Alí Babá y las cuarenta ciberamenazas

Resulta que la historia de Alí Babá es una recopilación de historias de la antigua Persia sobre… ¿ciberamenazas?

Nunca nos cansaremos de decirlo: los cuentos populares son informes poco velados sobre seguridad de la información. Pero los narradores de historias europeos no fueron los únicos que trataron de advertir a sus descendientes sobre las ciberamenazas, sino que también fueron igual de clarividentes en Oriente. Por ejemplo, Scheherazade, la protagonista del clásico Las mil y una noches, tenía lo que se podría describir como un blog de seguridad de la información con vídeo podcasts. Aunque, cierto es que tenía un motivo oculto para ello…

…Pero hoy vamos a hablar de otros casos agregados al blog de Scheherazade muy posteriores, en el siglo XVIII: en concreto, se trata del incidente conocido como Ali Baba y los cuarenta ladrones. Incluso aquellos que no conozcan la historia seguramente hayan escuchado la frase mágica, “¡Ábrete, sésamo!”.

De hecho, toda la trama está basada en la idea de usar una contraseña para protegerse contra el acceso no autorizado. Pero eso está lejos de ser el único consejo de seguridad de la información de este cuento popular, es tan solo la parte más obvia.

La transferencia de la contraseña a través de un canal inseguro

Aquí os dejamos un breve resumen de la historia: una pandilla de ladrones esconde un botín en una cueva a la que solo se puede acceder con la contraseña ábrete, sésamo. El mecanismo de protección alberga una serie de errores graves.

Al principio de la historia, el líder de los ladrones se para en la entrada y grita en voz alta: “¡Ábrete, sésamo!”. De repente, se hacen evidentes varios problemas. Primero, la contraseña es demasiado simple y, en segundo lugar, no hay autenticación de dos factores, ¡ni siquiera un nombre de usuario!

Y, lo que es peor, la contraseña se transmite a través de un canal abierto. Ali Baba, que se encuentra cerca recolectando leña, escucha al ladrón sin querer. De hecho, más tarde prueba la contraseña, por mera curiosidad y sin intenciones maliciosas. Sin embargo, la cueva se abre y él entra y expropia algunos de los tesoros.

El módulo de spyware

A su regreso a casa, Ali Baba le da las monedas de oro a su esposa para que las cuente. Esta intenta hacerlo de forma manual, pero hay tantas que pierde la cuenta, por lo que, toma prestado un instrumento de medición de su cuñada, la esposa del hermano de Ali Baba, Kasim.

Algunas traducciones especifican que se trata de una balanza de cocina, otras que se trata de algún tipo de olla, pero no es un detalle importante, por así decirlo. Lo relevante de esta historia es que la curiosa esposa de Kasim mancha la parte inferior del instrumento con miel (o sebo en algunas traducciones) para descubrir por qué su cuñada necesita este artilugio de repente. Y, cuando se devuelve, se encuentra con moneda de oro pegada en el fondo, lo que significa que su cuñada estaba el artilugio usando para contar oro.

Incluso una persona con pocos conocimientos en ciberseguridad puede ver que el autor está describiendo un módulo de spyware integrado en un producto legítimo. La esposa de Kasim proporciona un dispositivo (bajo el modelo de Medida como servicio) y espía la actividad del cliente. La moraleja de la historia está clara: usa herramientas de fuentes de confianza y comprueba si hay vulnerabilidades e implantes maliciosos.

La contraseña olvidada

Lo que sucede después me resulta un poco descabellado. Ali Baba le confiesa todo a Kasim y le dice la contraseña. Este último entra en la cueva y, en el interior, se le olvida la contraseña (que también es necesaria para salir), queda atrapado y le cortan la cabeza cuando los ladrones lo encuentran allí. El mensaje de marketing es claro: “No pierdas la cabeza por una contraseña olvidada” o algo por el estilo.

Sospecho que, en el pasado, esta parte de la historia incluía una presentación de producto para algún antiguo gestor de contraseñas utilizado por los técnicos sasánidas, pero el mensaje original se ha ido perdiendo a causa de haberse contado tantas veces. Para compensar, insertaremos el nuestro: Kaspersky Password Manager almacena de forma segura las contraseñas y otra información confidencial.

Una contraseña que nunca cambia

Pero volvamos a la historia. Como Kasim no volvía a casa, sus familiares salen a buscarlo. Ali Baba vuelve a la cueva, encuentra el cuerpo de su hermano y lo lleva a su casa para enterrarlo.

En el proceso, se muestra al lector otro ejemplo de una política de contraseñas lamentable: los ladrones no cambian la contraseña después del incidente. La razón exacta no está clara. Puede deberse a una simple negligencia o a la arquitectura inicialmente mal concebida del sistema de autenticación.

