Saltar al contenido
Blog Tecnología

Investigador de ciberseguridad hackeó 35 grandes cajas, incluidas Apple, Microsoft, Paypal, Tesla y Netflix

febrero 28, 2021

Los piratas informáticos siguen innovando, lo que hace que incluso los sistemas de seguridad informática más potentes sean cada vez más vulnerables. Afortunadamente, en el lado bueno, también están los investigadores de ciberseguridad que están haciendo todo lo posible para intentar adelantarse a los piratas informáticos.

Precisamente, uno de ellos, Alex Birsan, recientemente encontró una falla en 35 grandes firmas, a vulnerabilidad que los piratas informáticos podrían haber utilizado en su beneficio. Entre las empresas afectadas, hay manzana, Microsoft, Netflix, Shopify y muchos otros. Tenga en cuenta que estos gigantes ni siquiera se dieron cuenta de este incidente.

Créditos de Pixabay

Birsan, en particular, explotó un debilidad insospechada en programación como parte del proceso de actualización de software. Y tras la señalización de esta falla, las empresas advirtieron afirmado que el método de pirateo de Alex Birsan era hermoso y muy efectivo. Un trabajo, que permitió evitar un posible hackeo, y que le valió una recompensa a este investigador de ciberseguridad.

Una técnica improbable, pero particularmente efectiva

Para el correcto funcionamiento de su software y aplicaciones, cada una de estas empresas necesita realizar actualizaciones. Durante el proceso, archivos específicos, paquetes específicos entre otros, son imprescindibles. Y es esta adicción la que Alex Birsan explotó para su experiencia.

Si bien esas 35 cajas grandes crean los paquetes necesarios internamente, Birsan intentó un enfoque poco probable. Después de identificar estos paquetes famosos, el investigador de ciberseguridad los falsificó y luego les asignó nombres idénticos a los originales (como sobre el nivel del mar, usado en PayPal). Posteriormente, Birsan los publicó en repositorios fuente abierta.

Y para su sorpresa, esta técnica, a la que llamó confusión de dependencia, caminó. De hecho, sin darse cuenta, los servidores de actualización de software de los gigantes mordieron el anzuelo, lo que permitió a Alex Birsan descargar sus archivos falsos.

Las empresas interesadas obviamente recompensaron al investigador

Tras la notificación de este error de configuración, que aún podría haber resultado en hacks a gran escala, las empresas interesadas atribuyeron una recompensa de 130 000 $ a Alex Birsan.

Por lo tanto, esta falla hizo que los servidores de estas cajas fueran particularmente vulnerables durante las actualizaciones. Dicho esto, este método seguramente no es el único lo que permitirá a un pirata informático explotar una debilidad en la programación del servidor, según Birsan. Por tanto, es fundamental seguir investigando para estar siempre por delante de los piratas informáticos.