Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

RSA admite que los tokens de SecurID se han visto comprometidos y deja a las grandes empresas desprotegidas

(Crédito de la imagen: Ludovic F. Rembert a través de Privacidad Canadá)

Cuando nos enteramos en marzo de que la empresa de seguridad RSA había sido pirateada, hicimos una reverencia, sacudimos la cabeza, suspiramos con desesperación y, colectivamente, nos topamos con la palma de la mano. Cuando más tarde surgió la noticia de que se había violado su base de datos de detalles de SecurID, nos quedamos conmocionados y consternados, pero aún con esperanza. Luego, hoy, en noticias que confirmaron la incompetencia de RSA, supimos que el intento de pirateo de la semana pasada contra Lockheed Martin, un contratista de defensa gubernamental, fue posible debido a la violación de la base de datos de RSA.

SecurID es una solución de seguridad de contraseña de un solo uso (OTP) de dos partes. Cada usuario que necesita iniciar sesión en un sistema recibe un dongle o token físico SecurID. Cada dongle se programa con el secreto compartido de la red, que luego se mezcla con la fecha y la hora para crear la OTP. El servidor de autenticación, que también conoce el secreto compartido, genera su propia OTP y, si coinciden, el usuario puede iniciar sesión. Es una configuración muy segura, a menos que otra persona descubra el secreto compartido. En su forma actual, la autenticación en dos partes es el mejor y más fácil enfoque para proteger los sistemas.

Lo crea o no, los piratas informáticos de alguna manera lograron ingresar al sistema de RSA, navegaron hasta una base de datos llena de datos relacionados con SecurID y luego usaron esos datos para lanzar un ataque sofisticado contra Lockheed Martin, un cliente que aparentemente usa el sistema SecurID de RSA para bloquear por su red. Es casi irreconciliable, pero aparentemente RSA guardó los secretos compartidos de cada uno de sus clientes en un formato que fue fácilmente modificado por ingeniería inversa. Los piratas informáticos tomaron el secreto compartido de Lockheed de la base de datos, crearon su propia contraseña de un solo uso y luego intentaron iniciar sesión en la red de Lockheed.

La hermosa y repugnante ironía es que RSA sabía, desde el momento en que investigaron el ataque, que el objetivo final de los piratas informáticos era el robo de propiedad intelectual; sin embargo, en tres meses, RSA no pudo volver a asegurar la red comprometida de Lockheed. «Ciertas características del ataque a RSA indicaron que el motivo más probable del perpetrador era obtener un elemento de información de seguridad que pudiera usarse para atacar secretos de defensa y propiedad intelectual relacionada», escribió el presidente ejecutivo de RSA, Art Coviello en un carta abierta a sus clientes. «[…] el jueves 2 de junio de 2011 pudimos confirmar que la información obtenida de RSA en marzo había sido utilizada como un elemento de un intento de ataque más amplio contra Lockheed Martin ”, continúa la carta. El ataque fue frustrado, pero presumiblemente solo a través de la acción heroica tomada por El propio equipo de seguridad de TI de Lockheed.

Lockheed y RSA tuvieron suerte, en otras palabras. RSA está ofreciendo dongles SecurID de reemplazo, y solo podemos asumir que sus propios mecanismos de seguridad se han actualizado. La triste verdad, sin embargo, es que RSA debe haber tenido su base de datos más valiosa conectada a Internet de alguna manera. Cada computadora conectada a la red es finalmente pirateable y, sin embargo, una empresa de seguridad que está a cargo de asegurar algunos de los secretos más valiosos del mundo la dejó conectada. De alguna manera, RSA tomó uno de los mejores mecanismos de seguridad del mundo y lo convirtió en inseguro.

Leer más sobre SecurID, el ataque a Lockheed, y el ataque a RSA en marzo