Twitter rompió algo más, y lo bien que hizo: 2FA x SMS
La polémica medida del MFA x SMS de Twitter es para mejor, infraestructura crítica bajo ataque, el ransomware aprovecha viejos bugs y el ranking de malware de enero.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
17>24.feb
📲 Twitter desactiva 2FA por SMS: mala noticia que viene bien
Twitter fue protagonista de una de las polémicas de la semana. TL;DR, una muy mala comunicación de una medida correcta.
Se trata de la suspensión del segundo factor de autenticación por mensaje de texto (SMS) para cuentas que no pagan el servicio premium mensual (Twitter Blue).
El segundo factor (llamado 2FA o MFA) es una medida clave para evitar el robo de cuentas: una vez que se pone un password, el 2FA solicita un código que llega por otra vía distinta -SMS, en este caso- para garantizar que la autenticación sea legítima.
Lo primero que hay que explicar es a qué apunta esta medida de Musk, que es paradójica y ya veremos por qué. Es una estrategia para proteger el bolsillo de Twitter: incluso desde antes que asumiera Elon Musk como CEO de la compañía, la red social hacía titulares con sus pérdidas económicas.
En este contexto, Musk advirtió que las estafas por SMS le venían costando muy caro a la empresa: 60 millones de dólares por año. Esto lo contó en un Space, a fines de 2022.
Acá no nos interesa discutir si tiene razón o no -la tiene-, sino examinar qué corolarios deja esta medida que, para el usuario final, es tanto más positiva que negativa. Me explico, pero antes, vamos con la parte que no hizo bien Twitter.
La empresa lo comunicó muy mal. Los usuarios que tenían 2FA por SMS activado recibieron esto:
Es decir: en lugar de invitar al usuario a migrar su 2FA, llamaron directamente a removerlo.
Esto es una pésima estrategia, debido a que la información más importante era que se iba a poder mantener un método de 2FA libre y gratuito.
Y acá brilla la paradoja: el método que quedará relegado con exclusividad a Twitter Blue -pago- pasará a ser el que es el más inseguro para el usuario, el SMS.
El mensaje de texto es extremadamente peligroso como segundo factor por lo que se conoce como sim—swapping: delincuentes duplican de forma fraudulenta la tarjeta SIM del teléfono, que es la que porta la línea, para acceder a cuentas de un tercero y robar su información (o, el caso más común de la actualidad, la cuenta de WhatsApp).
Ahora bien, la mayoría de los usuarios ni siquiera recibió este aviso. ¿Por qué?
Porque solo 2.6% de los que tienen Twitter usan al menos un segundo factor de autenticación para proteger sus cuentas (según el propio centro de transparencia de Twitter).
Entonces estamos hablando de una polémica que afectó a un número muy menor de usuarios porque el grueso no sabe ni siquiera lo que es un segundo factor de autenticación. Lo cual es un problema gravísimo.
De esta manera:
Para tener segundo factor por SMS en Twitter hay que pagar. Este es el método más inseguro (pero es cierto que es más seguro que no tener un segundo factor).
Para todos los usuarios que no paguen Twitter Blue (la gran mayoría), pueden configurar de manera gratuita un segundo factor con aplicaciones como Google o Microsoft Authenticator, Authy y otras.
Todos deberían tener un segundo factor activo en todas sus cuentas personales.
Finalmente, esta semana -y de casualidad- HacKan me compartió este enlace donde se explican otras funciones de las llaves de seguridad tipo Fido que van más allá de la autenticación.
Se trata del segundo factor más seguro que existe en la actualidad. Son varias las razones que apuntan a la seguridad x hardware: no salen tan caras para los beneficios que brindan.
Así, a la paradoja de Twitter de cobrar por el segundo factor más inseguro de la actualidad se le puede exprimir dos tipos de jugos: el de la mala comunicación (por un push) y el de la buena autenticación (por apps o llaves de seguridad).
🪙 El ataque a Coinbase fue (precisamente) por SMS
Coinbase, exchange de criptomonedas, sufrió un ataque el pasado 5 de febrero. Esta semana, la empresa publicó en su blog oficial una entrada contando cómo sucedió y las consecuencias, en lo que constituye un ejemplo de transparencia pocas veces visto.
El ataque se dio cuando un actor malicioso envió varios mensajes de texto a ingenieros de la compañía y, a partir de uno que cayó, ganaron acceso remoto a los sistemas (sí: un ingeniero, phishing)
Como resultado, el atacante pudo obtener información de trabajadores de la empresa pero los fondos de los clientes no se vieron afectados.
Un buen ejemplo que corporiza la inseguridad de los SMS como método de autenticación.
🐞 El ransomware entra por bugs ya conocidos
Un nuevo estudio reveló que actores maliciosos pudieron explotar 57 vulnerabilidades ya conocidas para llevar a cabo ataques de ransomware con éxito.
Diversas firmas de análisis de amenazas publicaron el reporte 2023 Spotlight Report: Ransomware Through the Lens of Threat and Vulnerability Management, donde encontraron que productos muy usados como Microsoft, Oracle, VMware, F5 y SonicWall fueron la puerta de entrada de los ataques.
Hay un detalle interesante en el estudio: 131 de los 344 exploits no están incluidos en la base de datos de Vulnerabilidades Conocidas (Known Exploited Vulnerabilities, KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
Esto es peligroso porque muchas organizaciones usan el KEV para hacer sus parches de seguridad.
💧 Activision sufrió una filtración y no la comunicó
Activision Blizzard, una de las empresas de videojuegos más grandes del mundo (Call of Duty, Diablo, Overwatch, Candy Crush) sufrió una filtración que nunca comunicó pero reveló esta semana Vx-Underground.
El hack ocurrió, aparentemente, a fines de 2022 y filtró hasta seis temporadas planeadas para Modern Warfare 2 y Warzone 2, además de develar un proyecto llamado “Jupiter” que podría ser un nuevo juego de la exitosa saga bélica de la compañía. El calendario filtrado llega hasta noviembre de 2023.
La empresa cree que la intrusión llegó a canales de comunicación internos de Slack, desde donde se pudo sacar esta información interna de la compañía. Activision fue comprada por Microsoft en 2020 por una suma de casi 70 mil millones de dólares.
🏭 Ataques a infraestructura crítica: cada vez más
Fue una semana repleta de ataques a infraestructura crítica y cadenas de suministro. Este tipo de incidentes suelen salir de la burbuja infosec y marcan la agenda incluso de los medios tradicionales.
CNN: reportó esta semana que el gigante de la industria alimenticia Dole Food Company sufrió un ciberataque que detuvo los envíos de comestibles a las tiendas. Sería ransomware.
En otro tipo de ataque con esquirlas bélicas, se supo que a las pocas semanas de la invasión rusa a Ucrania, un malware intentó desconectar centrales de gas y electricidad de EE.UU: Pipedream. La gravedad del asunto llegó a darle el mote de “State-level wartime capability” y lo reportó CBS News.
Sentinel One destacó en un estudio un ATP llamado WIP26 que ataca grupos de telecomunicaciones en Oriente Medio. En Asia, Symantec detectó un actor de amenazas que apuntó a organizaciones médicas.
Y el ciberataque más interesante en este área fue el de una serie de aeropuertos alemanes, bajo DDoS.
📧 Mails militares filtrados por no usar password
TechCrunch reportó que el Departamento de Defensa de los Estados Unidos tuvo un breach de mails internos durante dos semanas.
Los correos estaban alojados en un servidor de la nube de Microsoft Azure que usa el Gobierno norteamericano y estaban separados de otros que tienen para fines comerciales.
En total son 3TB de mails que incluyen unidades que conducen operaciones especiales. La razón por la cual estuvo todo expuesto fue un problema de configuración: el servidor no tenía contraseña.
📈 Ranking de malware de Check Point
Check Point Research publicó su lista de programas maliciosos más usados del mes pasado. Hay varias categorías, veamos los 3 malware más buscados en Argentina:
Qbot: Es un troyano bancario que apareció por primera vez en 2008. Fue diseñado para robar credenciales de los usuarios. Entra mucho por spam. 14.89%
Nanocore: Troyano de acceso remoto. Todas las versiones de RAT contienen complementos y funcionalidades básicas, como captura de pantalla, minería de criptomonedas, control remoto del escritorio y robo de sesión de cámara web. 8.51%.
Vidar: Es un ladrón de información detectado por primera vez a fines de 2018. Está diseñado para robar contraseñas, datos de tarjetas de crédito y otra información confidencial de varios navegadores web y billeteras digitales. 7.09%.
El reporte completo con datos de todo el mundo.
🔗 Más info
LockBit encriptó a La Segunda, empresa de seguros argentina
GoDaddy: hackers instalaron malware en el código fuente
Fortinet arregló otra vulnerabilidad crítica
El ransomware Royal ya tiene una cepa que encripta Linux
Las 10 técnicas de hackeo más populares de 2022 (Port Swigger)