Notas del programa del episodio
Este podcast fue creado originalmente en inglés y ha sido traducido al español para su disfrute. Las voces que escucharán son las voces de los traductores.
JACK: ¿Alguna vez te ha fascinado la cadena de suministros de delitos cibernéticos? Nunca es un hacker solo el que lo hace todo; sino que es como una cebolla con muchas capas. Digamos que un pirata informático irrumpe en un lugar y roba un montón de información de alguna empresa. Bueno, a continuación, normalmente querrá vender esos datos para ganar algo de dinero y volver a hacerlo, así que ahora tienes que encontrar un comprador. Pero antes de que lleguemos al comprador de los datos robados, a veces hay intermediarios involucrados, personas que han negociado acuerdos entre piratas informáticos y compradores. Entonces, puede ir a uno de estos brokers y ofrecer un porcentaje del beneficio por vender la base de datos a alguien. Ahora depende de ellos encontrar a alguien.
Pero cuando el broker encuentra un comprador, a veces una de las partes no confía en la otra, por lo que traen a un tercero de confianza, un agente de custodia clandestino, por así decirlo, que esperará tanto el dinero efectivo como la base de datos y luego realizará el intercambio. Bien, pero ¿qué hace el comprador con esta descarga de la base de datos? Bueno, si es de direcciones de correo electrónico, es posible que lo utilicen para enviar spam. Pero, por supuesto, el spammer no vende nada por sí mismo. Por lo general, están promocionando el negocio de otra persona; un sitio web pornográfico o una farmacia. Es simplemente fascinante para mí pensar en eso a veces. Nunca se trata de la violación de datos en sí, sino de lo que sucede con esos datos después de su robo.
(INTRO): [INTRO MÚSICA] Estas son historias reales del lado oscuro de Internet. Esto es Darknet Diaries en Español. [MÚSICA DE LA INTRODUCCIÓN TERMINA]
JACK: Estoy seguro de que todos saben qué es LinkedIn, ¿verdad? Es la red social para profesionales. Prácticamente abres tu cuenta publicando tu currículum de dónde trabajaste y qué hiciste allí. Puedes utilizar esta red social para buscar trabajo y conectar con otros profesionales de su campo. Es bastante popular en los Estados Unidos. En 2012, una persona quería piratear LinkedIn y obtener la mayor cantidad de datos de usuarios que pudiera, pero ¿cómo va a entrar en la red de LinkedIn? Se trata de una importante empresa de Silicon Valley creada por ingenieros y administradores muy hábiles. Sin duda, seguirían las mejores y más modernas prácticas para proteger la red haciendo cosas como proteger la puerta de entrada a la red colocando un gran firewall para bloquear la incursión de todo el tráfico no crítico e inspeccionarlo en busca de actividad maliciosa. Luego, realizarían auditorías de seguridad en todos los sistemas conectados a Internet para asegurarse de que no hubiera agujeros de seguridad.
Por supuesto, ejecutarán herramientas de monitoreo de última generación y herramientas antivirus para detectar cualquier intrusión. Ellos lo hicieron así; las puertas de entrada de la red de LinkedIn eran herméticas. Entonces, el hacker tendría que encontrar otra forma de entrar. [MÚSICA] Él (o ella) sabía que los ingenieros de LinkedIn tenían acceso a la red corporativa a distancia. Quiero decir, hoy es obvio que muchas empresas tienen empleados remotos, pero en 2012 ya había empleados de LinkedIn que tenían acceso remoto a la red. Es decir, no tenían que estar físicamente en la oficina para acceder a la base de datos u otros sistemas críticos. Entonces, el hacker se propuso averiguar exactamente cómo algunos ingenieros obtenían acceso remoto a la red. Concluyó que debían ingresar a través de una VPN. Una VPN es una forma de conectarse de forma segura a una red remota. El tráfico se cifra desde el lado de la red corporativa hasta la computadora del usuario, en cualquier lugar del mundo. Solo es eso; si hay una puerta de entrada trasera solo para empleados, también significaría que el pirata informático podría intentar penetrar a través de ella.
