El pasado miércoles 21 de octubre, la compañía de telecomunicaciones basada en Reino Unido TalkTalk afirmó que sufrió un "significativo" ciberataque, como resultado del cual contactó a sus cuatro millones de clientes para informarles que su información podría estar en peligro. Pero hoy, cinco días después, todavía no está claro qué pasó exactamente y cuál es el impacto real.
La última novedad sobre el caso, publicada hoy en el centro de prensa de la compañía, es que la Policía Metropolitana de Londres, encargada de la investigación tras el incidente, arrestó a un hombre conectado al ciberataque. Sin embargo, las diversas declaraciones de Dido Harding, CEO de TalkTalk, no terminan de explicar los acontecimientos.
¿Cómo se originó la brecha?
En lo que respecta al escenario de ataque, primero dijo que su empresa había sido víctima de un ataque distribuido de denegación de servicio (DDoS), lo que implicaba que su sitio web había sido bombardeado con olas de tráfico que lo dejaron fuera de servicio. Pero esa nunca fue una explicación lógica para saber cómo fue que los atacantes robaron información bancaria de los clientes, ya que un DDoS simplemente deja inactivo un sitio impidiendo que se procesen las solicitudes de usuarios, pero no implica una intrusión a un sistema interno ni a los datos almacenados en la red.
Luego, Harding se refirió a un "ataque secuencial" ("sequential attack"), pero lo cierto es que quiso referirse a una inyección SQL. Ante la confusión y la clara falta de conocimiento respecto a cómo se originó la brecha, algunos especialistas llegaron a la conclusión de que el ataque DDoS debía haber sido la fachada de algo subyacente, un segundo ataque que, por detrás, intentó robar los datos.
Wim Remes, gerente de servicios estratégicos para EMEA en Rapid7, la firma detrás de la herramienta de pruebas de penetración Metasploit, explicó a The Register:
La táctica de inundar una aplicación con tráfico para ocultar el ataque real que está sucediendo al mismo tiempo es muy común hoy en día. Distrayendo al objetivo, el atacante gana tiempo para enfocarse en los activos que realmente está buscando.
¿Estaba protegida la información de los clientes?
Si bien Dido Harding afirmó en un principio que "todos los sistemas estaban tan seguros como podían estarlo", reconoció que no toda la información de sus clientes estaba cifrada.
En una entrevista con el Sunday Times, dijo que su compañía no tiene la "obligación legal" de cifrar datos sensibles de los clientes, tales como sus detalles bancarios. Según la ejecutiva, el problema (es decir, que criminales roben dinero o vacíen cuentas) se daría solo si los clientes revelan información adicional a criminales que intenten engañarlos por teléfono, correo elecrónico o SMS en clásicos scams.
En uno de los videos (disponibles con subtítulos en inglés) que TalkTalk publicó, Harding explica que es probable que se hayan visto comprometidos los números de cuentas bancarias y códigos de clasificación, "los mismos que encontrarías impesos en un cheque", pero que "sin más información, los criminales no pueden usarlos para tomar dinero de tu cuenta bancaria".
"Cualquier información de tarjetas de crédito que pueda haber sido robada tiene los seis dígitos del medio distorsionados, y no puede ser usada para transacciones financieras", afirmó.
Entonces, ¿qué sabemos hasta ahora?
Dentro de los hechos publicados por TalkTalk, al menos estos cinco son indicativos del estado de la investigación:
- El ataque afectó al sitio web y no a los sistemas internos
- No se almacenaban detalles de tarjetas de crédito en el sitio, y los que hubieran sido robados están incompletos, por lo que no pueden ser usados - a menos que el propio cliente ayude a un criminal a completarlos.
- Las contraseñas de "My Account" no fueron robadas, aunque se recomienda cambiarlas a modo preventivo
- La cantidad de información comprometida es menor de lo que se creía originalmente
- La Policía Metropolitana continúa la investigación criminal
¿Y qué es lo que no sabemos?
Aún resta que se respondan otros interrogantes y se clarifiquen algunas cuestiones, como por ejemplo el rescate extorsivo que se le exigió pagar a Dido Harding. El periodista Brian Krebs dijo que una fuente le informó sobre una demanda de 80 mil libras por parte de un grupo de criminales; como evidencia de haber sido los autores del ataque, proporcionaron una muestra de las tablas de datos de TalkTalk.
Por otro lado, una aclaración respecto a cuál fue realmente la puerta de entrada para los atacantes tampoco vendría mal, así como una estimación de qué información fue robada y en qué medida.
En medio de todo esto, las contradicciones y ambigüedades en el discurso de Dido Harding muestran a una persona al frente de una compañía que no tiene en claro el estado de la gestión de la seguridad en la misma, ni los detalles del incidente del que fue víctima.
Entre tanto, se le recomendó a los clientes "estar alertas" ante un posible uso fraudulento de sus cuentas bancarias, cambiar sus contraseñas de My Account y de todos los sitios en donde esta se repitiera, y evitar brindar información personal adicional a actores que se comuniquen por vías externas.