Seguridad

Un hacker descubre una simple táctica para vulnerar a 30 compañías como Apple, Microsoft, PayPal o Tesla

Un error en Signal, Google Duo y Facebook Messenger permitía a los hackers espiarte por el micrófono

Un hacker ético ha conseguido irrumpir en los sistemas de compañías como Apple, Microsoft o Netflix. Alex Birsan ha logrado recompensas superiores a los 107.000 euros tras informar a las marcas de estas vulnerabilidades.

Un hacker ético ha descubierto una asombrosa y simple táctica con la que pudo vulnerar las brechas de Apple, Microsoft, PayPal, Tesla y más de 30 compañías en los últimos meses.

Alex Birsan publicó su investigación en su blog el pasado martes: ya ha recibido más de 130.000 dólares (107.000 euros) en recompensas de las compañías por las vulnerabilidades que ha detectado.

Aunque las firmas señaladas han podido ya cerrar todas esas vulnerabilidades para prevenir ataques similares antes de que Birsan los expusiese, sus descubrimientos pueden tener implicaciones a largo plazo sobre cómo las grandes tecnológicas utilizan repositorios de código abierto y comparten las técnicas para minimizar riesgos, advierten los expertos.

Birsan pudo diseñar su ataque informático tras leer detenidamente el código que muchas compañías comparten en repositorios de código abierto en plataformas como GitHub, según detallaba él mismo en su blog.

Un hacker pudo envenenar a 15.000 personas con lejía a través del suministro de agua

Mientras analizaba el código de PayPal con otro investigador, Birsan se dio cuenta de que este incluía dependencias públicas —o líneas de código que activarían automáticamente el código público encontrado en el repositorio— así como dependencias privadas que parecían hacer referencias al código que se almacenaba de forma interna.

Esto hizo que Birsan se hiciese una gran pregunta: ¿Qué pasaría si se suben paquetes de código malicioso a los repositorios públicos con el mismo nombre que en las dependencias públicas se le da al código oculto? Efectivamente, el sistema priorizó las versiones públicas y ejecutó de forma autónoma el código ‘malicioso’ de Birsan simplemente porque tenía el mismo nombre. Su código no hizo daño alguno a los sistemas, simplemente le valió para que el hacker se diese cuenta de que sus ‘víctimas’ habían instalado de forma efectiva sus paquetes, con los que también pudo extraer información básica sobre los sistemas que estaban ejecutando dicho código.

La estrategia de Birsan tiene similitud con el typosquatting, una táctica de hacking con la que los ciberdelincuentes pueden instalar paquetes maliciosos en un código y esperar a que un desarrollador escriba mal un solo carácter de una línea de código para que se ejecute el hackeo. El problema es que lo que logró Birsan es mucho más peligroso: nadie tenía que incurrir en error alguno para ejecutar el código malicioso. Funcionaba solo por la naturaleza con la que trabaja el sistema con estos repositorios públicos.

“Reemplazar paquetes internos mediante sus nombres fue un método casi infalible para acceder a las redes de las mayores plataformas tecnológicas del mundo, gracias a lo cual se puede ejecutar código en remoto y unos ciberdelincuentes podrían instalar puertas traseras durante su trabajo”, advertía Birsan en su blog.

El hacker consiguió instalar su propio malware en los sistemas internos de firmas como Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp o Uber. También detalló que todas las compañías pudieron parchear esta vulnerabilidad en sus propios sistemas antes de que divulgara sus descubrimientos. Así, ha conseguido más de 130.000 dólares en recompensas de bug bounty —cazadores de bug—, según los registros de HackerOne, una de las principales plataformas para reclamar estos premios.

De esos 130.000 dólares —más de 100.000 euros—, 30.000 son de PayPal, y 40.000 de Microsoft. Birsan también avanzaba que Apple se ha puesto en contacto con él para premiarle con otros 30.000 dólares, lo que el fabricante del iPhone ha confirmado a Business Insider.

Los expertos también han detallado que hay pasos muy claros a seguir para que las compañías puedan evitar ataques similares. En un white paper que recoge los hallazgos de Birsan, Microsoft advirtió de que las marcas deberían configurar sus códigos para que priorice los paquetes privados y no los públicos que tengan el mismo nombre, y centrar el foco sobre los paquetes públicos sobre los que sí se puede confiar.

Un hacker roba datos de un club de fumadores de marihuana para hacerse viral

Las firmas también pueden intentar mitigar los ataques de typosquatting creando paquetes con nombre similares a los auténticos, pero que tengan pequeños errores de redacción, según incidía Ax Sharma, un investigador de ciberseguridad que trabaja para la compañía de software Sonatype. En un correo electrónico remitido a Business Insider, el director tecnológico de Sonatype, Brian Fox, reconoció que este incidente puede hacer reaccionar a muchas compañías que usan repositorios de código.

“Este tipo de descubrimientos ayudan a concienciar a más gente sobre vulnerabilidades estructurales. Un cambio real puede llevar tiempo, pero cuando estas cosas afectan a grandes compañías, se consigue mucha más atención sobre estos agujeros”, opina Fox.

Birsan, sin embargo, predice que en un futuro muchos ataques podrían emplear técnicas similares a medida que las firmas confían cada vez más en estos repositorios de código.

“Tengo la sensación de que todavía hay mucho que descubrir“, consideraba en su artículo. “Descubrir nuevas formas más inteligentes de filtrar los paquetes privados de un código expondrá a sistemas cada vez más vulnerables, y buscar lenguajes de programación alternativos y repositorios sobre los que poner el objetivo también desvelará nuevas superficies de ataque”, advertía.

*Artículo original publicado en Business Insider

Te recomendamos

Sobre el autor

Business Insider