1

Black Hat 2012: Donde nadie quedó a salvo en materia de seguridad

Los habitantes del mundo digital se sienten menos seguros tras el cierre de Black Hat 2012. Durante la edición estadounidense de esta reconocida conferencia de seguridad, se revelaron brechas en los terminales de venta, en móviles NFC y en escáneres del iris, entre otros. Aquí repasamos algunas de las revelaciones más destacadas del evento.

Los participantes en el evento de seguridad Black Hat 2012 USA, del 21 al 26 de julio en Las Vegas, que se quedaron en el hotel de la conferencia, seguro que encontraron interesante la presentación del desarrollador de software de Mozilla, Cofy Brocious, quien demostró un dispositivo hecho a mano con menos de 50 dólares que permitía abrir las habitaciones del hotel.

El gadget es similar a los que los hoteles utilizan para programar las cerraduras y aceptar tarjetas maestras, si bien solo funciona con las cerraduras hechas por Onity, y lo hace un tercio de las ocasiones en las que se intenta abrir. Con todo, cabe señalar que hay entre 4 y 5 millones de habitaciones de hotel en el mundo con este tipo de cerradura con las que experimentar.

Seguridad biométrica

También durante Black Hat vio socavada la confianza en un sistema biométrico para la autenticación de identidad altamente seguro. Investigadores españoles mostraron cómo podían crear una imagen del iris del ojo de una persona. En las pruebas con un sistema de reconocimiento comercial, se engañó al escáner del iris un 80 por ciento de las veces, según el equipo de la Universidad Autónoma de Madrid. En el pasado ya se habían hecho imágenes falsas del iris, pero es la primera vez que el iris de una persona real se ha duplicado con datos capturados del propio ojo.

Cuando Google introdujo Bouncer en su tienda de aplicaciones online, Google Play, se creyó que la tecnología limpiaría las aplicaciones infectadas con malware en toda la tienda. Pero Trustwave puso esta afirmación en duda durante Black Hat. La compañía demostró cómo, mediante el uso de sofisticadas técnicas de enmascaramiento, se podía colar una aplicación perniciosa bajo el radar de Bouncer y campó a sus anchas por Google Play durante dos semanas antes de que los investigadores la eliminaran.

Las aplicaciones maliciosas, sin embargo, no son las únicas que husmean en los datos almacenados en los smartphones, según un estudio de Appthority publicado en el marco de Black Hat, que señalaba que el 96 por ciento de las aplicaciones iOS y el 84 por ciento de las diseñadas para Android eran capaces de acceder a información sensible de un smarpthone, como contactos, localización y datos del calendario.

Atención a la seguridad móvil

También el comercio electrónico fue objeto de los técnicos de investigación durante Black Hat. Un par de investigadores demostró durante el evento una tarjeta de pago que habían diseñado para infectar un terminal de punto de venta cuando se pasada por el dispositivo. La tarjeta introducía en el terminal un troyano que recopilaba información de tarjetas de crédito y números de PIN. Esa información podía ser luego extraída del terminal con otra tarjeta maliciosa. Los investigadores también mostraron cómo las vulnerabilidades encontradas en el terminal podían usarse para engañar a los dependientes y llevarles a pensar que una compra había sido aprobada por el banco cuando en realidad no lo era.

Las comunicaciones NFC, empleadas para transacciones financieras en los móviles, también atrajeron la atención de los investigadores de Black Hat. Charlie Miller, de Accuvant, mostró cómo un tag incluido en un chip NFC podía utilizarse para comprometer la información de un teléfono Aldroid con solo rozarlo.

Una de las tradiciones de Black Hat es el premio Pwnie Awards, que reconoce los logros y fallos durante los 12 meses anteriores al evento. Uno de los ganadores de este premio fueron los creadores del software Flame, que desarrollaron un esquema que usaba Windows Update para enviar malware a las PC. Obviamente, los creadores de Flame no aceptaron el premi

También noticia en el Black Hat de este año ha sido la aparición de Apple como ponente de la feria. La presentación, sin embargo, no dejó buen sabor de boca. Tras fusilar la información que Apple publicó en mayo sobre la seguridad de iOS, el director de seguridad de plataformas Apple se marchó de la sala sin contestar preguntas.

Lucian Constantin CIO EE.UU.

 

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.