[HACK] El ciberespionaje industrial crecio un 18% en Espanya
merce
illadeltresor at gmail.com
Fri Jul 11 20:52:07 CEST 2008
18/06/08 12:03:28
EL CIBERESPIONAJE INDUSTRIAL CRECIÓ UN 18% EN ESPAÑA
Mercè Molist
Rolls-Royce, Shell, Boeing o Fidelity son algunas de las compañías
que el año pasado denunciaron haber sido víctimas de espionaje
industrial en sus ordenadores. Aunque muy pocas lo reconocen, su
número aumenta, como demuestra un estudio de la empresa española de
peritaje informático Recovery Labs: en 2007, el 20% de sus clientes
sufrieron casos de ciberespionaje, un 18% más que el año anterior.
No fue difícil para el atacante conocer los gustos de la secretaria
del director general: participaba en diversas redes sociales donde
aireaba su vida personal, los nombres de sus amigos o aficiones como
aquella casi adicción a los zapatos caros. Después de meses de
investigación cibernética de los empleados clave de la compañía, el
atacante había descubierto su Talón de Aquiles.
Creó un programa troyano a medida para superar los controles de
seguridad de la red corporativa. Lo mandó por correo electrónico a
la secretaria, dentro de un adjunto en PDF que supuestamente le
enviaba una amiga: el catálogo de verano de una marca de calzado. La
secretaria lo abrió y el troyano se activó en silencio. A través de
él, el atacante tomó el control del ordenador del director general.
Los detalles son ficticios, pero esta historia ha sido real para más
de una empresa, explica David Barroso, director de la unidad E-crime
de S21sec: "Son casos de virtuosismo por parte del atacante, pueden
llevarle meses de investigación, pero cada vez proliferan más. Los
troyanos se suelen mandar en documentos PDF, Powerpoint, Word o
Excel, que un directivo no espera que le infecten".
Los profesionales de la seguridad coinciden en el aumento del
ciberespionaje industrial, como consecuencia de la proliferación de
la informática en las empresas. Según un reciente estudio de Verizon
sobre robos de datos en 500 compañías, el objetivo del 15% eran
víctimas escogidas de antemano.
Como el espionaje tradicional, el ciberespionaje se divide en dos
categorías según su procedencia: desde el interior o el exterior de
la empresa. El primero es el más frecuente, en un 78% de casos según
Trend Micro. El año pasado, empleados de Boeing, Fidelity y Pfizer
robaron secretos con la ayuda de dispositivos USB. En 2002 y 2003,
dos ingenieros de Ferrari hicieron lo mismo usando CD-ROM.
Los dispositivos físicos de almacenamiento de datos son la
herramienta más usada para el robo de información desde el interior,
ya que así se evitan los controles que pueda haber en la red
corporativa. La cosa cambia si el empleado es el administrador de la
red, como sucede en el 50% de casos según Verizon, o tiene
conocimientos avanzados de informática.
La Policía Nacional detuvo en mayo al vecino de Pamplona J.M.G., de
27 años, por vender programas y secretos de su empresa a la
competencia. Avezado informático, llegó a acceder al servidor
central y el ordenador personal de su jefe, según la versión
policial, y sacó la información "con medios técnicos avanzados".
Casos parecidos se han dado en otras compañías españolas. David
Barroso explica uno de los más sofisticados: "El día del robo, el
ladrón estaba de vacaciones y accedió a la empresa por la Red
Privada Virtual, entrando en su propio ordenador, que había dejado
encendido. Allí, arrancó una imagen virtual de Windows XP, con la
que accedió a la máquina que guardaba los datos confidenciales.
Después borró de su ordenador el sistema operativo virtualizado para
ocultar sus pasos".
Pero los trabajos auténticamente "finos" se ven en el más
minoritario ciberespionaje desde el exterior. Aquí, los ataques más
comunes son asaltar el sitio web para llevarse la base de datos de
clientes y enviar troyanos a empleados, creados a medida.
"The Times" informaba en diciembre de 2007 que atacantes
supuestamente chinos habían espiado con troyanos a Rolls-Royce y la
multinacional Shell. Otro sonado caso se descubrió en 2005: la
consultora británica Target Eye vendió un troyano a medida a una
agencia de detectives que espió con él a 20 corporaciones
tecnológicas y mediáticas de Israel.
En 2004, el presidente de Marks and Spencer, Stuart Rose, fue a
jugar al golf y dejó el teléfono móvil en la taquilla. Alguien
accedió a ella e introdujo un programa espía en el teléfono. Otro
caso, que inspiró el libro "El huevo del cuco", sucedió en los años
80 y se considera el primero conocido de ciberespionaje: la KGB
contrató a hackers alemanes para robar programas de la Digital
Equipment Corporation.
