La fuente de confianza del FBI acaba de ser pirateada
Saryu Nayyar es director ejecutivo de Gurucul, un proveedor de tecnología de análisis de seguridad conductual y un reconocido experto en gestión de riesgos cibernéticos.
getty
El sabotaje de principios de diciembre y el posterior cierre de dos subestaciones eléctricas de Carolina del Norte es un recordatorio de cuán vulnerables son nuestras instalaciones de infraestructura crítica (CI). Los daños causados por los disparos desconectaron las estaciones, dejando a decenas de miles de clientes a oscuras durante días.
Este evento fue solo la última manifestación de ataques contra CI en los EE. UU. Hace solo unos años, Colonial Pipeline fue atacado con un ataque de ransomware que provocó el cierre del principal oleoducto durante casi una semana. Y hace dos años, un pirata informático irrumpió en los sistemas de una planta de tratamiento de agua de California y borró los programas utilizados para limpiar el agua. Afortunadamente, se descubrió el ataque y se restauraron los archivos antes de que se produjera un daño real.
Es posible que los ataques exitosos no ocurran con tanta frecuencia, pero eso no significa que las amenazas no estén ahí. De hecho, hay millones de intentos de ataques, tanto físicos como cibernéticos, contra la IC del país cada año.
Las preocupaciones sobre tales amenazas llevaron a la Oficina Federal de Investigaciones (FBI) a crear InfraGard, una alianza pública/privada para la protección de la infraestructura nacional. La misión del programa es "mejorar la capacidad colectiva de nuestra nación para abordar y mitigar las amenazas a la infraestructura crítica de los Estados Unidos mediante el fomento de la colaboración, la educación y el intercambio de información a través de una sólida asociación entre el sector privado y el gobierno".
Los miembros de InfraGard provienen en gran parte de 16 sectores diferentes de CI, que van desde energía y servicios financieros hasta sistemas de agua y aguas residuales. Más de 80.000 miembros registrados participan en la red social orientada a la industria que pretende ser una fuente de confianza para los encargados de proteger a la IC de la nación contra todo tipo de amenazas.
Cuando la confianza se convierte en óxido
Pero la confianza se puede romper, como sucedió recientemente cuando un pirata informático reveló que había tergiversado su identidad para unirse a InfraGard y, posteriormente, robó y puso a la venta la base de datos de miembros.
Según el investigador de seguridad Brian Krebs, el pirata informático, que se hace llamar USDoD, usó la identidad de un director ejecutivo de servicios financieros para registrarse y convertirse en miembro de InfraGard. Proporcionó el nombre real, número de seguro social, fecha de nacimiento y número de teléfono del CEO legítimo. El hacker también dio una dirección de correo electrónico que él controlaba. Luego, el FBI hizo su investigación habitual de un posible miembro para verificar que esta persona debería calificar para ser miembro. En cuestión de meses, el USDoD recibió un correo electrónico en la dirección falsa que confirmaba la membresía del "CEO" en InfraGard. Se le proporcionaron instrucciones iniciales de inicio de sesión.
Una vez que inició sesión en el sistema exclusivo para miembros, el pirata informático utilizó una API común para acceder a información sobre otros miembros. Hizo que un amigo escribiera un script para desviar esos datos a través de la API. Ya está a la venta en la Dark Web.
Lo preocupante de este tramo de datos es que contiene los nombres y la información de contacto de las personas de seguridad de más alto rango dentro de las principales empresas y agencias que constituyen la infraestructura crítica de la nación. Ahora, estas personas pueden ser objeto de phishing o los datos pueden ser utilizados de otro modo por, digamos, estados-nación que desean penetrar en las instalaciones de energía, los sistemas financieros, las plantas químicas, las plantas de tratamiento de aguas residuales y mucho más. Aún más preocupante: a pesar de que el FBI sabía sobre la violación, los miembros de InfraGard se han enterado (hasta ahora) a través de las noticias y no directamente del FBI.
Aprendamos de este evento
Aparte de que esta brecha es bastante vergonzosa para el FBI, hay algunas lecciones para nosotros que se pueden sacar del incidente.
Para un sistema sensible que permita el autorregistro de miembros, los solicitantes deben ser bien investigados. En este caso, fueron examinados, nada menos que por el FBI, pero aún faltaba el proceso. La escapatoria era la dirección de correo electrónico que parecía legítima pero que estaba bajo el control del hacker. Si InfraGard fuera una fuente verdaderamente crítica de información de seguridad (los miembros dicen que no lo es), sería mejor usar un enfoque diferente para registrar nuevos miembros, tal vez eliminando la autoselección para la membresía o haciendo el registro en persona y examinando Después de todo, el FBI tiene oficinas y agentes en todo el país que podrían verificar positivamente la identidad de una persona antes de otorgar las credenciales de acceso.
La notificación de incumplimiento es importante. De hecho, es obligatorio por ley. Brian Krebs es una excelente fuente de información relacionada con la seguridad cibernética, pero no debe considerarse una fuente de notificación de infracciones. Algunos miembros de InfraGard informaron que inicialmente se enteraron de que su información estaba comprometida (y está a la venta) al leer la historia de Krebs en línea en lugar de recibir una notificación directa del FBI. El momento de planificar la notificación de incumplimiento es antes de que ocurra un incumplimiento para que la comunicación pueda ser directa y oportuna. Los miembros de InfraGard cuyos datos fueron robados ahora deben estar muy atentos a los intentos de phishing y otros usos de sus datos personales.
En cuanto a los datos en sí, se necesita una mejor protección a su alrededor. Si bien no tengo conocimiento del estado actual de la seguridad de los datos del servicio, es obvio que InfraGard podría beneficiarse del uso de soluciones como la prevención de pérdida de datos (DLP) y las protecciones API, como lo describe OWASP. DLP puede detectar y evitar la eliminación de grandes cantidades de datos en determinadas circunstancias. Dado que el punto débil, en este caso, era una API que está diseñada para obtener y servir datos de miembros, lo que fortalece los controles de cómo funciona la API podría ser más útil. Esta debería ser una llamada de atención para todas las empresas, ya que las API se han vuelto tan críticas en la mayoría de las aplicaciones modernas.
Los incumplimientos ocurren todos los días, y debemos tomarnos el tiempo para aprender de ellos y qué se puede hacer de manera diferente para evitar el incumplimiento posterior.
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
