Un hacker detecta un sencillo método para irrumpir en los sistemas de 35 grandes tecnológicas como Apple, Microsoft, Netflix o Tesla: cómo protegerse

Un hacker ético ha descubierto una asombrosa y simple táctica con la que pudo vulnerar las brechas de Apple, Microsoft, PayPal, Tesla y más de 30 compañías en los últimos meses.

Alex Birsan publicó su investigación en su blog el pasado martes: ya ha recibido más de 130.000 dólares (107.000 euros) en recompensas de las compañías por las vulnerabilidades que ha detectado.

Aunque las firmas señaladas han podido ya cerrar todas esas vulnerabilidades para prevenir ataques similares antes de que Birsan los expusiese, sus descubrimientos pueden tener implicaciones a largo plazo sobre cómo las grandes tecnológicas utilizan repositorios de código abierto y comparten las técnicas para minimizar riesgos, advierten los expertos.

Birsan pudo diseñar su ataque informático tras leer detenidamente el código que muchas compañías comparten en repositorios de código abierto en plataformas como GitHub, según detallaba él mismo en su blog.

Chema Alonso cree que hay "progresos" a la hora de concienciar en la diferencia entre un hacker de un ciberdelincuente, pero "todavía queda un trecho por andar"

Mientras analizaba el código de PayPal con otro investigador, Birsan se dio cuenta de que este incluía dependencias públicas —o líneas de código que activarían automáticamente el código público encontrado en el repositorio— así como dependencias privadas que parecían hacer referencias al código que se almacenaba de forma interna.

Esto hizo que Birsan se hiciese una gran pregunta: ¿Qué pasaría si se suben paquetes de código malicioso a los repositorios públicos con el mismo nombre que en las dependencias públicas se le da al código oculto? Efectivamente, el sistema priorizó las versiones públicas y ejecutó de forma autónoma el código 'malicioso' de Birsan simplemente porque tenía el mismo nombre. Su código no hizo daño alguno a los sistemas, simplemente le valió para que el hacker se diese cuenta de que sus 'víctimas' habían instalado de forma efectiva sus paquetes, con los que también pudo extraer información básica sobre los sistemas que estaban ejecutando dicho código.

La estrategia de Birsan tiene similitud con el typosquatting, una táctica de hacking con la que los ciberdelincuentes pueden instalar paquetes maliciosos en un código y esperar a que un desarrollador escriba mal un solo carácter de una línea de código para que se ejecute el hackeo. El problema es que lo que logró Birsan es mucho más peligroso: nadie tenía que incurrir en error alguno para ejecutar el código malicioso. Funcionaba solo por la naturaleza con la que trabaja el sistema con estos repositorios públicos.

El 99% de las direcciones de internet analizadas por este hacker español no tienen activados unos filtros con los que se evitarían la mayoría de robos de identidad y ciberataques

"Reemplazar paquetes internos mediante sus nombres fue un método casi infalible para acceder a las redes de las mayores plataformas tecnológicas del mundo, gracias a lo cual se puede ejecutar código en remoto y unos ciberdelincuentes podrían instalar puertas traseras durante su trabajo", advertía Birsan en su blog.

El hacker consiguió instalar su propio malware en los sistemas internos de firmas como Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp o Uber. También detalló que todas las compañías pudieron parchear esta vulnerabilidad en sus propios sistemas antes de que divulgara sus descubrimientos. Así, ha conseguido más de 130.000 dólares en recompensas de bug bounty—cazadores de bug—, según los registros de HackerOne, una de las principales plataformas para reclamar estos premios.

De esos 130.000 dólares —más de 100.000 euros—, 30.000 son de PayPal, y 40.000 de Microsoft. Birsan también avanzaba que Apple se ha puesto en contacto con él para premiarle con otros 30.000 dólares, lo que el fabricante del iPhone ha confirmado a Business Insider.

Cómo la idea de un hacker para hacer de internet un lugar más seguro se ha convertido en un elemento indispensable de los sistemas operativos Windows, Linux y Mac

Los expertos también han detallado que hay pasos muy claros a seguir para que las compañías puedan evitar ataques similares. En un white paperque recoge los hallazgos de Birsan, Microsoft advirtió de que las marcas deberían configurar sus códigos para que priorice los paquetes privados y no los públicos que tengan el mismo nombre, y centrar el foco sobre los paquetes públicos sobre los que sí se puede confiar.

Las firmas también pueden intentar mitigar los ataques de typosquatting creando paquetes con nombre similares a los auténticos, pero que tengan pequeños errores de redacción, según incidía Ax Sharma, un investigador de ciberseguridad que trabaja para la compañía de software Sonatype. En un correo electrónico remitido a Business Insider, el director tecnológico de Sonatype, Brian Fox, reconoció que este incidente puede hacer reaccionar a muchas compañías que usan repositorios de código.

"Este tipo de descubrimientos ayudan a concienciar a más gente sobre vulnerabilidades estructurales. Un cambio real puede llevar tiempo, pero cuando estas cosas afectan a grandes compañías, se consigue mucha más atención sobre estos agujeros", opina Fox.

Hackean el suministro de aguas de una ciudad de Florida para intentar envenenar a los vecinos: un recordatorio de hasta dónde llegan las amenazas digitales

Birsan, sin embargo, predice que en un futuro muchos ataques podrían emplear técnicas similares a medida que las firmas confían cada vez más en estos repositorios de código.

"Tengo la sensación de que todavía hay mucho que descubrir", consideraba en su artículo. "Descubrir nuevas formas más inteligentes de filtrar los paquetes privados de un código expondrá a sistemas cada vez más vulnerables, y buscar lenguajes de programación alternativos y repositorios sobre los que poner el objetivo también desvelará nuevas superficies de ataque", advertía.

Este artículo fue publicado originalmente en BI Prime.