Blog A3Sec

El ataque a Uber

Escrito por Israel Gutiérrez, Global CTO | 03 octubre, 2022

Un hacker de apenas 18 años, según ha trascendido en la prensa, puso en aprietos a la plataforma de movilidad estadounidense Uber al acceder a múltiples sistemas y servicios de la compañía luego de obtener privilegios de administrador. Aunque en primera instancia no se ha informado sobre afectaciones directas a los usuarios o al servicio, el hackeo efectuado el pasado 15 de septiembre ha quedado expuesto en las redes sociales.

Para lograr dichos accesos, este ciberatacante apeló a técnicas ampliamente conocidas en el mundo de la ciberseguridad como la ingeniería social, con lo que logró infiltrarse en la organización y mover fichas internamente para persuadir a un empleado de Uber a que le entregara sus credenciales de ingreso a la red corporativa (VPN).

Con esta información logró acceso a la red de Uber y se infiltró para ingresar a una carpeta compartida en la que se almacenan scripts en texto con datos de más cuentas privilegiadas. Así, tuvo acceso a múltiples sistemas de seguridad y administración de infraestructuras tecnológicas.

En principio, podemos ver que la explotación de las vulnerabilidades por medio de la ingeniería social sigue siendo efectiva, lo que genera desafíos importantes en cuanto a la gestión de las plataformas de seguridad, no solo desde el ámbito de los controles existentes sino también desde la educación. 

Esto vuelve a demostrar que por más inversiones que las empresas realicen y que estas adopten barreras tecnológicas, no es suficiente. Si las organizaciones tienen los usuarios de acceso y contraseñas almacenadas en archivos de texto nada es útil y agentes externos logran acceder a la información corporativa.

Cuando nos referimos a que los ataques más efectivos son los internos no necesariamente indicamos que se trata de personas que laboran dentro de la organización, sino agentes externos que se logran hacer pasar por personal interno y ahí está el gran riesgo.

La prevención para este tipo de incidentes es claramente la concienciación a los empleados y mejores sistemas de validación de identidad a través de esquemas de doble factor de autenticación que permitan generar este blindaje adicional que requieren las empresas. 

Otras soluciones clave para evitar estos ataques incluyen sistemas de identificación de comportamiento de acceso, así como la validación de la ubicación geográfica de los empleados al ingresar a la red, aunque el auge global del trabajo híbrido trae consigo nuevos desafíos. No obstante, las soluciones que hoy ofrecen las compañías de ciberseguridad brindan patrones claros para establecer comportamientos anómalos y poder reaccionar más rápido ante estas situaciones desde cualquier lugar.

  El ataque ocurrido con la compañía tecnológica llama a reflexionar a las empresas respecto a que ninguna está exenta de que esto pueda sucederle, por lo que es importante considerar estos riesgos. Si analizamos la información que tenemos disponible de Uber podemos ver que no existen ejercicios de simulación de ataques ni protocolos de comunicación claros ante un incidente de seguridad. Por ejemplo, ¿cómo sabemos que quien empieza a escribir es o no un atacante? y ¿cómo hemos estructurado los protocolos de reacción? 

Uber emitió un comunicado en el que expresó que estaba investigando un incidente, pero esta reacción solo se conoció cuando empezaron a divulgarse informaciones en las redes sociales sobre este acontecimiento por parte del mismo atacante. La anticipación es clave en estas situaciones y evidentemente la gestión es primordial para evitar daños mayores que solo pueden cuantificarse en virtud de qué tanto se vio perjudicada la imagen de una organización.

Un enfoque más preventivo que reactivo le podría ayudar a las empresas a gestionar mejor estas situaciones, pues tal y como se evidenció en este caso claramente la comunicación al público en general se desarrolla unos minutos después de que su información comienza a exponerse a través de algunos feeds de Twitter.

Contar con equipos efectivos de ciberseguridad nos debe brindar los protocolos de actuación necesarios ante un incidente de este tipo para que todas las áreas de la organización estén alineadas y no solamente los departamentos de Tecnologías o Ciberseguridad.

El reaccionar a tiempo y con eficacia ante estas situaciones es crucial, no solamente por la información que se pueda perder, sino también por la productividad y el golpe en las operaciones. También debe descontarse el efecto reputacional, puesto que a pesar de que el ataque a Uber no parece haber comprometido la operación ni los ingresos de la empresa, el solo hecho de exponer esta situación pudo haber tenido un efecto en las acciones de la firma estadounidense.

 

Por el tamaño de Uber y su dimensión global podría considerarse que la recuperación será más pronta; no obstante, las cicatrices de este suceso podrían quedar marcadas en su reputación y podría ocurrir lo mismo con organizaciones de múltiples tipos.

Tal vez nuestras organizaciones no se encuentren en las bolsas financieras; sin embargo, ¿qué pasaría si un agente externo le enviará un correo a nuestros clientes y proveedores indicando que nuestra información ha sido comprometida? Dependiendo de la magnitud de la filtración, ¿será que los proveedores nos seguirán dando créditos, nuestros clientes seguirán comprando? Los impactos con este tipo de ataques se podrían medir en las operaciones que no pudiéramos hacer o en las ganancias que dejarían de entrar a la organización. En este sentido, los CEOs deben preguntarse cuánto dinero estarían dispuestos a perder en lugar de invertir no solo en controles de seguridad si no en aliados que hagan frente a situaciones similares.

El detalle de lo que pasó el 15 de septiembre

A través de su cuenta de Uber Commons, oficialmente la compañía comienza a mencionar un incidente de ciberseguridad e indica que lo estaban revisando

 

A través de varios mensajes la persona que logra acceso no autorizado notifica a los empleados de Uber que han sido perpetrados

Incluso algunos lo toman como una broma y no le dan mucha atención

Usa sistemas como HackerOne, plataforma de Bugbounty, y Slack para transmitir que tienen un incidente de seguridad

 

Uber transmite un comunicado oficial (https://www.uber.com/newsroom/security-update/) en el que comenta que no hay evidencia de que información sensible de los usuarios haya sido accedida; sin embargo, se expusieron diferentes pantallas de administración y datos financieros.

Esta persona dice tener conocimientos en ciberseguridad desde hace algunos años y que hizo esto ya que Uber no tiene buenos sistemas de protección.

 

Incluso comparte su Telegram de tal forma que podemos ver que busca ser contactado, por lo que podríamos decir que pretende que Uber refuerce sus sistemas de seguridad.