En su vida, el hacker y activista Noam Rotem se ha encontrado con innumerable cantidad de bases de datos pirateadas o filtradas. Una brecha de seguridad que reveló los destinos de vuelo del primer ministro y altos funcionarios de defensa, una filtración que reveló la información personal de los pasajeros en la Ruta 6 de Israel, una brecha grave en decenas de instituciones financieras que no fue reparada a pesar de las advertencias. Rotem lo ha visto. O, al menos, esto es lo que pensaba hasta que se encontró con una base de datos abierta que contenía cientos de millones de datos de inicio de sesión para varios servicios (correo electrónico, redes sociales, bancos, sistemas internos y más) de millones de usuarios de todo el mundo, entre ellos muchos israelíes, incluidos funcionarios y trabajadores de la industria de defensa.
"Se necesita una infraestructura para cuidarlo, no fue una operación pequeña en absoluto, hubo bastantes costos y hubo evidencia de que usaron la información", señaló Rotem a Calcalist. “No se trata de un niño sentado en casa, no parece algo que haría un joven aburrido en su tiempo libre”, agregó.
Rotem localizó la base de datos maliciosa utilizando un escáner que él y su colega Ran Locar operan regularmente para identificar las bases de datos que están expuestas. "Identifiqué un servidor que recopilaba toda la información robada y realizaba procesos de verificación de la información", explicó Rotem. “Los delincuentes tomaron las contraseñas que robaron y comprobaron si era posible conectarse con ellos. Había una marca que indicaba si los datos de inicio de sesión eran correctos o no".
Junto con las contraseñas, las "cookies de sesión" también se almacenaron en la base de datos. Cuando un usuario se conecta a un sitio web, crea un pequeño archivo en el navegador que es una referencia al hecho de que el proceso de identificación se ha completado con éxito y no es necesario volver a introducir la información de inicio de sesión. De forma predeterminada, estas cookies caducan poco después, a menos que el usuario haga clic en una casilla de estilo "Recordarme al iniciar sesión". Luego puede permanecer activa durante mucho tiempo y su robo permite a los piratas informáticos conectarse a sitios sin siquiera saber el nombre y la contraseña. Los delincuentes también robaron una lista de software instalado y activo de las computadoras de las víctimas, información que, según Rotem, podría ayudar a caracterizar al usuario (por ejemplo, identificar si era un jugador, un determinado empleado de la empresa, etcétera).
Los delincuentes también robaron una lista de software instalado y activo de las computadoras de las víctimas
Es imposible saber con certeza cómo se robó la información, pero Rotem tiene algunas estimaciones bien fundamentadas. "Según varios signos que vimos en la información, aparentemente fue robado por un malware instalado en las computadoras de las víctimas haciéndose pasar por un complemento del navegador o una aplicación de videollamada. Los usuarios lo instalaron ellos mismos. Pensaron que estaban instalando algo legítimo. Una vez instalado, el malware recopiló todas las contraseñas que los usuarios guardaron en su navegador, tomó toda la información y la envió a el servidor. Solo logré descargar el 10% de la base de datos", añadió Rotem.
Cuando este hacker israelí identificó la base de datos a fines de mayo, comenzó a descargarla para analizar su contenido; sin embargo, después de descargar sólo alrededor del 10%, su computadora se quedó sin espacio. Aun así, Rotem logró descargar 2,5 millones de contraseñas, lo que proporcionó información sobre las identidades de las víctimas. "Hay víctimas de todo el mundo (Lejano Oriente, América del Norte, América del Sur, Europa, África), no hubo objetivos geográficos contra Israel, y lo que sea que los usuarios mantuvieran como contraseñas estaba disponible para mí: banca, servicios médicos, seguridad, servicios, sitios web pornográficos, servicios de correo electrónico y sistemas internos de organizaciones. Se puede ver al usuario y las cuentas que tiene en diferentes lugares. Todos los servicios en línea que pueda imaginar estaban allí, incluso contraseñas de intercambio de criptomonedas que pueden ayudar a robar criptomonedas fácilmente".
3 צפייה בגלריה
"No se trata de un niño sentado en su casa, no parece algo que haría un joven aburrido en su tiempo libre."