Así, el hacker comienza a buscar en el sitio web de LinkedIn a personas que trabajaban allí; ingenieros, administradores de sistemas, cualquiera que pueda tener acceso a esa VPN. Entonces, buscó en la red auna víctima que, dicho sea de paso, esta es la razón por la que no me gusta publicar mi información en LinkedIn, porque puedes buscar fácilmente a todas las personas que trabajan en una empresa específica y luego averiguar quiénes son los administradores allí, que probablemente están publicando cosas como “Oh, se me dan bien gestionar los firewalls de Cisco y las bases de datos de Oracle”, e incluso podrían estar publicando en qué versiones de Oracle son buenos, lo que es una pista para que cualquier pirata informático sepa qué esperar una vez entre. Pero lo que esto significa es que es bastante fácil encontrar un objetivo y limitar la búsqueda con solo mirar quién está en LinkedIn. Este pirata informático encontró a un ingeniero de LinkedIn que probablemente tenía acceso VPN remoto, así como acceso a la base de datos interna, y el hacker se centró en este tipo. [MÚSICA] El hacker vio el perfil de LinkedIn de este ingeniero y en su perfil había una URL a su web personal. Básicamente, era una dirección del tipo “nombre del ingeniero punto com”.
El hacker fue a esta web para comprobarlo. Era solo un blog básico del tipo “Sobre mí”. Decía “hola, soy un ingeniero de confiabilidad en LinkedIn y estos son mis hobbies y cosas”. El hacker hurgó un poco por aquí, pero no pudo encontrar nada que explotar. Pero vio dónde estaba alojado el sitio y estaba alojado en una dirección IP residencial. Hm, parecía que este ingeniero de confiabilidad de LinkedIn estaba [00:05:00] ejecutando un servidor web desde su casa. Esto significa que hay puertos abiertos desde Internet a sus computadoras. El hacker pensó “bien, hm, si puedo entrar en la computadora de casa de este ingeniero, esto podría darme una forma de entrar en LinkedIn”. Entonces, miró para ver si había otros sitios web también alojados en esta dirección IP, y encontró uno llamado “cockeyed.com” Miró en esta web y era es un sitio web mucho más grande, tipo blog. Cockeyed.com era una web administrada por un amigo de este ingeniero. Simplemente lo alojaba para él. Había videos de bromas e imágenes, era un blog, básicamente. Pero este sitio fue construido usando el lenguaje PHP como tecnología de back-end.
El pirata informático comenzó a buscar formas de explotar este sitio. Encontró una manera de subir archivos al sitio y cargó un par de archivos PHP maliciosos. Uno se llamaba específicamente madnez.php. Ahora, si un pirata informático puede cargar su propio programa PHP en su sitio web y hacer que ese programa se ejecute, entonces el hacker puede controlar la computadora que aloja a la web, porque cuando te metes a ver el archivo a través de un navegador, se ejecutará cualquier código que esté en ese programa PHP, y se puede configurar para que le dé al hacker acceso remoto a esa computadora. Eso es exactamente lo que hizo este archivo. El pirata informático obtuvo acceso directo al sitio web cockeyed.com, que estaba alojado en el mismo lugar donde estaba alojado el blog personal de este ingeniero de LinkedIn. Una vez que ingresó al servidor web, comenzó a buscar otras IP de la red y encontró una, una computadora iMac. Descubrió que este iMac tenía un puerto SSH abierto que permite a las personas conectarse a ese iMac. Entonces, comenzó a intentar iniciar sesión a fuerza bruta en ese iMac. Para el nombre de usuario, usó la primera inicial y el apellido del ingeniero de LinkedIn y comenzó a martillar, probando miles y miles de contraseñas, buscando una que funcionara. Todo esto sucedió en febrero de 2012.
