Errores de ciberseguridad en Nakatomi

Examinamos la primera entrega de La jungla de cristal desde una perspectiva de ciberseguridad.

Muchas familias pasan las fiestas viendo sus películas preferidas, en muchos casos las mismas año tras año, lo que lo convierte en toda una tradición. A algunos les encantan las comedias navideñas; otros prefieren los dramas. Y yo, en mi caso, me quedo con La junga de cristal. Después de todo, el 60 % de los enfrentamientos de John McClane con los terroristas tienen lugar en Nochebuena, y no soy el único que asocia este clásico de acción con esta celebración.

Sí, en La Jungla 4.0 hay una trama realmente centrada en la ciberseguridad de la infraestructura crítica (ya hablaremos de esto), pero si te fijas, en la primera película también encontrarás muchos ejemplos de buena y mala ciberseguridad.

Después de todo, la empresa Nakatomi utiliza las tecnologías punteras de la época: un ordenador central que se sincroniza con los servidores de Tokio, una cerradura automatizada en la cámara acorazada e incluso un terminal de la información con pantalla táctil en el vestíbulo (no te olvides de que estamos hablando de 1988).

La seguridad física en el Nakatomi Plaza

Los problemas de seguridad saltan a simple vista. John McClane, nuestro protagonista, entra en el edificio, se dirige al guardia de seguridad y menciona el nombre de su esposa, a quien ha venido a ver. No da ninguna información sobre su nombre, ni muestra ningún tipo de identificación. El nombre de su esposa no debería bastar para concederle la entrada: su matrimonio está desmoronándose y ella ha vuelto a usar su apellido de soltera en el trabajo.

En vez de cuestionar al intruso, el descuidado guardia le señala la dirección del terminal informativo y los ascensores. Así pues, prácticamente cualquier persona puede entrar en el edificio. Además, a medida que la acción avanza, van apareciendo ordenadores que no están protegidos por contraseña, por lo que quedan abiertos a todo tipo de ataques de evil-maid.

El acceso a los sistemas de ingeniería

Poco después, los delincuentes se adentran en el edificio, matan a los guardias (solo hay dos trabajando en Nochebuena) y toman el control. Como es natural, todos los sistemas de ingeniería del Nakatomi Plaza se controlan desde un ordenador que se encuentra en la sala de seguridad, junto a la entrada.

El único hacker entre los terroristas, Theo, pulsa algunas teclas y listo: los ascensores y las escaleras se detienen, y el parking queda cerrado. El ordenador ya está encendido (aunque la sala esté vacía) y no cuenta con protección contra el acceso no autorizado; ¡la pantalla ni siquiera está bloqueada! Para un empleado de la empresa (del departamento de seguridad) dejar la pantalla sin bloquear es algo imperdonable.

La seguridad de la red

Lo primero que los terroristas le exigen al presidente de Nakatomi Trading es la contraseña de la unidad central de la empresa. Takagi, que cree que los delincuentes desean información, arroja un dato interesante sobre las prácticas de seguridad de la empresa: cuando amanezca en Tokio, todos los datos a los que los atacantes tengan acceso cambiarán, minando los intentos de chantaje. Podemos extraer dos conclusiones de esto:

  1. Los sistemas informáticos de Nakatomi en Tokio mantienen un registro sobre quién accede a qué y cuándo. Debe ser un sistema de seguridad muy bien implementado (desde luego, es posible que el Sr. Takagi simplemente esté alardeando).
  2. Además, Takagi no parece estar al tanto de las zonas horarias. En Los Ángeles ya es de noche (los intrusos acceden al edificio al atardecer y durante la conversación en cuestión, podemos por la ventana que ya ha oscurecido). Por lo tanto, ya tienen que ser al menos las 10:30 del día siguiente en Tokio.

La seguridad de las estaciones de trabajo de Nakatomi

Los mafiosos explican que no son exactamente terroristas, sino que lo que les interesa es acceder a la cámara de seguridad, no a la información. Takagi se niega a entregar el código y sugiere que los villanos vuelen a Tokio y lo intenten allí y, como consecuencia, lo matan.

Pero aparte del asesinato, la escena realmente interesante está en otra parte. Un primer plano en la estación de trabajo de Takagi revela que su sistema operativo, Nakatomi Socrates BSD 9.2 (claramente un descendiente ficticio Berkeley Software Distribution), requiere dos contraseñas: Ultra-Gate Key y Daily Cypher.

Como los propios nombres sugieren, una es estática y la otra cambia a diario. Todo un ejemplo de la autentificación de dos factores, por lo menos para los estándares de 1988.

