Los datos personales de quienes han realizado más de cinco millones de pedidos en Glovo están a la venta en la Dark Web. Este hackeo ha sido -como no podía ser de otra manera- una de las noticias más importantes de la semana en el sector de la ciberseguridad. Por esta razón, desde PRNoticias.com consultamos a un experto para conocer las razones y el alcance. ¿Cómo sucedió? ¿Qué hacer si somos víctimas?
Las siguientes líneas están escritas por Luis Alfonso Rodríguez de Trío Pérez, Senior Cybersecurity Leadership- IT Director – MBA, CISM, CCISO, CEH, CHFI, ECIH, Security+, ECI y Profesor del Bootcamp en Ciberseguridad en ID Bootcamps. Desde su experticia, el profesor detalla lo sucedido y, sobre todo, aporta valiosas recomendaciones para evitar ser víctimas de hackeos o cómo actuar si nuestros datos han sido vulnerados.
¿Qué ha ocurrido?
Hold Security, una empresa de servicios de seguridad e Inteligencia de Amenazas informó a la revista Forbes que había detectado la brecha de datos en Glovo, y que el atacante estaba vendiendo credenciales de usuarios (tanto de clientes como de repartidores) que incluían la posibilidad de cambiar su propio password, haciéndose con el control de la cuenta y capacidad para realizar compras.
Como Indicadores de Compromiso (pruebas del ataque), Hold compartió con Forbes imágenes de pantalla y videos del hacker demostrando el acceso a los sistemas utilizados para gestionar las cuentas pertenecientes a la infraestructura de sistemas de Glovo. Justo después, se produjo una confirmación de uno de los clientes afectados. Esta información fue comunicada a Glovo el viernes 29 de julio.
El lunes 1 de agosto, Glovo confirmó públicamente la intrusión, afirmando que había resuelto el incidente, aunque el cibercriminal seguía vendiendo el acceso a los sistemas de Glovo en la Dark Web.
Glovo añadió que el hacker obtuvo acceso al sistema el 29 de abril 2022, a través de una “antigua plataforma de administración” pero “fue expulsado tan pronto como la intrusión fue detectada, y tomamos acción inmediata bloqueando accesos a otras terceras partes no autorizadas e implementando controles”. Glovo informa que ha contactado con la Agencia Española de Protección de Datos para reportar la brecha de datos.
“Podemos confirmar que los atacantes NO han ganado acceso a los datos de tarjetas de crédito de los clientes, porque GLOVO no almacena dicha información”, dijo Glovo.
Sin embargo, la compañía eludió contestar sobre la posible intención y motivación de los atacantes.
¿Por qué Glovo?
Desde la perspectiva de Inteligencia de Amenazas, Glovo supone un objetivo deseable para cualquier cibercriminal. Una empresa multinacional, en expansión de capital, con millones de credenciales de clientes y miembros de su cadena de valor; Glovo es una estrella ascendente en su sector. Donde hay datos personales, hay recompensa.
El Actor de Amenaza ha demostrado manejar una línea de negocio para la venta de acceso y credenciales, es decir, está operando como “Cybercrime-as-a-service”. No solo implementa y realiza el ataque, sino que pone al alcance de otros hackers (previo pago del servicio) la posibilidad de acceder a los sistemas de las víctimas o de traficar con sus datos.
Los compradores de los datos robados pueden monetizarlos en docenas de formas diferentes: para intentar el acceso en otros servicios (la gente usa credenciales repetidas), realizar phising, obtener inteligencia para otros ataques, robo de personalidad, Impersonación (interceptando los pedidos de un repartidor), eso sin contar posibles intentos de compras ilegitimas.
Pero más allá del incentivo económico, el ataque llega en un momento que podría generar un gran daño reputacional a la empresa. Por otro lado, Glovo había sido victima de otros ataques recientemente como el defacing (modificación maliciosa) de su aplicación, tipo de ataque hacktivista que podría tener relación con la situación laboral dentro de Glovo.
Por último, el hecho de que la brecha de datos haya sido detectada por las actividades de venta del botín hace pensar que el hacker no está preocupado por mantener el secreto de la técnica utilizada para reutilizarla más veces, sino que desea una monetización rápida. Esto hace suponer, que no está detrás un sofisticado gang cibercriminal (que sería mucho más discreto) o un Estado Nación, sino un francotirador.
¿Cómo ocurre? ¿Cómo es posible?
El punto de acceso fue una “antigua plataforma de administración”, es decir un punto de acceso vulnerable que ni siquiera debería haber estado en funcionamiento. El problema está en que las arquitecturas de sistemas crecen, a veces de manera exponencial. Y sin un programa de Gestión Segura de la Información, las infraestructuras antiguas caen en desuso, por lo tanto no se actualizan o parchean manteniéndose adecuadamente securizadas; a veces por el simple hecho de que es imposible ya que son productos que están en fin de servicio. A veces, simplemente quedan olvidadas convirtiéndose en Shadow IT (ya no sabes ni lo que tienes, mucho menos serás capaz de protegerlo).
El atacante solo tenía que encontrar el acceso vulnerable mediante búsqueda de información OSINT (abierta en internet y publica, tipo GOOGLE) o enumerando activamente la infraestructura de Glovo accesible desde Internet (lanzando sondas como si fuera un radar, todo lo que devuelve un eco va dibujando el perímetro de la víctima); o simplemente, comprando esta información a otro cibercriminal.