Durante días, este servidor web estuvo atacando el iMac, todo dentro de la casa de este ingeniero sin que el ingeniero lo supiera. Después de varios días probando miles de contraseñas, una funcionó. [MÚSICA] Obtuvo un nombre de usuario y contraseña válidos, con lo que el hacker se conectó a ese iMac con esto y miró qué había. Primero se dio cuenta de que se trataba del iMac personal de una persona. No es una computadora de LinkedIn ni siquiera una computadora de trabajo oficial. Luego descubrió que el servidor web en el que entró se estaba ejecutando en este iMac. Sí, en realidad se estaba ejecutando en una máquina virtual en el iMac y me parece fascinante porque, en esencia, la máquina virtual era lo único expuesto a Internet, pero el pirata informático entró en la máquina virtual y luego en la computadora que lo alojaba desde allí. Es fascinante para mí porque esto no debería suceder, pero la forma en que lo hizo fue a través de la interfaz IP virtual. Siempre me pregunto cómo es posible escapar de una máquina virtual a la computadora que lo aloja, y aquí hay un ejemplo de cómo un hacker lo hizo.
Después de buscar por el iMac por un tiempo, el hacker se topó con las llaves del reino. Literalmente; encontró una clave privada de LinkedIn. Esta era la clave que el ingeniero utilizaba para iniciar sesión en LinkedIn. Mira, cuando inicias sesión en ciertos sistemas, puedes usar un nombre de usuario y una contraseña, pero otra opción es usar claves públicas y privadas, donde la clave pública se coloca en el servidor al que necesitas acceder y tu clave privada está en tu propia computadora. Así que cuando te conectas al servidor, te autenticas usando las claves. Todo esto se hace automáticamente y le evita tener que escribir contraseñas. Pero cuando el hacker vio la clave privada, la agarró de inmediato. Pero, ¿a dónde se conecta esta clave privada? Bueno, el hacker tuvo que buscar un poco más para averiguarlo, y fue entonces cuando encontró un conjunto de perfiles de VPN que permitieron que el iMac de esta persona se conectara a LinkedIn. El perfil contenía todo lo que necesitaban para conectarse; el nombre del servidor, la dirección IP, el nombre de usuario.
Lo único que faltaba era la clave privada que acababa de obtener el pirata informático. [MÚSICA] El hacker tomó este perfil de VPN y sus credenciales y se conectó directamente al servidor de VPN de LinkedIn. Ahora, aquí es donde el hacker cometió un gran error. [00:10:00] Hizo esta conexión a LinkedIn desde su casa en Moscú, Rusia. LinkedIn está en California. Bueno, no había nada que detuviera esta conexión que venía de Moscú, así que simplemente entró. Desde aquí, pudo encontrar su camino en la red, buscando la base de datos de usuarios, y la encontró. Pudo iniciar sesión y obtener el nombre de usuario, el hash de la contraseña y las direcciones de correo electrónico de tantos usuarios de LinkedIn como pudo. Después de eso, se desconectó y desapareció. LinkedIn acababa de ser violada, pero aún no lo sabían y no lo descubrirían hasta pasados 3 meses. El primer momento en que LinkedIn se enteró de esto fue a través de un foro llamado insidepro.com. Este era un foro criminal clandestino donde se podía comprar y vender datos robados de piratas informáticos. Alguien estaba ofreciendo datos de usuario de LinkedIn a la venta allí.
El equipo de LinkedIn vio esto e inmediatamente pasó a la acción. [MÚSICA] Primero, necesitaban verificar que los datos que se vendían en línea fueran datos reales de usuarios de LinkedIn. Compararon lo que había en esa base de datos de muestra con su propia base de datos y, efectivamente, los hashes coincidían. El horror y el miedo que se siente al confirmar que acaba de ser hackeado, es indescriptible. Ahora, la respuesta de LinkedIn para algo como esto es un proceso de cuatro pasos. Primero, confirma, contiene, corrige y realiza una autopsia. Sencillamente confirmaron que efectivamente había habido una filtración de la información. Lo siguiente es contener el problema. ¿Sigue el pirata informático en la red? ¿Qué robaron? ¿Cómo entraron? ¿Podemos impedir que vuelvan a entrar? Todas estas preguntas necesitaban respuestas inmediatas. Los ingenieros y el equipo de seguridad de LinkedIn se hicieron con una sala de conferencias y la llamaron Sala de guerra. Algo así como de 40 a 60 personas de LinkedIn estuvieron trabajando en este incidente. Incluso vinieron desde países extranjeros para ayudar. Hicieron que el equipo de seguridad participara en la búsqueda de eventos y registros, en busca de pruebas. Tenían SRE, o ingenieros de fiabilidad de sistemas, y revisaron los sistemas en busca de rastros de actividad no autorizada, en presencia de abogados.
Su director jefe de seguridad de Internet estaba presente y activo, haciendo todo tipo de triaje. Otros ejecutivos también estaban en la sala porque esto era lo más importante que estaba sucediendo en LinkedIn en aquel momento. El ambiente era intenso. La primera pista que obtuvieron fue de los registros de VPN. El equipo de seguridad de LinkedIn vio que uno de sus ingenieros con sede en California había iniciado sesión en la VPN desde Moscú en numerosas ocasiones. Entonces, lo llamaron para preguntarle. Oye, ¿has estado en Rusia últimamente? No. ¿Usaste algún tipo de proxy ruso últimamente? No. ¿Le dio a alguien en Rusia sus datos de inicio de sesión? No. El equipo de seguridad iba por buen camino. Esta fue una pista importante. Descubrieron que este ingeniero se había estado conectando a la red corporativa desde su iMac doméstico y supongo que probablemente ello no estaba permitido. Pero el equipo de seguridad le pidió que trajera ese iMac para examinarlo. En realidad, retrocedamos un mes. Entonces, un mes antes de que LinkedIn siquiera supiera que esto sucedió, el hacker estaba revisando la base de datos que robó. Contenía direcciones de correo electrónico, nombres de usuario y hashes de contraseñas.
Un hash no es la contraseña en sí; sino una representación de la contraseña después de que pase por un algoritmo. En otras palabras, el hacker no pudo ver la contraseña de nadie entre este montón de datos. Pero el pirata informático quería encontrar una manera de descifrar estas contraseñas, por lo que publicó algunos de los hashes en un foro pidiendo ayuda para descifrarlos. Cuando LinkedIn investigaba esto, vieron esa publicación antigua que coincidía con los hashes que estaban en su base de datos. La situación empeoraba para LinkedIn. Ahora están viendo que el hacker está tratando activamente de descifrar los hashes de los usuarios. Desafortunadamente para LinkedIn, todavía no estaban descifrando los hashes de sus contraseñas. Saltear hashes de contraseñas es un paso adicional que debe realizar para hacer que descifrar el hash sea aún más difícil. Estaban en ello, pero cuando tienes cientos de millones de usuarios, no es fácil hacerlo. [MÚSICA] En LinkedIn, tienen diferentes designaciones para la gravedad de un incidente. El código amarillo es algo que representa algún tipo de riesgo técnico, como un servidor que se ejecuta por encima de su capacidad o que no están seguros de cómo escalarlo correctamente, o una degradación del servicio que no está causando una interrupción completa pero que podría hacerlo en cualquier momento.
Los códigos amarillos allí ocurren cada pocos meses más o menos, pero cuando el equipo de LinkedIn investigó esto, determinaron que este incidente era un código rojo, lo que significa que tuvo un impacto comercial y, debido a que ya estaban viendo datos de usuarios filtrados a Internet, significaba que esta amenaza era real y podría en cualquier momento el filtrado de la base de datos de LinkedIn se podría revelar al mundo. Creo que en ese momento solo estaba disponible para quien lo comprara y no estaba disponible de forma gratuita para que cualquiera lo viera. Esto crea un momento tenso y aterrador para cualquier equipo de seguridad; sin saber [00:15:00] qué o cuánto robaron o qué planean hacer los ladrones con ello. Aquí hay un alto nivel de ansiedad, especialmente porque esto ya estaba llegando a medios de comunicación que anunciaban este hack al mundo. Muchos equipos diferentes estaban extrayendo registros y guardándolos para que los servicios de emergencia informática los revisaran. Es mejor tener el registro activado para poder retroceder en el tiempo y ver qué sucedió y dónde. Sin embargo, un problema es que ahora hay muchos registros que revisar y si se piensa en los millones de usuarios que visitan la red todos los días, encontrar la aguja en el pajar es complicado.
Creo que el día que descubrieron esto o el día siguiente es cuando LinkedIn llamó al FBI para informarles de esta violación. El FBI fue muy receptivo. Pidieron registros y empezaron a entrevistar gente de inmediato. [MÚSICA] LinkedIn vio que las IP se conectaban desde Moscú, por lo que tomaron esa IP y comenzaron a rastrearla a través de la red. ¿A dónde fue? ¿A qué accedió? Estaban revisando los registros SSH, registros Wiki, registros de acceso al servidor y vieron conexiones desde esa IP que les dijo qué user-agent tenía la computadora del pirata informático. El user-agent puede decirnos cosas como el sistema operativo, el tipo de navegador y la versión. El user-agent del hacker resultaba ser único. De hecho, al final tenía la palabra Sputnik, lo que no es normal. Sputnik es el nombre del primer satélite que los rusos pusieron en órbita y este user-agent simplemente no lo había visto nadie antes, lo que me hace preguntarme si el hacker lo puso ahí como una especie de firma. Con esta información adicional, los ingenieros ahora podían buscar registros de ese user-agent en particular para ver si les salía algún resultado, porque tal vez el hacker no estaría usando la misma IP siempre.
Tal vez vinieron de diferentes IP, canales, y VPNs o algo así, pero si hubiera un user-agent coincidente, entonces podrían saber que probablemente fuera la misma persona. A continuación, consultaron el sitio web público de LinkedIn para ver si alguien con una IP coincidente o un user-agent coincidente había iniciado sesión en la cuenta de algún usuario en linkedin.com. Efectivamente, había algo de actividad. Vieron a la misma IP y user-agent iniciando sesión en 30 cuentas diferentes de LinkedIn a través del sitio web público. Esto significaba que el pirata informático había descifrado algunas contraseñas que estaban en los datos y estaba iniciando sesión en LinkedIn con esos usuarios. Esto verdaderamente elevó la preocupación de LinkedIn. Desde Moscú, el hacker tenía una granja de GPU bastante robusta. Veréis, descifrar los hashes de contraseñas requiere seguir procesos de forma intensiva. Se debe recorrer millones de contraseñas, aplicar un hash y ver si ese hash coincide con el hash de la base de datos. Si es así, has encontrado una contraseña. Las tarjetas gráficas, las GPU, son particularmente buenas para hacer muchos de estos pequeños cálculos como este. Pueden hacer muchas cosas simultáneamente. Entonces, el hacker estaba ejecutando el volcado de la base de datos a través de esta estación de descifrado de contraseñas que tenía, y cuando encontraba una coincidencia con alguien que encontraba interesante, intentaba iniciar sesión en LinkedIn para verificarlo, y de hecho funcionó.
Estaba logueándose en linkedin.com desde diferentes usuarios. De vuelta a LinkedIn, los ingenieros empezaron a comprobar los servidores de la base de datos. Tomaron la información que descubrieron y buscaron en los registros para ver si alguien había iniciado sesión en los servidores de bases de datos con estas IPs, nombre de usuario o user-agent. La base de datos que LinkedIn utilizaba en ese momento era Oracle, que estaba en una máquina UNIX. Así que buscaron si alguien se había conectado a ella usando SSH y, efectivamente, así era. Había registros del hacker entrando en el servidor de la base de datos y luego accediendo a la base de datos y ejecutando consultas en esa base de datos. Llegar tan lejos en la investigación le llevó a LinkedIn 6 semanas. Estoy hablando de una Sala de Guerra activa, una situación de Código Rojo durante 6 semanas con múltiples equipos, docenas de personas buscando en miles de servidores, peinando millones de registros. Simplemente lleva mucho tiempo. Durante este tiempo, obligaron a los empleados de LinkedIn a cambiar sus contraseñas. Crearon una cuenta completamente nueva para el ingeniero que inicialmente fue hackeado con ese ordenador iMac, y reconstruyeron los servidores para asegurarse de que no quedaban rastros en el sistema. Además, parece que LinkedIn anunció esta brecha tan pronto como pudo al público para informar a sus usuarios de que algo malo había ocurrido.
PRESENTADOR 1: Los usuarios de LinkedIn deben tener cuidado; la red social empresarial dice que algunas de las contraseñas de sus usuarios han sido robadas y filtradas a Internet.
PRESENTADOR 2: Un grupo de piratas informáticos ha sacudido la red social LinkedIn esta semana al publicar casi seis millones y medio de contraseñas de usuarios.
JACK: Se afirmó que 6,5 millones de cuentas de usuario de LinkedIn estaban en foros de piratas informáticos. Sin embargo, no todos los 6.5 millones de contraseñas eran visibles y la base de datos parecía estar solo en manos de unas pocas personas en ese momento, con solo una muestra publicada públicamente. Ahora, la publicación y la investigación sucedieron en junio de 2012, pero mi investigación muestra que el pirata informático ingresó a la red en marzo de ese año, 3 meses antes, lo que significa que LinkedIn no tenía ni idea de esta violación hasta que apareció en este foro público. [00:20:00] Entonces, el hacker hizo este hack en marzo de 2012, pero en mayo de 2012, antes de que LinkedIn supiera que habían sido hackeados, también hackeó otro sitio web y no estoy exactamente seguro de qué pasos hizo aquí, pero tengo mucha confianza en cómo fue. Entonces, en mayo de 2012, el pirata informático ya había descifrado bastantes hashes de la base de datos que robó de LinkedIn y estaba probando algunos de estos inicios de sesión logueándose en LinkedIn con esos nombres de usuario, y estaba funcionando. Mi teoría es que revisó las contraseñas descifradas en busca de cualquier persona que trabajara para una gran empresa de IT como ingeniero o administrador, porque este pirata informático se dedicaba a vender bases de datos masivas para ganar dinero. Entonces, esto era lo suyo.
Al revisar sus contraseñas descifradas, encontró a un ingeniero de control de calidad que trabajaba en Dropbox. Probó que la contraseña funcionase iniciando sesión en la cuenta de LinkedIn de este ingeniero de Dropbox. Y sí, no tuvo ningún problema. Ahora, este ingeniero de Dropbox admitió que sí, que de hecho, estaba reutilizando contraseñas por aquel entonces. Sus cuentas de Twitter, Facebook, LinkedIn y Google tenían la misma contraseña, por lo que este hacker obtuvo acceso a un montón de cuentas de este ingeniero. [MÚSICA] ¿Pero este ingeniero usó la misma contraseña donde trabajaba también, en Dropbox? No lo sé con certeza, pero el pirata informático pudo iniciar sesión como ingeniero en Dropbox. Quiero decir, pudo ingresar a la red corporativa con este inicio de sesión, ya sea a través de una VPN o un portal web de administración; no lo sé. Obviamente, no debería tener que decirte esto, pero no es una buena idea reutilizar las contraseñas previamente por este motivo. Ahora, este ingeniero de control de calidad no tenía acceso a los archivos que los usuarios almacenaban en sus cuentas de Dropbox, pero sí tenía acceso a los metadatos de los usuarios, información sobre sus cuentas y demás, porque a veces necesitaba investigar los problemas a los que se enfrentaban los usuarios. .
La cuestión es que si un pirata informático tiene la información de inicio de sesión de este tipo, entonces el pirata informático puede acceder a todo lo que este ingeniero tenía acceso. De esta forma, el pirata informático ingresó y tomó todos los datos de usuario que pudo, que consistían en nombres de usuario, direcciones de correo electrónico, contraseñas hash y salt. Luego, el hacker se envió esto a sí mismo y salió. Un mes después, el FBI estaba investigando esta violación de LinkedIn. Una de las cosas que buscaron fue ver si esa dirección IP o user-agent estaba iniciando sesión en alguna cuenta de LinkedIn como usuario del sitio. Efectivamente, había registros que indicaban que la misma persona había iniciado sesión en unas treinta cuentas de usuario de LinkedIn diferentes, lo que significa que el pirata informático había descifrado los nombres de usuario y las contraseñas de estos usuarios de LinkedIn y lo estaba probando para verificar que funcionaba. Una de esas cuentas pertenecía a un empleado de Dropbox y no sé si era el mismo ingeniero de control de calidad, pero el FBI vio esa conexión y pensó que tal vez Dropbox podría ser su próximo objetivo. Entonces, el FBI llamó a Dropbox para darles esta información e incluso les dio direcciones IP y user-agents para buscar.
Dropbox revisó sus registros y confirmó que efectivamente, esas direcciones IP se conectaron suplantando al ingeniero de control de calidad y entraron en la red corporativa. [MÚSICA] Una vez que Dropbox confirmó que había un acceso no autorizado a la red, inmediatamente instalaron una Sala de Guerra para manejar el incidente. Esto es básicamente como un Centro de Comando, un lugar donde todos los datos se pueden sincronizar y se transmite información actualizada. Ahora, en ese momento de 2012, Dropbox tenía poco menos de 150 empleados trabajando allí y, al igual que en LinkedIn, esto era lo más importante que estaba sucediendo en Dropbox entonces, por lo que la respuesta prácticamente requirió la implicación de todos sus recursos. Dropbox destinó a más de veinte personas a trabajaren este incidente, pero sabían que necesitaban aún más ayuda, por lo que comenzaron a contratar más personal de respuesta a incidentes de seguridad para que vinieran a ayudar. Primero descubrieron que alguien tenía acceso no autorizado a la red corporativa de Dropbox. Sin embargo, esto parecía contenido, ya que las conexiones no parecían llegar a su parte de producción desde donde se ejecutaba dropbox.com.
Esto fue por la parte corporativa. Si bien sigue siendo un gran problema tener a alguien merodeando en tu red corporativa, no pudieron ver las joyas de la corona de los datos que los usuarios almacenaban en sus cuentas de Dropbox. Ahora, específicamente, estaban viendo que un ingeniero de Dropbox se estaba conectando a la red de Dropbox desde Rusia, y luego, una vez se conectaron, fueron al Wiki de Dropbox interno que tiene información sobre cómo solucionar ciertos problemas y otros detalles técnicos sobre la red de Dropbox. El equipo de Dropbox siguió examinando los registros. Vieron a qué ingeniero de Dropbox le habían robado su nombre de usuario y contraseña y revisaron los registros para ver si había alguna otra actividad sospechosa al respecto. Este ingeniero tenía una cuenta en dropbox.com, por lo que observaron su actividad reciente donde se mostraba que invitó a otro usuario de Dropbox a unirse a su equipo de Dropbox. El caso es que el ingeniero de Dropbox no invitó [00:25:00] a ese usuario, por lo que esto significa que el pirata informático ingresó a la cuenta de Dropbox del ingeniero y luego se invitó a sí mismo a ver los archivos de ese ingeniero. Después de vincular sus cuentas, la cuenta del ingeniero de Dropbox transfirió algunos archivos grandes al Dropbox del hacker.