El acceso a la cámara de seguridad

Siete cerraduras protegen la cámara de seguridad. La primera está informatizada, cinco son mecánicas y la última es electromagnética. Si el hacker Theo tiene razón, necesitará media hora para dar con el código de la primera cerradura, luego entre dos o dos horas y media para taladrar las cerraduras mecánicas. La séptima se activa automáticamente en ese punto y sus circuitos no se pueden cortar localmente.

Dejemos de lado esta dudosa afirmación (mis conocimientos de física pueden estar anticuados, pero la electricidad se suministra a través de los cables, que siempre pueden cortarse) y centrémonos en el siguiente error grave: si el sistema de seguridad de la cámara puede enviar una señal para activar la cerradura, ¿por qué no puede notificar a la policía de un intento de acceso no autorizado? ¿O, al menos, activar una alarma? Sí, los maleantes han cortado las líneas telefónicas, pero la alarma antiincendios podrá transmitir una señal al 911.

Si ignoramos esto, resulta absolutamente interesante ver cómo Theo vulnera el código. Inexplicablemente, en el primer ordenador que prueba accede al archivo personal del presidente (no mencionado) del grupo de inversores, incluyendo información sobre su servicio militar. Recordemos que, en 1988, Internet como lo conocemos hoy en día no existía, por lo que esta información probablemente esté almacenada en la red interna de Nakatomi, en una carpeta compartida.

Según la información del archivo, este militar sin nombre prestó servicio en 1940 en Akagi (un auténtico portaaviones japonés) y participó en varias operaciones militares, incluyendo el ataque contra Pearl Harbor. ¿Por qué dicha información se almacenaría públicamente en la red corporativa? Es extraño, sobre todo teniendo en cuenta que este portaaviones también sirve como pista para la contraseña de la cámara.

El propio ordenador ayuda a traducir Akagi al español, castillo rojo, y cómo no, esa es la contraseña. Puede que Theo investigara previamente y tuviera suerte, pero aún así, el proceso resulta demasiado rápido. No queda claro cómo podía saber él de antemano que no tardaría más de media hora.

Por otro lado, parece que los guionistas se han olvidado del Daily Cypher, el código que cambia a diario, y que hubiese puesto la cosa más interesante. La cerradura se abre sin él.

La ingeniería social

Los delincuentes suelen utilizar técnicas de ingeniería social con los guardias, los bomberos y la policía. Desde una perspectiva de la ciberseguridad, llama particularmente la atención la llamada al 911. McClane acciona la alarma antiincendios, pero los intrusos llaman anticipadamente al servicio de rescate, se infiltran haciéndose pasar por guardias y cancelan la alarma.

Un poco más adelante, la información del Nakatomi Plaza (en particular, el número de teléfono y el código para supuestamente cancelar la alarma antiincendios) aparece en una pantalla del 911. Si los atacantes pudieron cancelar la asistencia de los bomberos, eso significa que consiguieron ese código de alguna parte. Y los guardias ya estaban muertos, así que ese código debería haber estado anotado y guardado a mano (a juzgar por la rapidez de la cancelación). No se recomienda esta práctica.

Conclusiones prácticas

  • No dejes pasar a extraños, ni siquiera en Nochebuena, especialmente si el edificio está repleto de ordenadores que almacenan información valiosa.
  • Recuerda a los empleados que bloqueen sus equipos. O, mejor aún, establece sistemas de bloqueo automático después de un periodo breve. Participar en un curso de sensibilización en ciberseguridad también es una excelente idea.
  • No compartas documentos que contengan pistas sobre una contraseña, ni los almacenes en ubicaciones compartidas.
  • Usa contraseñadas difíciles de adivinar y generadas de forma aleatoria para acceder a datos altamente valiosos.
  • Almacena contraseñas (y códigos de cancelación de alarmas) de una forma segura y no en notas de papel.

Posdata

Inicialmente, íbamos a analizar las dos películas ambientadas en Navidad de la saga, pero tras volver a La Jungla 2: Alerta Roja, llegamos a la conclusión de que en realidad se trata de un fallo en la arquitectura de la infraestructura de información del aeropuerto. Los terroristas desentierran las líneas de conducto debajo de una iglesia local y toman el mando de los sistemas del aeropuerto, incluyendo la torre de control. En 1990, algunos de estos sistemas no estarían en para nada informatizados. Una lástima, pero no es posible llegar al fondo de la cuestión sin una explicación detallada durante la película, y todos están muy ocupados como para dar una.

Consejos