¿T-Mobile owned?
El 6 de junio lei un mensaje que me llegó a través de la lista de distribución “Full-Disclosure“, en el que un hacker o grupo de hackers decían que habían penetrado en los sistemas de T-Mobile y tenían “todos” sus datos. El mensaje original se puede ver aquí. En un principio ni le di importancia, ya que si nos ponemos a comentar todos los hoaxes que llegan por este medio, Internet se quedaría sin espacio…
Pero esta mañana, me conecto a mi twitter y leo varios mensajes cuanto menos inquietantes. T-Mobile, en su obligación de comprobar cualquier indicio de haber sufrido un incidente de seguridad ha llevado a cabo varias investigaciones, y dice que algo de cierto sí que hay en el anuncio enviado a dicha lista.
Este y este otro son algunos de los artículos que he consultado.
Como resumen, los hackers comentan que habían ofrecido la información conseguida a los competidores de la empresa, pero nadie había aceptado comprarlos. Según sus propias palabras,
probablemente porque los correos electrónicos se dirigieron a las personas equivocadas (probably because the mails got to the wrong people).
El motivo real del anuncio es que están buscando compradores, y ofrecen toda la información al mejor postor. Como muestra, en el correo que enviaron nombras unos cuantos sistemas, aplicaciones y algunas tablas de bases de datos. Según ellos, lo tienen casi todo:
We have everything, their databases, confidental documents, scripts and programs from their servers,
financial documents up to 2009.
T-Mobile dice que, tras realizar una minuciosa investigación, es probable que sí se hayan comprometido algunos sistemas, pero que es algo aislado y realmente no tienen acceso a tanta información como dicen. De hecho dicen que han identificado el archivo que fue copiado, pero que el hecho de tener ese fichero no quiere decir que los hackers tengan información de los clientes de la compañía.
T-Mobile en todo momento ha dicho que su principal preocupación es proteger los datos de sus clientes, y que tan pronto como tengan evidencias que estos han sido comprometidos se lo comunicará:
To reaffirm, the protection of our customers’ information and the security of our systems is paramount at T-Mobile. Regarding the recent claim on a Web site, we’ve identified the document from which information was copied, and believe possession of this alone is not enough to cause harm to our customers. We continue to investigate the matter, and have taken additional precautionary measures to further ensure our customers’ information and our systems are protected. At this moment, we are unable to disclose additional information in order to protect the integrity of the investigation, but customers can be assured if there is any evidence that customer information has been compromised, we would inform those affected as quickly as possible.”
Ahora viene hacer una pequeña reflexión. En caso que se confirmara esta brecha de seguridad, y no haya sido detectada por los sistemas de la empresa, habría que dar un pequeño repaso a la política de segurida de T-Mobile. Como suele pasar en la mayoría de casos, los sistemas de seguridad no están bien desplegados, no se han identificados los riesgos adecuadamente, la monitorización que se realiza no se adapta a la realidad.
Por lo que hemos visto en los últimos años, en los que la seguridad ha sido un boom que se ha puesto de moda, el despliegue indiscriminado de soluciones de seguridad sin ton ni son ha derivado en multitud de empresas con un montón de controles instalados, y que realmente no saben qué tienen, qué hacen esos controles, el nivel de riesgo actual que tienen, etc. De hecho, la cantidad de logs inútiles que generan estos productos hace imposible su manejo y monitorización. Muchas veces, muchísimas, he ido a hacer una auditoría y, ante la lógica pregunta de cómo se revisan los logs, me responden con la previsible respuesta: no se revisan. Pues para eso, majete, no instales un IDS…
Además, hay otro aspecto que casi no se conoce en el entorno pyme, y en grandes empresas lo tienen en pañales muchas veces. Los sistemas de respuesta y gestión ante incidentes de seguridad. Es decir, tras implantar mil soluciones de seguridad, hacer políticas super rigurosas que los usuarios se acuerdan de nuestra árbol genealógico entero todos los días… ¿Qué pasa si un día tenemos un incidente se seguridad? Uy, pues… nos quedamos leyendo logs hasta que se nos ocurra algo… Dilbert lo explica muy bien en la siguiente viñeta (me encanta ponerla en charlas o cursos):
Además, hay otra cosa a tener en cuenta. Mucha gente dirá que no sirve nada que un hacker consiga tus datos personales. Total, ¿qué van a hacer con ellos? Muchas pymes se escudan en esa idea. “Soy una empresa pequeña… ¿quién va a querer nada de mi?”. Bueno, muchas veces no van a por tu como empresa o como particular, con nombres y apellidos, sino que quieren la información para venderla en el mercado Underground. Symantec hizo hace poco un estudio de cuánto cuestan los datos personales en este mercado, y el resultado se reduce en la siguiente tabla:
Como se puede ver, todos tenemos un precio en Internet…
La conslusión a todo esto, y sin que necesariamente sea lo que ha sucedido en T-Mobile (quizás tienen el riesgo perfectamente controlado y, simplemente, les han pillado), es que la implantación de una política de seguridad en una empresa no es algo tan trivial como poner un cortafuegos y ale, a correr. No debemos fiarnos de nadie ni de nada en Internet, pues nuestros datos tienen un precio, da igual a qué nos dediquemos. Y siempre, siempre, hemos de estar alerta…
Related posts
Leido 113 veces
(No Ratings Yet)