Los esfuerzos de los cibercriminales para amenazar los sistemas informáticos no paran de evolucionar. Entre las técnicas que hemos visto este año son la inyección de código malicioso en miles de comercios electrónicos para robar datos personales o el uso de LinkedIn para instalar el spyware. Es más, estas técnicas funcionan; el coste del cibercrimen en 2018 fue 45 mil millones de dólares.
Warshipping: un nuevo vector de ataque
Ahora, investigadores del X-Force Red de IBM han desarrollado una prueba de concepto (PoC, por sus siglas en inglés) que podría ser el siguiente paso en la evolución del cibercrimen. Se llama ‘warshipping’, y combina métodos tecnológicos con otros algo más tradicionales.
Cómo funciona warshipping
‘Warshipping’ utiliza un ordenador barato y de baja potencia para llevar a cabo ataques de estrecha proximidad, sin importar la ubicación física del atacante. Implica mandar un pequeño dispositivo que contiene un modem con conexión 3G a la oficina de la víctima a través del correo postal. El modem significa que es posible controlar el dispositivo de manera remota.
Con un chip inalámbrico, el dispositivo busca redes cercanas para traquear el paquete. Explica Charles Henderson, responsable de la unidad de operaciones ofensivas de IBM. “Una vez que vemos que ha llegado el warship en la puerta o el departamento de correo de la víctima, podemos controlar de manera remota el sistema y ejecutar herramientas para atacar el acceso inalámbrico de la víctima.”
Un ataque con warshipping
Cuando el warship ya está físicamente dentro de la organización de la víctima, el dispositivo busca paquetes de datos inalámbricos que pueda utilizar para entrar en la red. También busca los procesos de establecimiento de comunicación al WiFi, y manda estos datos a través de la red móvil para que el atacante los descifre y consiga la clave del WiFi.
Con este acceso al WiFi, el atacante puede navegar por la red de la empresa, buscando sistemas vulnerables y datos expuestos, además de robar datos sensibles o contraseñas de usuarios.
Un peligro con mucho potencial
Según Henderson, este ataque de gran potencial podría convertirse en una amenaza insider importante: es barato, de usar y tirar, y puede pasar desapercibido por la víctima. Es más, el atacante puede orquestar el ataque desde muy lejos. Con el volumen de paquetes que pasan cada día por los departamentos de correo de las organizaciones, muchas veces algunos de estos paquetes se ignoran.
Un aspecto de este ataque que lo hace especialmente peligroso es el hecho de que el warshipping puede sortear las protecciones del correo electrónico que sirven para evitar la entrada de malware y otros ataques a través de los archivos adjuntos.
Blindar tu empresa contra la amenaza
Siendo un vector físico sobre el que no tenemos control, puede parecer que no hay nada que podamos hacer para impedir esta amenaza; aquí no basta el consejo de tener cuidado con el correo electrónico y desconfiar de los archivos adjuntos. Sin embargo, hay soluciones que sí lo pueden parar.
Los comandos de control provienen del warship; esto quiere decir que es un proceso ajeno al sistema interno de la organización. Panda Adaptive Defense para automáticamente cualquier proceso desconocido en un sistema informático. Una conexión con el servidor C&C del atacante que está utilizando el warship es un proceso desconocido para Adaptive Defense. Por lo tanto, el proceso estará bloqueado y el sistema a salvo.
De momento, el warshipping es solo una prueba de concepto y no se ha utilizado en ningún ataque real. Sin embargo, la incesante creatividad de los cibercriminales significa que podría hacerse realidad.