La interrelación entre gobiernos y empresas para el espionaje
industrial no es nueva, tampoco en Internet. En 2001, el
eurodiputado alemán Gerhard Schmid denunciaba que Estados Unidos
usaba la red Echelon para interceptar las comunicaciones de empresas
europeas en favor de las americanas. Hoy, es China quien espía los
ordenadores de las compañías occidentales, según han denunciado
Estados Unidos, Alemania, Gran Bretaña y Australia.
"Internet facilita el esponaje industrial porque estamos en una
nube, con conexiones a todas partes, el robo es más fácil, puedes
llevarte gigas de datos en un USB o hacerlo de forma remota y
anónima", afirma Igor Unanue, director de S21sec Labs. Por ejemplo,
dice, "el director de compras puede tener el portátil infectado, o
pueden entrar en el ordenador doméstico del director comercial, o un
empleado puede llevarse documentos confidenciales para trabajar en
casa, en el mismo PC donde juega su hijo".
MessageLabs avisaba recientemente contra las redes sociales, donde
los empleados dan detalles de sus vidas y empresas que parecen
irrelevantes, pero son preciosos para alguien que ate cabos.
MessageLabs afirmaba haber interceptado correos electrónicos
infectados con troyanos, dirigidos de forma personalizada a
ejecutivos de alto nivel y sus familiares, usando información sacada
de redes sociales.
Según Verizon, el 63% de empresas no descubren los robos hasta meses
después. Lo confirma Barroso: "Suelen tardar tiempo porque son
ataques técnicamente muy avanzados y difíciles de detectar en un
corto periodo de tiempo". La prevención consiste en monitorizar la
información que entra y sale de la compañía tanto por Internet como
físicamente. Algunas empresas, como S21sec, ofrecen un servicio de
control de los datos privados de los directivos que circulan en
Internet.
CÓMO EVITAR LA FUGA DE DATOS CORPORATIVOS EN LA ERA DE INTERNET
David Barroso, director de la unidad E-crime de S21sec, propone diez
pasos para prevenir el ciberespionaje industrial.
1. Definir los niveles de clasificación de la información dentro de
la empresa (sensible, confidencial, top-secret) y aplicarlos a toda
información digital y en papel.
2. Establecer en la política de seguridad corporativa buenas
prácticas como mesas limpias de documentos, destrucción de
información y otros.
3. Acceder a la información importante sólo desde dispositivos y
redes autorizadas, evitando cibercafés, ordenadores domésticos o
redes públicas inalámbricas.
4. Evitar el acceso de los empleados a la información si realmente
no existe una necesidad.
5. Monitorizar el acceso y uso de la información importante con
herramientas de gestión de "logs" y Data Loss Prevention.
6. Monitorizar la información que existe en Internet sobre la
organización.
7. Formar a los empleados anualmente en temas como la ingeniería
social o clasificación de la información.
8. Conocer las últimas técnicas usadas en delitos de ciberespionaje
o asesorarse con empresas especializadas.
9. Establecer capas de seguridad a todos los niveles (perímetro,
puesto de usuario, salida) para evitar intrusiones externas e internas.
10. Realizar auditorías de intrusión tanto externas como internas
para conocer los riesgos existentes.
Más espías en las empresas, según datos de Recovery Labs
http://www.recoverylabs.com/prensa/Comunicados/2008/Abril/peritaje.htm
Data Breach Investigations Report
http://www.verizonbusiness.com/resources/security/databreachreport.pdf
Malware directed exclusively at senior management brings targeted
attacks to a new level
http://www.messagelabs.com/resources/press/3845
Detenido en Pamplona un hombre acusado de espionaje industrial en
una empresa tecnológica
http://www.europapress.es/navarra/noticia-detenido-pamplona-hombre-acusado-espionaje-industrial-empresa-tecnologica-20080507133634.html
F1 engineers plan appeal in Ferrari espionage case
http://www.theregister.co.uk/2007/04/30/ferrari_espionage_conviction/
Private eyes jailed in industrial espionage spyware case
http://www.sophos.com/pressoffice/news/articles/2008/04/modiin-ezrahi.html
Secrets of Shell and Rolls-Royce come under attack from China's spies
http://business.timesonline.co.uk/tol/business/markets/china/article2988228.ece
Industrial espionage 'real and out there'
http://news.bbc.co.uk/2/hi/business/3853913.stm
Chinese conduct "aggressive and large-scale" espionage against US
http://arstechnica.com/news.ars/post/20071118-report-chinese-conduct-aggressive-and-large-scale-espionage-against-us.html
Nine Ways to Stop Industrial Espionage
http://www.net-security.org/article.php?id=935
Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.
More information about the hacking
mailing list