El 15 de septiembre, Uber Technologies Inc. fue vulnerada por un joven de 18 años. El hacker compró las credenciales robadas de un empleado en la web oscura y le envió una avalancha de solicitudes de autenticación multifactor (MFA) y mensajes de TI falsos con la esperanza de entrar a su cuenta.
Irritado por las incesantes ventanas emergentes, el empleado cedió y aprobó la solicitud, desencadenando involuntariamente un ataque cibernético. Una vez dentro, el hacker se aprovechó de una cuenta privilegiada para acceder a la información crítica de Uber.
Esto no ocurrió por casualidad, es un ejemplo de ataque de fatiga del MFA. Cuando un atacante se hace con las credenciales de una cuenta pero no puede iniciar la sesión debido a la MFA, dispara muchas peticiones de MFA al objetivo hasta que la exasperación vence. La víctima acepta la notificación, y el hacker está dentro. Este método funciona porque aprovecha elementos humanos como la ignorancia, la confusión o la irritación.
¿Qué ocurrió?
∙ La brecha comenzó con un ataque de malware que comprometió la cuenta de un empleado de Uber. Un hacker compró las credenciales filtradas en la dark web e intentó entrar a la cuenta del empleado, pero no lo consiguió porque estaba protegida por MFA.
∙ El hacker llevó a cabo un ataque de fatiga MFA contra el empleado, bombardeándolo con numerosas solicitudes MFA durante una hora.
∙ A continuación, se hicieron pasar por el equipo informático de Uber y se pusieron en contacto con el empleado a través de WhatsApp, pidiéndole que aceptara la notificación push.
∙ El empleado, harto de las insistentes notificaciones, cedió y aprobó la solicitud, desatando un ataque cibernético. Como resultado, el hacker obtuvo acceso a la VPN de Uber.
∙ Una vez dentro de la intranet de Uber, comenzaron a buscar información sensible. Uno de los scripts de PowerShell contenía una credencial de administrador codificada de la herramienta de gestión de acceso privilegiado (PAM) de Uber.
∙ Utilizando este acceso de administrador, accedieron a Amazon Web Services, Google Cloud Platform, DUO, DA, registros financieros y algunos repositorios de código.
∙ El hacker publicó entonces un mensaje en la aplicación de mensajería interna de la empresa, Slack: “Anuncio que soy hacker y que Uber ha sufrido una violación de la seguridad de los datos“. Pero el descarado mensaje fue respondido con bromas y emojis de risa, sin que los empleados se dieran cuenta de que se estaba produciendo un ataque cibernético real.
∙ El hacker entró en la cuenta de recompensas por errores de vulnerabilidad HackerOne de Uber y dejó comentarios en algunos tickets. Existe la posibilidad de que el hacker haya descargado informes de vulnerabilidad.
Lo que aprendimos
∙ Los ataques de fatiga de MFA se han vuelto cada vez más comunes contra organizaciones conocidas como Twitter, Cisco, Samsung y Okta, tan sólo en 2022. Muchos usuarios no conocen esta estrategia maliciosa y acaban aprobando las notificaciones para que desaparezcan.
∙ En realidad, la mayoría de las organizaciones del mundo podrían ser hackeadas de la misma manera. Pero en el caso de Uber, el peor error fue codificar las credenciales de acceso de una cuenta privilegiada en sus scripts de PowerShell. Este acontecimiento sirve de recordatorio para vigilar nuestros entornos PAM.
Lo que deberíamos hacer mejor
Educar
La seguridad de su organización es tan buena como la conciencia de sus empleados. Los empleados siguen siendo la primera línea de defensa de una empresa, y es fundamental que entiendan su responsabilidad en la defensa de la organización. Deben estar capacitados para reconocer las consecuencias de sus acciones, así como para conocer la estrategia de respuesta en caso de incidentes.
Pentest (prueba de penetración)
La familiaridad genera desdén, y estar acostumbrado a los procedimientos de su organización puede hacer que pase por alto algunos problemas de seguridad evidentes. Por eso es necesario un nuevo punto de vista para decirle todo lo que está mal en su red. Las pruebas de penetración son un método efectivo para identificar fallos, reforzar las defensas y cerrar las brechas.
Observar
Esté consciente de lo que ocurre a su alrededor. Las lecciones aprendidas de estos incidentes deben tomarse en serio. Con frecuencia revelan brecha de seguridad, errores de configuración o vulnerabilidades en aplicaciones de terceros. Las grandes violaciones a la seguridad suelen ser el resultado de un pequeño error
Confianza cero – Zero Trust
Nunca confíe en dispositivos, usuarios o aplicaciones dentro o fuera de una red hasta que hayan sido verificados exhaustivamente. Es necesario prestar más atención a la seguridad de los endpoints, ya que resultan ser el punto de entrada más fácil para los atacantes. Invierta en un producto que ayude a los administradores a crear y automatizar un protocolo de seguridad de confianza cero para sus endpoints. La gente comete errores, así que asegúrese de que su tecnología no los cometa.
Endpoint Central ofrece una innovadora solución de confianza cero para los endpoints. Los lugares de trabajo actuales contienen una amplia gama de dispositivos que solicitan acceso tanto desde dentro como desde fuera de la red corporativa.
Endpoint Central considera que toda solicitud es hostil a menos que vaya acompañada de una validación. Emplea verificaciones inteligentes para garantizar la seguridad de los dispositivos, incluidos los datos, las aplicaciones y los usuarios.
No importa cómo se plantee la amenaza, si es interna o externa, o incluso si el atacante ya está dentro, este marco protege contra ella. Endpoint Central permite a las organizaciones aplicar las políticas de Confianza Cero al tiempo que garantiza una experiencia positiva para el usuario.