(Shutterstock)
Entre otras cosas, la base de datos contenía detalles de inicio de sesión para 137.000 cuentas de Gmail, 134.000 cuentas de Facebook, 109.000 cuentas de Microsoft, 68.000 sitios web gubernamentales en varios países, 25.000 cuentas de Amazon, 23.000 cuentas de Twitter y 20.000 cuentas de Netflix.
Según Rotem, los delincuentes también identificaron a sus víctimas por país de origen, basándose en sus direcciones IP. La mayor tasa de víctimas, 11,35%, provino de Estados Unidos, seguida de Brasil (10,9%), India (9,4%), Alemania (6,64%) y Reino Unido (4,89%).
La mayor tasa de víctimas, 11,35%, provino de Estados Unidos, seguida de Brasil (10,9%), India (9,4%), Alemania (6,64%) y Reino Unido (4,89%).
En cuanto a Israel, Rotem identificó a miles de víctimas locales, muchas de las cuales tenían información y contraseñas para redes gubernamentales y de la industria de defensa ("era fácil identificarlas porque su correo electrónico tenía la extensión gov.il o incluía el nombre de su empresa"). Rotem también identificó al personal del Pentágono y a los empleados gubernamentales de todo el mundo.
Uno de los descubrimientos más inquietantes de Rotem fue una contraseña para la "caja fuerte" de una empresa conocida en la industria de la defensa. "Este es un sistema en el que se almacenan archivos muy confidenciales, y con la información de inicio de sesión robada era posible, supuestamente, acceder a ellos", explicó Rotem. "El empleado de la empresa guardó la contraseña en una computadora en la que aparentemente descargó el malware", añadió.
La base de datos desapareció de la red a principios de junio, poco después de que Rotem la encontrara. "Es difícil decir si se eliminó de la red o si se bloqueó el acceso", comentó. “Ahora no hay nada en la dirección IP donde estaba disponible, por lo que es posible que hayan reemplazado un servidor o lo hayan bloqueado. Pero hasta donde sabemos, los piratas informáticos todavía tienen acceso a la información y no sabemos quiénes son."
Rotem notificó a las autoridades israelíes de la base de datos en junio. "Ellos se encargaron y se lo tomaron en serio. Se contactaron con la gente, trataron de verificar si la información fue utilizada y restablecieron las contraseñas. También contactamos a las compañías de crédito, bancos, proveedores de salud".
Trabajando con la Dirección Nacional Cibernética de Israel y con Facebook
La Dirección Cibernética Nacional de Israel confirmó los detalles: "El problema ha sido informado y abordado con las instituciones que fueron identificadas por sus nombres de usuario, y se proporcionaron pautas". La respuesta de la dirección también indicó que "de nuestro examen, la información se recopiló en 2019 de sitios privados visitados por usuarios privados. Recomendamos que los usuarios del navegador tengan cuidado y descarguen extensiones sólo de fuentes oficiales".
Tom Alexandrovich, de la Dirección Cibernética Nacional de Israel, agregó que "recientemente hemos creado un nuevo equipo cuyo objetivo es estar un paso por delante de los atacantes: identificar vulnerabilidades antes de que los agentes malintencionados los alcancen. Como parte de este plan, creamos un mecanismo de denuncia de diversas fuentes para tratarlos de la manera más eficiente y rápida posible. Aplicamos, a nivel estatal, métodos y tecnologías de detección temprana que ayudarán a lidiar con bases de datos de contraseñas filtradas y que pueden usarse para ataques ".
"Aplicamos, a nivel estatal, métodos y tecnologías de detección temprana que ayudarán a lidiar con bases de datos de contraseñas filtradas y que pueden usarse para ataques"
Dirección Nacional Cibernética de Israel
Rotem también trabajó con el equipo de seguridad global de Facebook para ayudar con la información robada. "Tomaron la lista, verificaron que tuviera usuarios reales y verificaron su identidad con la cooperación de los usuarios, y les pidieron que cambiaran su contraseña", añadió. "Una persona cuya información se filtró es un empleado de Facebook, y tan pronto como recibieron esa información se comunicaron con él, tomaron su computadora y la desmantelaron en un intento de comprender de dónde obtuvo el malware y si se usó maliciosamente. No compartieron información conmigo, pero dijeron que creían que encontraron el malware y se encargaron de ello", agregó Rotem.