Después, ya solo quedaba ganar acceso. Y para ello los hackers, disponen de cientos de herramientas para circunvenir la autenticación, sobre todo si se trata de sistemas antiguos no actualizados cuyas vulnerabilidades están bien documentadas y son fácilmente explotables.
Si era un sistema en desuso es muy posible que tuviera credenciales débiles o por defecto, o no estuviera correctamente monitorizado y el hacker pudo realizar con tranquilidad un ataque de fuerza bruta probando cientos de combinaciones antes de encontrar la que le daba acceso.
Una vez dentro, los pasos convencionales son escalar privilegios (convertirse en una cuenta con derechos de administración del sistema), cosa que en este caso parece poco necesaria porque se accedió a un portal de administración (¡). Más adelante y en combinación con esto, se suele utilizar un conjunto de TTP (Tecnicas, Tacticas y Procedimientos) que aseguren el éxito del ataque: desconectar contramedidas del sistema (Antivirus, AntiMalware), instalar herramientas, seguir enumerando desde dentro para encontrar el verdadero objetivo; y tras ejecutar algún movimiento (lateral) dentro de la red objetivo, acceder a la Base de Datos.
Los datos a exfiltrar se localizan, organizan y comprimen para facilitar la transferencia de datos; y en un ataque sofisticado se extraen del sistema mediante un servidor C2C (Command and Control) que no es sino un servidor malicioso que el atacante ha instalado dentro del sistema objetivo, para que comunique mediante trafico saliente con el servidor del hacker que almacenará los datos robados.
¿Qué podía hacer Glovo para evitarlo?
Bueno, para mantener una postura resiliente de ciberseguridad la respuesta debe ser completa y basada en un Information Security Management System, gestionado como programa continuo. Una Evaluación y consiguiente Análisis del Riesgo, habría hecho a Glovo consciente de la exposición e incremento de su superficie de riesgo que suponía el mantenimiento de la “antigua plataforma de administración”. Y de una manera ordenada y proactiva hubieran podido proceder a tratar el riesgo de dos maneras:
Evitándolo: simplemente dando de baja el “sistema de administración antiguo” ya que seguramente las funcionalidades que aporta están cubiertas por otros sistemas. Pero esto desgraciadamente no siempre es posible o queda relegado como riesgo.
Transfiriéndolo: contratando un seguro para asegurar el impacto financiero y de responsabilidades que pudiera derivarse. No es una opción indicada dada la naturaleza del activo vulnerable. Asimismo, la aceptación del riesgo no parece una opción dentro del apetito de riesgo de Glovo.
Por lo tanto, la única forma de tratamiento es la mitigación del riesgo mediante la implantación de controles:
–Fortificar la autenticación con un 2FA (Segundo factor de Autenticación), contramedida que todos hemos usado alguna vez: La contraseña que conoces y un pin que te envían a un dispositivo que tienes, es decir, la confirmación de la identidad mediante un token de uso único OTP al móvil.
–Asegurar que se cumplen las especificaciones de fortaleza de contraseña (no usar passwords por defecto, ni débiles) y credenciales: desconectar cuentas tipo “Admin” y utilizar otras con privilegios limitados creadas al efecto.
–Gestión de Cuentas Privilegiadas: ¿Sabemos de verdad quién tiene credenciales a ese portal de administración y si las tiene por un motivo justificado?
–Bloqueo de acceso: El bloquear las cuentas tras un numero de intentos fallidos puede ralentizar el ataque del adversario, pero sobre todo es un evento de seguridad que será detectado y alertado por cualquier sistema de monitorización, dando lugar a una ciberrespuesta urgente.
¿Cómo podemos defendernos los usuarios?
Afortunadamente, la política de Comunicación de Crisis de Glovo ha funcionado. Han confirmado el ataque, dando algunos detalles, y controlando la narrativa. Parece que han cumplido con la obligación legal sobre la “Notificación de brechas de datos personales a la Autoridad de Control” reportando la brecha a la AEPD dentro del plazo de 72 horas recogido en la RGPD. Y deberá proceder a comunicar la brecha a los usuarios afectados, para que estos puedan tomar las medidas de protección oportunas.
Como usuarios debemos de ser conscientes que nuestro perímetro a defender es nuestra identidad en internet, es decir, el conjunto de credenciales y passwords de todos los servicios online a los que estamos afiliados:
1.- Mantener contraseñas fuertes (longitud 14 mezclando numerales, mayúsculas, minúsculas y caracteres especiales) y diferentes es el punto de partida. Si repetimos usuario/contraseña, las credenciales robadas en un site pueden utilizarse para comprometer nuestras cuentas en otros servicios. Ningún humano puede recordar cientos de password complejos diferentes. Por ello la utilización de algún gestor de contraseñas en la nube es una herramienta muy útil (p.ej.: https://bitwarden.com/download/)
2.- Mantener varias cuentas de correo con usos separados: personal, de negocios/trabajo, cuenta para el registro en sites con contenido económico (compras, banking,…), y una cuenta “basura” para registrarse en todas otras aquellas cosas, que a veces, nos da por registrarnos.
3.- La vía de acceso a nuestro sistema más expuesta es nuestro navegador: utilizar uno seguro, actualizado y protegido con algún módulo de antimalware que impida que visitemos o seamos redirigidos a páginas maliciosas.
