Ataque a RSA

A mediados de marzo de 2011, se dieron reportes de distintos ataques a empresas que mantenian un acuerdo con la empresa RSA para gestionar la seguridad de la información.

De acuerdo con los reportes emitidos por RSA en junio de ese mismo año, la vulnerabilidad radicaba en el dispositivo SecurID, el cual es un token que permite brindar un servicio de autenticación de dos pasos.

En el caso de los bancos es ampliamente utilizado como sistema de seguridad para evitar los llamados fraudes electrónicos, en donde si al usuario le roban la contraseña de su cuenta en Internet los ladrones no pueden hacer nada mientras no cuenten con la llave electrónica (responsable de generar un número aleatorio cada 60 segundos y que también es conocida como token).El proceso con el cual se dió lugar a los ataques fue más o menos de esta manera:

1. Se envía un email a los directivos de la empresa que contiene un archivo de Excel que contiene un exploit 0-day (desconocido hasta el momento) que utiliza una vulnerabilidad de Adobe Flash (CVE-2011-0609) para instalar una puerta trasera en los equipos de los “incautos” que lo han abierto.
2. Los atacantes, a través de la puerta trasera, instalan una herramienta de control remoto.
3. Durante un largo periodo de tiempo, los atacantes van accediendo a servidores de la empresa y van robando datos de interés.
4. Finalmente se hacen con los archivos “semilla” para los tokens de One-Time Password que RSA comercializa.
5. El robo de los archivos "semilla" permite clonar los tokens OTP, lo que permitiría incapacitar la seguridad de dos pasos.

Después de que el ataque fue descubierto, RSA se dedicó a reemplazar todos los 40 millones de tokens SecurID que habia puesto a disposición de sus contratistas.

Fuentes:

https://blog.segu-info.com.ar/2011/06/sobre-el-ataque-rsa-y-lockheed-martin.html

https://www.helpnetsecurity.com/2011/06/07/rsa-admits-securid-tokens-have-been-compromised/https://hipertextual.com/2011/03/en-riesgo-mas-de-40-millones-de-usuarios-de-banca-electronica