información ellos mismos o revenderla. Los investigadores de ESET dicen que debatieron si publicar sus hallazgos, porque no querían dar nuevas ideas a los ciberdelincuentes. No obstante, concluyeron que crear conciencia sobre el tema es más apremiante.
“Una de las grandes preocupaciones que tengo es que, si alguien malintencionado no está haciendo esto, es casi una mala práctica de hackers, porque sería muy fácil y obvio”.
Dieciocho enrutadores es una pequeña muestra de los millones de dispositivos de redes empresariales que circulan en todo el mundo en el mercado de reventa. No obstante, otros investigadores dicen que también han visto repetidamente los mismos problemas en su trabajo.
“Hemos comprado todo tipo de dispositivos integrados en línea en eBay y otros vendedores de segunda mano, y hemos visto muchos que no se han borrado digitalmente. Estos dispositivos pueden contener gran cantidad de información que los ciberdelincuentes pueden utilizar para apuntar y llevar a cabo ataques”.
Wyatt Ford, gerente de ingeniería en Red Balloon Security, una empresa de seguridad.
Ataques
Al igual que en los hallazgos de ESET, Ford dice que los investigadores de Red Balloon han encontrado contraseñas y otras credenciales e información de identificación personal. Algunos datos, como los nombres de usuario y los archivos de configuración, suelen estar en plano y son de fácil acceso, mientras que las contraseñas y los archivos de configuración suelen estar protegidos porque se almacenan como hashes criptográficos codificados. Pero Ford señala que incluso los datos cifrados todavía están potencialmente en riesgo.
“Tomamos hashes de contraseñas encontrados en un dispositivo y los desciframos sin conexión; te sorprendería de cuántas personas todavía basan sus contraseñas en sus gatos. E incluso las cosas que parecen inocuas como el código fuente, el historial de confirmaciones, las configuraciones de red, las reglas de enrutamiento, etcétera, se pueden usar para obtener más información sobre una organización, su gente y su topología de red”.
Los investigadores de ESET señalan que las organizaciones pueden pensar que están siendo responsables al contratar empresas externas de administración de dispositivos. empresas de eliminación de desechos electrónicos, o incluso servicios de desinfección de dispositivos que afirman limpiar grandes lotes de dispositivos empresariales para revenderlos. Pero en la práctica, estos terceros pueden no estar haciendo lo que dicen. Y Camp también señala que más organizaciones podrían aprovechar el cifrado y otras características de seguridad que ya ofrecen los enrutadores convencionales para mitigar las consecuencias si los dispositivos que no se han borrado terminan sueltos en el mundo.
Camp y sus colegas intentaron ponerse en contacto con los antiguos propietarios de los enrutadores usados que compraron para advertirles que sus dispositivos ahora estaban en libertad arrojando sus datos. Algunos agradecieron la información, pero otros parecieron ignorar las advertencias o no ofrecieron ningún mecanismo a través del cual los investigadores pudieran informar los hallazgos de seguridad.
“Utilizamos canales confiables que teníamos para algunas empresas, pero luego descubrimos que muchas otras empresas son mucho más difíciles de contactar. Aterradoramente así”.