Línea superior
Rockstar Games, los desarrolladores de la popular serie de videojuegos Grand Theft Auto, fue hackeado solo unos días después de que los servidores del gigante de los viajes compartidos Uber fueran objeto de una infracción similar, supuestamente por el mismo hacker que utilizó un proceso llamado ingeniería social, un modo de ataque altamente efectivo que se basa en engañar a los empleados de una empresa objetivo y puede ser difícil de proteger contra.
Un presunto hacker adolescente logró violar la base de datos interna de Rockstar Games y filtró ... [+]
AFP a través de Getty Images
Hechos clave
Similar a la Hack de Uber, el pirata informático que usa el alias "TeaPot" alegó que obtuvo acceso a los mensajes internos de Rockstar Games en Slack y al código inicial para su secuela no anunciada de Grand Theft Auto por ganando acceso a las credenciales de inicio de sesión de un empleado.
Si bien los detalles exactos de la violación de Rockstar no están claros, en el caso de Uber, el hacker afirmó se hizo pasar por una persona de TI de la empresa y convenció a un empleado para que compartiera sus credenciales de inicio de sesión.
A diferencia de otros modos de ataques que se basan en fallas en la arquitectura de seguridad de una empresa, la ingeniería social se dirige a las personas y se basa en la manipulación y el engaño.
Expertos contender que los humanos siguen siendo el "eslabón más débil" en la ciberseguridad, ya que pueden ser fácilmente engañados para hacer clic en enlaces maliciosos o compartir sus credenciales de inicio de sesión.
A diferencia de otros métodos, la ingeniería social también es eficaz para derrotar a ciertos medidas de seguridad como contraseñas de un solo uso y otros métodos de autenticación multifactor.
Cita crucial
Rachel Tobac, directora ejecutiva de la empresa de ciberseguridad SocialProof Security y experta en ingeniería social tuiteó: “La dura verdad es que la mayoría [de las organizaciones]
en el mundo podría ser pirateado de la manera exacta en que Uber fue pirateado... Muchas [organizaciones] todavía no usan [Autenticación de múltiples factores] internamente... y no usan administradores de contraseñas (lo que lleva a guardar credenciales en lugares fáciles de buscar una vez al entra un intruso).”
Fondo clave
La ingeniería social se ha utilizado para llevar a cabo varios hacks de alto perfil en los últimos años, incluido el secuestro de más de 100 cuentas de Twitter destacadas, entre ellas Elon Musk, el expresidente Barack Obama, Bill Gates y Kanye West, que luego se utilizaron para promover una estafa de bitcoin. Los hackeos fueron realizados por adolescentes que lograron acceder a las redes internas de Twitter apuntando a “un pequeño número de empleados” según la empresa de redes sociales. El mes pasado, tanto Cloudflare como Twilio también fueron objeto de un tipo de ataque de ingeniería social llamado "phishing", en el que se engañó a los empleados para que abrieran un mensaje disfrazado para parecer una comunicación legítima de la empresa, pero que incluía un enlace malicioso. Twilio, que proporciona servicios de mensajería y autenticación de dos factores, revelada que los piratas informáticos lograron violar las bases de datos internas de la empresa y obtuvieron acceso a un número no revelado de cuentas de clientes. Cloudflare, una red de entrega de contenido en línea, señaló los piratas informáticos no pudieron acceder a su red interna.
Contra
A diferencia de Twilio, Uber y Rockstar, cuyos sistemas internos fueron violados, Cloudflare logró evitar este destino gracias al uso de claves de seguridad basadas en hardware. A diferencia de otros métodos de autenticación multifactor como mensajes de texto y contraseñas de un solo uso, las claves de seguridad de hardware son mucho más seguras contra los ataques de ingeniería social. Se puede engañar a un empleado objetivo para que comparta los detalles de un mensaje de texto o una contraseña de un solo uso, pero el pirata informático necesita obtener la posesión física de una clave de seguridad de hardware para obtener acceso a una cuenta. Las claves de seguridad de hardware vienen en varias formas, incluidas memorias USB o dongles Bluetooth, y deben enchufarse o conectarse a un dispositivo que intenta obtener acceso a una cuenta protegida. Los piratas informáticos que obtengan acceso a las credenciales de los empleados no podrán acceder a sus cuentas que utilizan esta forma de seguridad sin obtener acceso físico a sus claves. En 2018, Google anunció que ninguno de sus 85,000 había sido atacado con éxito a través de un ataque de phishing después de que exigiera el uso de claves de seguridad físicas un año antes.
Número grande
323,972. Ese es el número total de denuncias de ataques de ingeniería social recibidas por el FBI en 2021, casi tres veces más que en 2019, según el informe anual de la agencia. Informe de delitos en Internet. Durante este período, los piratas informáticos logró robar un total de $ 2.4 mil millones al comprometer cuentas de correo electrónico comerciales a través de técnicas de ingeniería social.
Para qué vigilar
Jason Schreier, de Bloomberg, especuló que el reciente hack podría incitar a Rockstar a poner restricciones sobre el trabajo remoto. Los expertos en ciberseguridad han argumentado anteriormente que el trabajo remoto puede requerir más precauciones, ya que deja a los empleados más vulnerables a los ataques de ingeniería social.
OTRAS LECTURAS
Hacker de Uber afirma haber pirateado Rockstar Games y publica videos de GTA 6 (Forbes)
Fuente: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- juegos/