A su vez, es posible que simplemente no tengan derechos de administrador. Si secuestraron la cueva (después de todo, son ladrones), probablemente solo tengan una contraseña de usuario. El verdadero dueño se habría llevado sus credenciales de administrador a la tumba.

El ataque a través de un contratista

Como Ali Baba quiere mantener la historia en secreto, no puede enterrar un cadáver con una cabeza cortada. Entonces él y la viuda de su hermano, más su sirvienta, Marjaneh, hacen todo lo posible para ocultar lo que está sucediendo. Marjaneh realiza varios viajes al farmacéutico en busca de medicamentos, haciendo que parezca que Kasim se está poniendo cada vez más enfermo, y finalmente informa que ha fallecido por causa natural.

Mientras tanto, trae un zapatero a la casa para volver a unir el cuerpo de Kasim. Además, le venda los ojos al zapatero y lo conduce por una ruta tortuosa para que no sepa dónde está.

Los ladrones, tratando de obtener una filtración de información, también acuden al zapatero. Prometiéndole oro, le vendan los ojos al viejo y lo obligan a volver sobre sus pasos hacia la casa.

Este ejemplo demuestra que, aunque trabajes con los contratistas a través de un canal cifrado seguro, la información confidencial aún puede filtrarse a los intrusos. Quizás Marjaneh debería haber firmado un acuerdo de confidencialidad con el zapatero.

Una red de trampas

Uno de los miembros de la pandilla marca la puerta de la casa de Kasim, donde ahora vive Ali Baba, y regresa con sus socios esa misma noche para matar a sus ocupantes. Sin embargo, la astuta Marjaneh había visto el letrero y marcado las puertas de todas las demás casas de la calle de la misma forma, frustrando así el ataque.

En resumen, Marjaneh convierte la calle en una especie de red de trampas o honeypot contra ciberdelincuentes. En teoría, funciona de la siguiente forma: los intrusos de la red confunden uno de los honeypot con el objetivo, comienzan a atacarlo y, por lo tanto, revelan sus intenciones y métodos. Mientras se percatan de su error, los expertos de una unidad de ciberrespuesta del gobierno se abaten y detienen el ataque.

La pregunta es si resulta ético usar los hogares de usuarios inocentes como honeypot. En cualquier caso, no llegan a cometerse daños reales; los ladrones detectan la artimaña a tiempo y suspenden el ataque.

El análisis de los contenedores

El capitán de los ladrones decide hacerse cargo personalmente del ataque. Adquiere 40 vasijas enormes (una posible referencia a .JAR (tarro en inglés), el formato de archivo Java ARchive), dos llenas de aceite y el resto vacías. La idea de las vasijas con aceite es engañar a un escáner superficial; los ladrones se esconden en los vacíos.

Con esta carga, aparece en la casa de Ali Baba. El plan es que el capitán, disfrazado de vendedor de aceite, se introduzca en el interior como invitado con la intención de liberar a los ladrones más tarde, cuando todos estén dormidos.

En general, esta es una descripción de un ataque a la infraestructura utilizando malware oculto en contenedores. Como los escáneres en la entrada no revisan el interior de los todos los contenedores, la amenaza se cuela a través del perímetro de seguridad. Posteriormente, el capitán activa el malware.

Pero Marjaneh nuevamente salva la situación al escuchar a un ladrón en una de las vasijas. Revisa cada contenedor, determina cuál de ellos contiene bandidos y después acaba vertiendo aceite hirviendo, eliminando así cualquier amenaza. En otras palabras, incluso entonces había una herramienta para escanear el contenido de los contenedores. Nuestra solución Kaspersky Hybrid Cloud Security presenta la misma tecnología, solo que actualizada 1.500 años después.

Al final, la justicia prevalece. El líder de los ladrones es asesinado; Marjaneh se casa con el hijo de Ali Baba (que aparece de la nada al final del cuento) y Ali Baba sigue siendo el único que conoce la contraseña de la cueva llena de tesoros.

La moraleja de la historia

  • Al diseñar un sistema de autentificación, ten en cuenta la seguridad. Si usas una contraseña codificada transmitida a través de un canal no cifrado y sin una autentificación de múltiples factores, estás buscando problemas.
  • Elige a los proveedores y subcontratistas de forma minuciosa. Si es posible, revisa sus herramientas y servicios en busca de vulnerabilidades e implantes maliciosos, y no olvides que todas las partes firmen acuerdos de confidencialidad (ADC).
  • Utiliza una solución de seguridad que escanee el contenido de los contenedores cuando se cargan para evitar que el código malicioso acceda a tu proyecto desde un repositorio comprometido.
Consejos