He visto que muchas empresas tienen ciertas dificultades para entender o aplicar algunos conceptos de protección porque no hay una comprensión clara de los tipos de riesgos a los que estarían expuestos.
El uso de dispositivos desconocidos en equipos en el entorno corporativo, es uno de ellos y la principal causa de esta no asimilación de conceptos se debe a la incredulidad: las personas no son conscientes de que algunos dispositivos maliciosos sean en realidad una amenaza debido a la* romantización *que estos artefactos han ganado en películas y series.
El propósito de este artículo es principalmente desmitificar este concepto de que “esto solo sucede en películas”, ya que estos dispositivos son en realidad muy accesibles y alguien con intenciones maliciosas podría usarlos como parte de la estrategia de compromiso.
A continuación, te cuento algunos ejemplos de gadgets que cualquier persona puede adquirir, pero el universo de los gadgets es más amplio e incluso existen algunos que son creados por los delincuentes para cumplir con fines específicos.
El primer lugar de la lista lo ocupan dos de las herramientas que considero extremadamente versátiles y que pueden traer daños importantes al host o incluso a todo el medio ambiente.
A simple vista ambos dispositivos se asemejan a memorias USB, pero las similitudes terminan ahí, empezando por el Rubber Ducky, uno de los primeros dispositivos desarrollados con este enfoque, es capaz de emular un dispositivo de interfaz humana (HID) como un teclado para que el sistema sobre el que actuará considere que es confiable y acepte sus interacciones.
El dispositivo, que debe estar configurado previamente para realizar ciertas acciones, fue creado para ayudar a los pentesters y profesionales de la seguridad a automatizar tareas y realizar análisis de entornos, pero, al igual que ocurre con otras buenas herramientas, se puede utilizar de forma maliciosa.
Bash Bunny, por su parte, es la evolución de Rubber Ducky, manteniendo la característica de ser reconocido como un dispositivo confiable por el sistema, pero con capacidades aún mayores, teniendo la posibilidad de cargar dos ataques previamente configurados, además de la posibilidad de acceder al modo de administración de la herramienta.
A diferencia de su antecesor, cuenta con la posibilidad de exfiltrar datos directamente a la memoria interna de Bash Bunny, ya que soporta el almacenamiento a través de una tarjeta MicroSD, además de realizar diversos tipos de ataques de forma más rápida debido a que cuenta con un hardware más robusto y enfocado para estas actividades.
Notas: Todas las posibilidades de scripting presentes en Rubber Ducky también están disponibles en Bash Bunny. Ambos dispositivos tienen la capacidad de exfiltrarse a un dispositivo externo, como una memoria USB o un disco duro externo, si los ataques se dirigen a archivos de mayor tamaño.
Entre las posibilidades que ofrecen las herramientas se encuentran la instalación de software malicioso, la creación de usuarios o la creación/habilitación de servicios para la persistencia, la recopilación de información y varias otras posibilidades.
Siguiendo la línea de dispositivos extremadamente funcionales y ocultos se encuentran los cables O.MG.
Visualmente, no difieren en absoluto de los cables utilizados para la recarga de teléfonos inteligentes y tienen muchas funciones disponibles para entornos comprometedores.
Desde mi punto de vista estos cables tienen tres diferenciales muy significativos, no levantan ninguna sospecha, la propia víctima puede pedir el uso del cable malicioso y se puede gestionar de forma remota.
Así es, el cable permite ser controlado de forma remota a través de una página web, permitiendo enviar comandos en tiempo real o cambiar algún parámetro si es necesario.
Puede funcionar de forma similar a Rubber Ducky y Bash Bunny, ejecutando scripts previamente preparados, además de tener la posibilidad de actuar directamente como keylogger si se inserta directamente en la comunicación del teclado.
Nota: Los cables O.MG tienen conexiones a todas las entradas principales presentes en los teléfonos inteligentes en el momento de escribir este artículo.
Hace un tiempo escribimos sobre algunas de las posibilidades presentes en Flipper Zero, una de las herramientas que se ha hecho viral en la comunidad de seguridad por contener varios tipos de herramientas en un solo dispositivo.
El dispositivo tiene la capacidad de interactuar con varios tipos de comunicación inalámbrica, además de la posibilidad de conectar un cable USB para otro tipo de interacción. El propósito de la herramienta es permitir el desarrollo o mejora de los recursos disponibles para el medio ambiente, pero debido a que tiene tantas posibilidades, la herramienta también se ha distorsionado.
Entre las posibilidades, el dispositivo puede permitir el acceso a lugares restringidos, controlar de forma remota varios tipos de dispositivos, clonar TAGS RFID e incluso ejecutar scripts del mismo tipo que los ejecutados por los dispositivos anteriores, lo que también aumenta significativamente el abanico de opciones disponibles para la herramienta.
Por último me gustaría traer son las tarjetas de red wifi, las herramientas más famosas en este medio son las tarjetas Alpha porque llevan mucho tiempo en el mercado y son muy utilizadas para pruebas de penetración en redes wifi.
En el caso específico de estas tarjetas de red, lo que realmente importa es el chipset que tiene, porque es el que permite el cambio del modo de funcionamiento, siempre y cuando una tarjeta de red Wi-Fi tenga un chipset que permita el modo “Monitor”, tal es el caso de una placa de red TP-Link que se puede adquirir en cualquier país de la región.
Las tarjetas de red con esta capacidad, si se usan correctamente, pueden identificar y realizar interacciones maliciosas, incluso para redes supuestamente ocultas (que no revelan su SSID).
Entre las interacciones maliciosas más comunes se encuentra el ataque que deja caer dispositivos ya conectados a la red Wi-Fi para monitorear su nueva autenticación y así robar la clave para descifrarla. Otros ataques conocidos son Rogue AP y Evil Twin.
Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/seguridad-corporativa/3-gadgets-traer-problemas-seguridad/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
Visítanos en:
@ESETLA /compay/eset-latinoamerica /esetla /ESETLA /@esetla
Acerca de ESET
Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo.
Acerca de Videosoft | ESET Uruguay
VideoSoft representa y distribuye de forma exclusiva en Uruguay los productos de ESET, formando así el nodo ESET Uruguay. Con más de 20 años dedicados al área de la informática, la experiencia de VideoSoft en el tema de los virus de computadora es avalada por la creación del portal VSAntivirus, que desde hace 16 años obtiene importante reconocimiento a nivel mundial con decenas de miles de visitas diarias. Es así que a la hora de ofrecer la mejor protección con el mayor rendimiento en el tema de software de seguridad, su gran entendimiento en la materia, llevó a la empresa a inclinarse decididamente hacia NOD32.
ESET es representado y distribuido de forma exclusiva por VideoSoft desde el año 2004.
Por más información, visite www.eset.com.uy
