La ciberseguridad es una parte muy importante de cualquier empresa multinacional. O esta es la teoría. Decimos esto, porque un investigador de seguridad ha conseguido entrar dentro de los sistemas de las mayores compañías que existen en el mundo incluyendo Apple, Micrsoft o PayPal. Esto sin duda es un duro golpe que se ha realizado a través del software que sin duda las empresas no olvidarán y tratarán de parchear. En este artículo te contamos todos los detalles al respecto.
Apple y otras empresas en riesgo de hackeo
El investigador de seguridad Alex Birsan ha hecho público este problema de seguridad a través de su blog en Medium. En este afirma que aprovechó una vulnerabilidad en el software de código abierto de los ecosistemas de ciertas empresas como son Apple, Microsoft, PayPal, Shopify, Netfix, Yelp, Tesla y Uber. A través de este ataque el investigador pudo introducir código malicioso dentro del ecosistema. Esto hizo que las víctimas seleccionadas recibieran un paquete de malware sin necesidad de ingeniería social. Es decir, no ha hecho falta meter un enlace en un mail de pishing para poder hacerse un hueco en sus dispositivos. Simplemente introduciendo un malware en la parte de código abierto, accesible a todo el mundo, ha demostrado una vulnerabilidad bastante importante.
A través de este ataque pudo llegar incluso a las cadenas de suministro de software. Ya que pudo comprobar que al introducir diferentes proyectos en la parte de código abierto de una empresa esta extraía automáticamente paquetes de dependencia pública sin ningún tipo de control. Esto hace que pueda ser realmente sencillo, siempre que tengas los conocimiento, atacar a las entrañas de empresas importantes. Como decimos, la metodología utilizada la explica en detalle en su blog que hemos comentado anteriormente. Pero con estos procedimientos se puede observar lo fácil que puede llegar a ser encontrar un error de seguridad si se busca. Esto hace que la seguridad no exista al 100% y obviamente las empresas lo recompensan.
Microsoft y Apple recompensan por este fallo de seguridad
Como es lógico este investigador de seguridad no ha hecho público el error al momento de descubrirlo. Es por ello que si buscas replicarlo, será realmente complicado. Lo que hacen estos investigadores de seguridad es comunicarse con las empresas atacadas para informar del fallo con un tiempo prudencial antes de hacerlo público con el objetivo de que se pueda parchear cerrando el agujero de seguridad. Pero esta información no se ofrece de gratis sino que estas empresa tienen planes para poder recibir estos informes de seguridad.
Con esta información el investigador puede ganar bastante dinero. En concreto Microsoft a través de su programa le ofreció un total de 40.000 dólares. Algo similar ocurre con Apple a través del Apple Security Bounty da través del cual la compañía se ha comprometido a recompensarle. En total de todas las empresas que hemos comentado anteriormente el investigador ha reportado un ingreso extra de 130.000 dólares haciendo su propio trabajo.