Aunque existe cada vez más concienciación sobre ciberseguridad y protección informática, la mayor parte de las infraestructuras de telecomunicaciones están plagadas de todo tipo de fallos que, vistos en perspectiva, pueden parecer casi imposibles de creer. Este ejemplo lo ha protagonizado la cadena hotelera Intercontinental Hotels Group (IHG), que ha sufrido un ataque de ransomware por un error garrafal.
[Adiós a las contraseñas: Apple, Google y Microsoft crearán un sistema para iniciar sesión sin ellas]
Según asegura la BBC, el pasado lunes 12 de septiembre se produjo un ataque contra hoteles Holiday Inn del grupo IHG. Un ciberataque que la propia compañía confirmó el martes siguiente, y que se habría debido, tal y como afirma el medio, a que la contraseña de las bases de datos afectadas era Qwerty124. Una de las contraseñas más comunes y sencillas que se conocen.
Haciendo uso de tácticas de ingeniería social, los hackers consiguieron acceder a toda la red interna del grupo IHG, con la idea de implantar un ransomware que cifrara los datos de la compañía. Algo que se pudo evitar in extremis, después de que la empresa consiguiera proteger sus servidores antes del desenlace.
Un ataque hacker
Todo comienza con los atacantes haciendo uso de tácticas ya conocidas en la industria. Lograron que un empleado de la compañía descargara un archivo infectado con malware, siendo esta la punta de lanza para la operación de ransomware. Una vez protegidos los servidores, los atacantes optaron por borrar datos de los mismos.
Para ello, debían acceder a la red al completo. La parte más problemática fue la que consistió en saltarse un sistema de verificación en dos pasos, que enviaba un aviso a los dispositivos de los empleados una alerta al respecto. Salvado este bache, encontraron los datos de inicio de sesión de la bóveda de contraseñas interna de la empresa, donde se encontraba la base de datos de la firma FTSE 100. La contraseña era Qwerty1234.
Al ser frustrado su intento de ataque ransomware, decidieron hacer lo que se conoce como un wiper attack. Este método se basa en borrar de forma irreversible datos sensibles de la compañía, incluyendo archivos, documentos e información. Una táctica que los expertos que han analizado el caso califican de "vengativa".
Aunque no robaron una cantidad de datos significativa, sí que han conseguido datos corporativos y algunos registros de correo electrónico. Los propios delincuentes explican que estas credenciales estaban disponibles para los 200.000 empleados de la compañía, lo que suponía un importante agujero de ciberseguridad, incluso si la contraseña hubiera sido más compleja.
Esto ha sido cuestionado por un portavoz de la cadena hotelera, asegurando que los hackers tuvieron que saltarse "múltiples capas de seguridad". Recordemos que la contraseña, Qwerty1234, no es más que una sucesión de izquierda a derecha de las primeras teclas del teclado. Las primeras 4 letras de los teclados convencionales y los primeros 4 números.
Hackers vietnamitas
Al realizar el ataque de borrado, los clientes de la cadena, que opera hasta 6.000 hoteles en todo el mundo, se quejaron de que las reservas y los check-in no funcionaban. Esas siguientes 24 horas consistieron en IHG respondiendo a las quejas en redes sociales, asegurando que había un "mantenimiento del sistema".
Los hackers en cuestión se hacen llamar TeaPea, y afirman ser una pareja ubicada en Vietnam. Compartieron con la BBC capturas de pantalla, que IHG ha confirmado como auténticas, que prueban que son los autores reales del incidente. "Originalmente, nuestro ataque se planeó para ser un ransomware, pero el equipo TI de la empresa aisló los servidores antes de que tuviéramos la oportunidad de implementarlo".
"Pensamos en hacer algo divertido. En su lugar, hicimos un wiper attack". Rik Ferguson, vicepresidente de seguridad de Forescout, cree que este ataque era más una advertencia, ya que pese a que se aislaron los servidores, se podría haber hecho muchísimo más daño. Este cambio de táctica, cree Rik, "parece nacer de una frustración vengativa" al no poder recibir rédito económico del ataque.
Esto es algo con lo que 'bromean' los atacantes. "En realidad, no nos sentimos culpables. Preferimos tener un trabajo legal aquí, en Vietnam, pero el salario medio es de 300 dólares mensuales. Estamos seguros de que nuestro truco no dañará mucho a esa empresa", sentenciaron.