Investigadores de Kaspersky Lab han descubierto que, por tan solo 20 dólares, es posible desarrollar un dispositivo capaz de robar alrededor de 50 contraseñas por hora. Y todo, con unas pocas horas de trabajo básico de programación.

En este experimento, los expertos de Kaspersky Lab han utilizado un dispositivo USB “casero” creado a partir de una Raspberry-Pi que no contiene software malicioso. Armado con este dispositivo, que había sido configurado específicamente, se las arreglaron para recoger discretamente datos de una red empresarial a razón de 50 contraseñas por hora.

El estudio comienza con una historia real: en otro caso en el que investigó Kaspersky Lab, un individuo encubierto (empleado de una empresa de limpieza) utilizó un USB para infectar con software malicioso la empresa en cuestión. Ahora los entusiastas de la seguridad de Kaspersky Lab han tenido la curiosidad de probar qué otro mecanismo podría permitir hackear una red desde dentro sin recurrir a ningún tipo de malware.

Cogieron una Raspberry-Pi, configurada para hacer de adaptador Ethernet, y le hicieron algunos cambios en la configuración del sistema operativo e instalaron algunas herramientas públicas de inspección de paquetes, recolección de datos y procesamiento. Por último, los investigadores establecieron un servidor para recoger los datos interceptados. Una vez hecho todo esto, solo faltaba probar si la técnica funcionaba: conectaron el dispositivo a la máquina de destino y ésta comenzó a alimentar automáticamente el servidor con credenciales robadas.

Esto fue posible debido a que el sistema operativo del ordenador atacado consideraba la Raspberry-Pi-conectado como una interfaz de red LAN por cable y automáticamente le asigna una prioridad más alta que a las otras conexiones disponibles. Con esto, se le dio acceso a la información intercambiada en la red de la empresa. Después de sólo media hora de la experimentación, los investigadores fueron capaces de recuperar alrededor de 30 contraseñas y transmitirlas a la red atacada. Esta vez, se trababa de una red experimental que simula un segmento de una verdadera red de empresa pero tras ver los resultados lo cierto es que es fácil imaginar la cantidad de datos que podrían ser reunidos en un solo día. 

Además, los investigadores lograron recopilar datos similares de otros equipos en el segmento de red pudiendo recoger y transferir información a un servidor remoto. En el peor de los casos, los datos de autenticación del administrador de un campo también podrían ser interceptados si se conecta a la cuenta mientras que ese dispositivo está conectado.

El experimento se ha reproducido con éxito en los ordenadores Windows y Mac OS. Sin embargo, los investigadores no pudieron llevar a cabo el ataque en máquinas Linux. “Hay dos cosas principales que nos conciernen en los resultados de esta experiencia. Por un lado, el hecho de que no se necesita realmente nada para desarrollar software: utilizamos las herramientas de Internet de libre acceso. Por otro lado, nos preocupa la facilidad con que hemos sido capaces de desarrollar nuestro dispositivo “, comentó Sergey Lurye, coautor del estudio de Kaspersky Lab.

Esto significa que cualquiera que conozca Internet y algo de programación básica podría realizar la misma experiencia. Pero, ¿qué ocurriría si esa persona tiene malas intenciones? Es principalmente esta última razón la que ha llevado a los expertos de Kaspersky Lab a hacer público a este problema.

“Los usuarios y los administradores de negocios deben prepararse para este tipo de ataque “, dijo Lurye. Aunque las contraseñas interceptadas por el ataque son hashcodes (una versión cifrada de la contraseña) estos códigos pueden ser descifrados fácilmente.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia

Deja un comentario