Robinhood
Tiempo de lectura: 4 minutos

Bloomberg — Robinhood Markets Inc. sufrió un ataque informático. Otra vez. Hace un año, el hackeo afectó a casi 2.000 cuentas. El evento de esta semana comprometió la información personal de 7 millones de usuarios.

Como resultado, los piratas informáticos obtuvieron una lista de direcciones de correo electrónico de 5 millones de personas y obtuvieron un caché separado de los nombres completos de 2 millones más. La aplicación de inversiones en valores en línea con sede en California parece estar minimizando el incidente, señalando que no se tomaron datos clave como el número de Seguro Social, de tarjetas de débito o de cuentas bancarias.

El hilo común de ambos ataques y de hecho en muchas violaciones de ciberseguridad, se puede encontrar en la declaración de la compañía. También debería servir como una llamada de atención para la industria:

La persona no autorizada diseñó socialmente a un empleado para lograr que vía telefónica le diera acceso a ciertos sistemas de atención al cliente.

Tenga en cuenta ese término: diseñado socialmente.

Al usarlo para explicar el ataque, Robinhood está diciendo que un humano fue manipulado para hacer algo que no debería haberse hecho.

Es bien conocido que para violar o proteger un sistema, es necesario saber cómo funciona. Una de las primeras cosas que aprenden los estudiantes de ciberseguridad es cómo funciona la memoria en una computadora y luego se entrenan para romper esos procesos para atacar el software en el que se ejecutan. En este caso, la empresa de servicios financieros está diciendo que una persona fue burlada. Hasta cierto punto, no se equivocan.

Pero al utilizar la “ingeniería social” para explicar lo sucedido, Robinhood cae en la misma trampa de la que también son culpables muchos otros, que es deshumanizar a las personas que se sientan entre los sistemas informáticos y los adversarios que quieren irrumpir. Los que están en la primera línea se han convertido en afines a los ataques de desbordamiento de búfer, utilizados para obtener el control de una computadora, o las claves de cifrado comprometidas, que pueden desbloquear comunicaciones secretas.

Hacerlo también minimiza el hecho de que cada defecto de ingeniería es el resultado de un error humano. Un fragmento de código mal escrito, un algoritmo mal diseñado o un servidor configurado incorrectamente ocurren cuando las personas cometen errores. Las políticas de seguridad laxas, redactadas por los empleados, aprobadas por los ejecutivos y supervisadas por las juntas directivas también son pasos en falso evitables. Las infracciones ocurren cuando otras personas las explotan.

Uno de los trucos de ingeniería social más épicos fue delineado por el escritor de Wired Mat Honan, quien en 2012 detallo cómo falla tras falla en los sistemas administrados por Google, Apple Inc. y Amazon.com Inc. permitieron que alguien destruyera su vida digital. En cada paso, un representante de servicio al cliente humano fue la ventana a través de la cual se aprovecharon protocolos increíblemente malos de la empresa para obtener aún más información sobre Honan, que luego se convertían en armas para la siguiente etapa del ataque. El hecho de que Robinhood pudiera ser atacado nueve años después a través de un método similar indica que la industria no está aprendiendo de sus errores.

Hasta la fecha, no está claro exactamente qué le dijo el pirata informático a ese empleado de atención al cliente el 3 de noviembre para extraer suficiente información para llevar a cabo el ataque a Robinhood. Pero el mero hecho de que una llamada telefónica entre dos personas pueda resultar en la publicación de 7 millones de registros es suficiente para demostrar que los procesos de la compañía son profundamente defectuosos. Y debería ser evidente que el miembro del personal también es víctima de tal debilidad sistémica.

Existe una manera mejor.

Ya tenemos un modelo de cómo se puede encontrar, identificar e informar al mundo el código de problemas. La lista de Vulnerabilidades y Exposiciones Comunes , patrocinada por el Departamento de Seguridad Nacional, es el lugar al que deben acudir los profesionales de la seguridad para llevar un control de las últimas debilidades y cómo podrían abordarse. Este sitio es un recurso invaluable y una de las principales razones por las que los sistemas informáticos a nivel mundial se pueden mantener actualizados rápidamente para mantener la seguridad.

Después del hackeo de Honan hace nueve años, algunas de esas empresas se comprometieron a revisar sus prácticas para restablecer las contraseñas, pero muchas todavía practican una higiene digital deficiente (los usuarios de los servicios en línea de Apple pueden consultar su correo electrónico para recibir un recordatorio mensual de las prácticas antihigiénicas). Las fallas que llevaron al pirateo de Honan no se enumeraron en un repositorio central en tiempo real para que otros accedan libremente.

Con ese fin, sugiero que se cree una base de datos similar de hazañas de ingeniería social para delinear las fallas que resultan de la manipulación humana. Al identificar y detallar exactamente cómo los adversarios han roto o pueden romper el muro entre las personas y las máquinas, la industria en general puede comenzar a eliminar los malos hábitos y establecer las mejores prácticas. Esta compilación no resolverá todos los problemas, pero mostrará a los pares de la industria dónde se encuentran las vulnerabilidades y, con suerte, los inducirá a actuar.

Durante décadas, los profesionales de la ciberseguridad han reconocido y lamentado el hecho de que los seres humanos son la principal razón por la que sus sistemas se vuelven vulnerables a los ataques. Sin embargo, la industria y los gobiernos continúan construyendo sistemas que ponen la carga sobre el personal de primera línea, mientras no logran rastrear y actualizar las formas en que las personas se vuelven vulnerables. Eso debe cambiar y tal vez este truco de Robinhood sea el catalizador para que esto suceda.