Saltar al contenido

El hacker hackeó con gracia y facilidad a Apple, Microsoft y Tesla

El hacker hackeó con gracia y facilidad a Apple, Microsoft y Tesla

El pirata informático «blanco» Alex Birsan pudo piratear Apple, Microsoft, Netflix, Tesla, Uber PayPal y unas tres docenas de otras empresas estadounidenses mediante un movimiento muy simple y efectivo. Si los ciberdelincuentes aprovechan su descubrimiento, podría causar un daño enorme tanto a las propias empresas como a los usuarios de sus servicios.

Birsan cargó archivos maliciosos en el repositorio para proyectos de código abierto, que luego se cargaron automáticamente en los servidores corporativos de las empresas y también se integraron automáticamente y sin verificar en su software.

A diferencia de los ataques de piratas informáticos tradicionales, el método de Birsan no requería piratería remota de sistemas informáticos ni el uso de habilidades de ingeniería social. Todo lo que hizo el especialista en seguridad de la información fue cargar el virus en recursos públicos. Tampoco se requirió ninguna acción por parte de las víctimas de su ataque, ya que las empresas están configuradas para implementar automáticamente componentes de código abierto para ahorrar tiempo y otros recursos.

Birsan le dijo a Bleeping Computer que la idea de tal ataque se le ocurrió el año pasado cuando otro especialista en ciberseguridad Justin Gardner compartió con él el archivo de manifiesto package.json de un paquete npm utilizado dentro del sistema. Birsan señaló que algunos paquetes de manifiesto no están presentes en el repositorio público de npm, aunque se utilizan y almacenan en el servidor interno de PayPal. Luego se preguntó qué archivo obtendría una mayor prioridad, de un repositorio público o interno.

Resultó que de esta forma es posible modificar los datos en el servidor de la empresa, subiendo archivos al repositorio con los mismos nombres que ya existen. Los archivos disponibles públicamente tienen una prioridad más alta, por lo que la falsificación simplemente se descarga a un sistema informático cerrado, reemplazando al original. En algunos casos, para poder descargar el archivo era necesario indicar que tenía una modificación posterior.

Por supuesto, los archivos de Birsan eran «maliciosos» solo de nombre, de hecho, no dañaban las computadoras de las empresas comprometidas. Ahora se han eliminado las vulnerabilidades de los repositorios y los sistemas informáticos corporativos, y el tipo hacker ha recibido más de 130 mil dólares (casi 10 millones de rublos) por su trabajo.