Detalles sobre el robo de datos en la línea aérea
Expertos en hacking ético reportaron el 6 de septiembre pasado que British Airways había sufrido una violación de seguridad que derivó en el robo de datos de cerca de 380 mil de sus clientes, incluyendo datos bancarios y personales. En días recientes, British Airways colocó en su sitio web un artículo explicando detalles del incidente, aunque escasean las especificaciones técnicas, el comunicado informaba que:
- Los pagos a través de su sitio web principal se vieron afectados
- Los pagos a través de su aplicación móvil se vieron afectados
- Esto ocurrió entre las 22:58 del 21 de agosto de 2018 hasta las 21:45 del 5 de septiembre de 2018
El informe también establecía claramente que la información fue robada del sitio web y la aplicación móvil de British Airways, pero no mencionaba violaciones de seguridad de cualquier otro tipo, como ataques a bases de datos o servidores, cualquier cosa que indicara que la violación afectaba más que la información de pago ingresada en el sitio web. Dada la naturaleza del caso, algunos expertos en hacking ético ya cuentan con un principal sospechoso, el grupo de hackers conocido como Magecart.
Magecart, un rival conocido
Desde 2015 se han reportado fraudes con tarjetas llevados a cabo en la web operados por el grupo de hackers Magecart. Tradicionalmente, los delincuentes usan dispositivos conocidos como card skimmers – dispositivos escondidos dentro de lectores de tarjetas de crédito en cajeros automáticos, bombas de combustible y otros dispositivos – para robar datos de tarjetas de crédito. Magecart usa una variedad digital de estos dispositivos.
Magecart inyecta scripts diseñados para robar datos confidenciales que los consumidores ingresan en formularios de pago en línea en sitios web de comercio electrónico directamente o a través de proveedores de terceros afectados utilizados por estos sitios. Recientemente, los operativos de Magecart colocaron uno de estos skimmers digitales en los sitios web de Ticketmaster, a través de un servicio comprometido.
El primer paso para vincular a este grupo de hackers con el ataque a British Airways consistió en revisar anteriores detecciones de Magecart. Encontrar instancias de Magecart es tan común para cualquier firma de ciberseguridad que se obtiene al menos una alerta por hora de sitios en riesgo de infección de códigos de skimming.
Según se cree después de las primeras investigaciones del caso, Magecart creó una infraestructura personalizada para adaptarse al sitio web y aplicación móvil de British Airways específicamente y evitar la detección durante el mayor tiempo posible. Aunque no se puede saber a qué tanta información accedieron los atacantes en los servidores de British Airways, el hecho de que pudieron modificar un recurso para el sitio, utilizando solamente 22 líneas de código, sugiere que el acceso fue sustancial. Esto es un claro recordatorio sobre lo vulnerables que son los activos almacenados en la red.
Expertos en hacking ético del Instituto Internacional de Seguridad Cibernética han advertido en distintas ocasiones sobre ataques de Magecart desde su detección en 2015, mencionando que, si bien el ataque Magecart contra British Airways no fue un compromiso de un proveedor externo como el ataque a Ticketmaster, sí compromete la información de los datos de pago de los usuarios. Las empresas, especialmente las que recopilan datos financieros confidenciales, deben darse cuenta de que deben considerar la seguridad de sus formularios, pero también los controles que influyen en lo que ocurre con la información de pago una vez que el cliente la envía.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad