Deconstruyendo el ciberataque de Uber

Coche de Uber 'ecologista' con carrocería de hojas verdes ante la Puerta de Alcalá de Madrid

Un coche Uber en formato ecologista ante la Puerta de Alcalá de Madrid. Fuente imagen: Twitter.

Gertrudis Bujalance

El ciberataque masivo contra Uber, que el 15 de septiembre vulneró su infraestructura tecnológica y los archivos de datos de sus clientes, sigue acaparando titulares. Según publica hoy The New York Times, el asaltante podría ser, como apuntaban varios medios, el joven detenido en Londres bajo sospecha de ciberdelincuencia.

Deconstruyendo el ‘hackeo’ de Uber

El modo en que sucedió reúne las características de una buena historia de suspense. Los ingredientes técnicos protagonistas son la autenticación multifactor (MFA) y la falsificación de identidad digital. Pero conforme vamos conociendo los detalles ―una vez asumido que el ciberataque sucedió y que el autor no tiene más de 18 años― lo relevante sería lo que vino después.

La empresa estadounidense Cyberark, especialista en seguridad de la información, está haciendo un flashback para recomponer la secuencia de los hechos. Cyberark tiene un Equipo Rojo, es decir, un departamento formado exclusivamente por expertos en hacking ético, que han publicado un análisis documentado del asalto cibernético sobre los sistemas de Uber. Este estudio orienta sus pesquisas hacia las credenciales codificadas que habrían usado para franquear la entrada. Fue así como se obtuvo al acceso administrativo a la gestión de acceso privilegiado (PAM) de la empresa de transporte. Esta PAM, subcontratada a otro proveedor, permitió obtener un nivel superior de acceso.

Línea temporal del ciberataque

El Equipo Rojo de hacking ético de Cyberark define cinco fases.

  • Fase 1. El ciberdelincuente entra en la red de Uber al conseguir a través de un empleado las credenciales de la infraestructura VPN de la empresa de transporte.
  • Fase 2. Este empleado no tendría privilegios ni permisos específicos para usar archivos sensibles. Pero sí tendría acceso a una red compartida, igual que los demás trabajadores de la empresa. Este recurso compartido de red está abierto o mal configurado, de modo que permite una lista de control de acceso (LCA) de rango amplio. Dentro de ese recurso de red, el asaltante halla un script de PowerShell con credenciales privilegiadas en formato de codificación rígida para la gestión de accesos con privilegios (PAM).
  • Fase 3. La escalada del nivel invasivo comienza al acceder al sistema PAM. Tras apoderarse de las credenciales codificadas para la gestión de accesos con privilegios, el hacker asciende un peldaño más en el escalafón.
  • Fase 4. Una vez en su poder los secretos del mecanismo de administración del acceso privilegiado, el potencial dañino ya es muy alto. El intruso habría vulnerado la autenticación única (SSO), con un único usuario y contraseña, así como la consola de administración en la nube, donde Uber almacena los datos personales y financieros de sus clientes y conductores.
  • Fase 5. Uber confirma que el atacante ha descargado varios mensajes internos del sistema de mensajería Slack y que ha «accedido a la información de una herramienta interna que nuestro departamento financiero usa para gestionar algunas facturas».

 

 

Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad