El equipo de ESET analizó routers de segunda mano y se sorprendió al descubrir que, en muchos casos, las configuraciones utilizadas anteriormente no habían sido borradas, y que los datos que contenían estos dispositivos podrían ser utilizados para identificar a los propietarios anteriores y conocer los detalles de sus configuraciones de red.
“En las manos equivocadas, los datos que contienen estos dispositivos –incluidos los datos de los clientes, las claves de autenticación de router a router, la lista de aplicaciones y mucho más– son suficientes para lanzar un ciberataque. Un actor malicioso podría obtener datos para lograr el acceso inicial a la red y luego comenzar a investigar para detectar dónde se encuentran los activos digitales de la empresa y qué podría ser de valor. Probablemente la mayoría de los lectores comprende lo que puede venir después en un escenario como este.”, comenta Cameron Camp, Security Researcher de ESET.
En total desde ESET se analizaron 18 routers, uno de ellos no encendía y dos eran un par reflejado, por lo que se los tomó como un solo equipo. Teniendo esto en cuenta, descubrieron que el 56% de los dispositivos contenían datos y detalles de configuración.
Acceder de forma no autorizada a la red de una compañía tiene un costo: en la actualidad el precio promedio de credenciales de acceso a una red corporativa, según una investigación de KELA Cybercrime Prevention, ronda los 2.800 dólares. “Esto significa que si un router usado, comprado por poco dinero, es capaz de proporcionar sin demasiado esfuerzo acceso a una red, el retorno de la inversión para los cibercriminales puede ser significativo. Esto suponiendo que los atacantes solo se dediquen a comercializar los datos de acceso y venderlos en mercados clandestinos de la darkweb, en lugar de ellos mismos lanzar un ciberataque.”, explica Tony Anscombe, Chief Security Evangelist de ESET.
En los últimos años los métodos utilizados para lanzar ciberataques a empresas con la intención de obtener un beneficio económico han ido cambiando. Estos cambios hacia un estilo de ataque como el que realizan los grupos de amenazas persistentes avanzadas (APT) han permitido a los ciberdelincuentes establecer un punto de entrada para lograr poner un pie dentro de las redes de una organización. Luego, dedican tiempo y recursos para extraer datos sensibles, explorar métodos para evadir las medidas de seguridad y, en última instancia, someter a la empresa a un ataque de ransomware o al de otro código malicioso.
Desde ESET recuerdan que cualquier dispositivo que una compañía descarte debe pasar por un proceso de limpieza, y que ese proceso debe certificarse y auditarse regularmente para garantizar que la información sensible de una organización no termine siendo comercializada en mercados de compra y venta de hardware de segunda mano.
“Algo preocupante que dejó esta investigación fue la falta de compromiso por parte de las empresas cuando intentamos alertarlas sobre el acceso público a sus datos. Algunas compañías se mostraron receptivas al contacto, algunas confirmaron que los dispositivos habían sido enviados para su destrucción o para que se lleve adelante un proceso de borrado de los datos, algo que claramente no había ocurrido. Otros simplemente ignoraron los repetidos intentos de contacto.”, concluye Anscombe, de ESET.
Para conocer los detalles de esta investigación ingrese al White Paper: “Cómo podría obtener información sensible de una compañía por $100 (en inglés)”, que también contiene una guía sobre el proceso que se debe seguir, incluidas las referencias a la publicación especial 800.88r1 del NIST: Guía para la sanitización de medios. ESET recomienda la lectura de esta investigación como impulso para verificar los procesos en internos de las organizaciones y de esta manera asegurarse de que no se esté divulgando información por error.