Site icon Sophos News

Lecciones aprendidas de un ciberatacante adolescente

Es difícil saber si reír o llorar por la nueva columna que Vice de Motherboard comenzó a publicar a principios de este mes.

Se llama Scam Academy y habla sobre “esquemas y trucos dentro de las escuelas secundarias y colegios de Estados Unidos”. Los autores no son periodistas  de Vice, son los “ciberatacantes” que han aceptado la invitación de Vice para compartir cómo lo hicieron y por qué.

Suponiendo que estas historias son confesiones verdaderas, esta columna podría haberse titulado “Gané dinero pirateando el ordenador de mi profesor para cambiar las notas. No fue completamente legal, pero fue divertido”.

En realidad, olvídate de reír o llorar. En cambio, si trabajas en educación, ya sea como profesor o en administración, debes tomar notas sobre lo que estos adolescentes anónimos dijeron, porque han descrito agujeros de seguridad lo suficientemente grandes como para que pudiera pasar autobús escolar.

¿No puedes iniciar sesión? ¡No hay problema!

Todo comenzó en el primer año en la escuela secundaria, recordó un ciberatacante adolescente, cuando les entregaron las credenciales de administrador para iniciar sesión.

Cuando no pude iniciar sesión en mi ordenador durante una clase, en mi primer año de instituto, mi profesora vino y me dio el nombre de usuario y la contraseña del administrador. Pensé, tal vez podré usar esto en otro lugar. Comencé a buscar y descubrí que funcionaba en todos los ordenadores de la red.

Lección aprendida: no compartas tu contraseña. Todos deben tener su propia cuenta y establecer su propia contraseña.

Sonríe, estás en la cámara de seguridad de la escuela

El año siguiente, el ciberdelincuente junior, conoció a un nuevo amigo que sabía mucho de informática. Los dos encontraron las direcciones IP de las cámaras de seguridad del instituto y descubrieron cómo moverlas usando un programa llamado NetVu Observer.

No era completamente legal, pero era muy divertido

Divertido, y una excelente forma para espiar los movimientos de los profesores.

Seguíamos intentando averiguar cómo obtener un nombre de usuario y una contraseña para la red. Así que mi amigo y yo colocamos las cámaras en un aula donde sabíamos que el profesor entraba y salía constantemente. Usamos las cámaras para ver cuándo salía y así pudimos bloquear la puerta antes de que se cerrase. No se había desconectado, teníamos acceso.

Lección aprendida: ¡Cerrar siempre sesión cuando deje su ordenador! No cerrar la sesión al final del día es el equivalente digital a dejar la puerta abierta a los ladrones, como no poner una contraseña a una cámara web (o utilizar la predeterminada). Hemos escrito numerosos artículos sobre piratas informáticos que utilizan el motor de búsqueda Shodan para encontrar cámaras web no seguras y sobre los peligros de mirar por encima del hombro.

Y, ya que estamos con el tema de las puertas, dejar la puerta abierta para los intrusos es, literalmente, dejar la puerta abierta para los intrusos. Una puerta desbloqueada puede dar a los malos acceso gratuito a lo que deberían ser áreas con seguridad física.

Acceso conseguido, keylogger instalado

Una vez que los ciberatacantes tuvieron acceso al ordenador del profesor, instalaron un keylogger que les enviaba una copia de lo que se escribiera cada media hora. Así es como obtuvieron su nombre de usuario y contraseña. Después de eso, obtener acceso a las calificaciones fue fácil:

Desde que tuvimos acceso a sus credenciales, tuvimos acceso al libro de calificaciones. Ahora podríamos cambiar las notas.</p<

Lección aprendida: keyloggers prohibidos – utilizar antivirus.

Los keyloggers, que pueden ser de hardware o software, son difíciles de detectar a menos que se vean las versiones de hardware (de apariencia inocente, si es que son visibles). Eso los convierte en una herramienta común para todo, desde espiar a los cónyuges, hasta robos en bancos a adolescentes cambiando sus notas escolares o conseguir exámenes y respuestas con antelación.

En abril, nos enteramos de que un administrador de sistemas, que había sido despedido por un senador de los EEUU, regresó a su lugar de trabajo e instaló keyloggers para poder robar credenciales de sesión de sus antiguos colegas. Luego, las utilizó para averiguar información de contacto y robar los datos de tarjetas de crédito, la información de identificación personal (PII) de cientos de otras personas y decenas de miles de correos electrónicos y documentos internos pertenecientes a la oficina del senador.

Estos keyloggers son, literalmente, un juego de niños. Son baratos, fáciles de usar y, a menudo, no se detectan en los objetivos típicos (escuelas, universidades, bibliotecas) que, con demasiada frecuencia, tienen presupuestos limitados para equipos, software y técnicos expertos.

¿Cómo proteges contra los keyloggers? En lo que respecta a las versiones de software, use un software antivirus. Pero en lo que respecta a las versiones de hardware, no hay forma de que un sistema operativo detecte tales dispositivos, que están conectados entre un ordenador y el teclado. Algunos se pueden ver si te fijas en tu puerto USB o PS/2, aunque yo nunca he trabajado en lugar donde se revisara regularmente los keyloggers.

De todos modos, volvamos con el aprendiz de ciberatacante.

Retoques sutiles

Continúa detallando la estrategia sobre cuánto aumentar las calificaciones de sus amigos (que se convertirían en sus clientes).

Solo se aumentaría cada nota en medio punto como máximo porque no queríamos que los profesores se dieran cuenta. Si alguien obtiene un cero y lo cambiamos a 10, es algo que llama mucho la atención mucho.

Los ciberatacantes eran generalmente sutiles en los aumentos de calificaciones, y también eran modestos en el precio que cobraban a sus compañeros, unos 20 $. Hicieron entre 500 $ y 600 $ el primer año. El columnista dijo que los ciberdelincuentes “no querían estafar a la gente”.

Una cuenta bancaria rebosante llamaría la atención, dijo el atacante:

Mis padres podían ver mi cuenta bancaria en ese momento, así que no quería que me preguntaran de dónde venía tal cantidad de dinero.

Los adolescentes de hoy en día

Tal vez la conclusión más importante de este manual de entrenamiento de ciberdelincuentes, es que las personas generalmente ignoran lo que pueden hacer algunos adolescentes, dijo atacante:

Los administradores de TI subestiman lo que realmente pueden hacer los estudiantes.

De hecho, el amigo informático descubrió, mediante el escaneo de ordenadores en la red, que todas las escuelas del distrito estaban en la misma red, y que un administrador de TI de otra escuela estaba usando una cuenta de administrador predeterminada “para hacer todo su trabajo”. Ese administrador también estaba ejecutando un programa que implementaba actualizaciones” para todos los ordenadores en la red “, lo que otorgaba a los estudiantes fisgones acceso a “todo”.

Ese administrador incluso tenía un programa que ejecutaba el sistema HVAC.

Sí, una mala seguridad significaba que los estudiantes podrían haber controlado incluso el termostato de todas las escuelas de la zona.

Estábamos muy contentos con lo que encontramos, no voy a mentir.

Y tenga la seguridad de que los niños en la escuela no son los únicos que buscan beneficiarse de los supuestos agujeros de seguridad. Si ellos pudieron encontrar como entrar en la red escolar, ¿qué posibilidad hay que alguien de fuera del instituto también lo encontrara?

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Exit mobile version