Cuando Dropbox investigó qué eran estos archivos, consistían en una lista de veinte millones de detalles de usuarios de Dropbox; hashes de correo electrónico, nombre de usuario y contraseña con sal. Esto hizo que Dropbox se diera cuenta de que no solo fueron hackeados, sino que el pirata informático robó al menos veinte millones de datos de usuarios de sus clientes. Pero todavía no sabían cómo el pirata informático los obtuvo o si era de Dropbox siquiera. La siguiente víctima aquí es una empresa llamada Formspring. Este es un sitio de redes sociales que se centra en hacer preguntas. Piense en ello como un lugar dedicado a entrevistas de tipo `` pregúntame cualquier cosa ‘’. En 2012 tenían 30 millones de usuarios registrados y en junio de 2012, el hacker obtuvo uno de los nombres de usuario y contraseñas de administrador del servidor de Formspring e inició sesión con SSH. Supongo que también obtuvo este inicio de sesión de los datos de LinkedIn, pero no lo sé. También inició sesión en uno de los paneles de administración web con el mismo nombre de usuario. Pudo instalar un programa malicioso llamado madnez.php en el servidor para poder volver en cualquier momento que quisiera. Es el mismo madnez.php que se encontró en ese iMac. Encontró su Wiki interno e hizo una búsqueda allí de contraseñas hash.
Supongo que lo que estaba buscando era información sobre ellos o dónde están almacenados o algo así. Usando el panel de administración web, pudo ejecutar comandos SQL en la base de datos y obtuvo una gran cantidad de información de usuarios, específicamente correos electrónicos, nombres de usuario y hashes de contraseñas salt, luego se desconectó. Eso fue en junio. [MÚSICA] El 9 de julio, alguien publicó un volcado de base de datos de usuarios de Formspring en un foro clandestino. Contenía 420.000 cuentas. Alguien vio esto y se puso en contacto con un periodista. Las direcciones de correo electrónico en el volcado contenían mucho la palabra Formspring, como usuario+formspring@gmail.com, ese tipo de cosas. Entonces, el periodista llamó a Formspring para obtener respuestas. Formspring no tenía idea de que habían sido hackeados y no tenían ni idea de cómo esta base de datos llegó al foro, pero esto también se convirtió en una situación de emergencia a la que se pusieron todos manos a la obra inmediatamente. Solo contaban con unas pocas decenas de personas trabajando allí en aquel momento, pero todos los técnicos se involucraron en la investigación. Cuando un periodista publicó sobre esto, pronto muchos más periodistas empezaron a llamar, por lo que el equipo de marketing también tuvo que involucrarse, tratando de gestionar la parte reputacional.
Primero, el equipo de seguridad de Formspring necesitaba confirmar los datos. Tomaron los 420.000 usuarios y lo compararon con su base de datos y coincidía. Ciertamente eran sus datos. A continuación, comenzaron a buscar actividad anómala. Fue entonces cuando encontraron que alguien había entrado en el SSH en el servidor desde una IP rusa. Copiaron la IP y observaron más registros que indicaban que este usuario inició sesión en el portal de administración web y, desde allí, pudieron ver cuál era el user-agent de la persona que accedió a él. También vieron que este hacker accedió a la Wiki y colocó madnez.php en el servidor web y ejecutó algunas consultas SQL desde el panel de control de administración. Descubrieron todo esto en aproximadamente un día. Supongo que su entorno era mucho más pequeño que LinkedIn para poder revisarlo todo más rápido. Una vez que Formspring confirmó que tenían una intrusión, necesitaban contenerla. Cambiaron el nombre de usuario que se usó para iniciar sesión, eliminaron madnez.php, establecieron más reglas para cambiar las contraseñas con más frecuencia y establecieron reglas de monitoreo para buscar inicios de sesión que no provenían de donde vive el administrador, y luego los destruyeron por completo y reconstruyeron ciertos servidores en los que sabían que había estado el hacker.
Además de eso, notificaron a todos sus usuarios que se había producido una infracción. Les dijeron a los usuarios qué datos habían sido robados y les pidieron que cambiaran sus contraseñas de inmediato. El día después de que descubrieron esta brecha, el FBI los llamó y les dijo, oye, escuchamos que tuvisteis un robo. ¿Podemos ver lo que pasó? Formspring envió al FBI todos los registros que pudo para ayudar en la investigación. Unas semanas más tarde, Formspring volvió a la normalidad y las cosas volvieron a funcionar bien. Pero esta historia no ha terminado; un tipo hackeó tres sitios web importantes y el FBI está ahora en la pista. Tienes que escuchar lo que sucede a continuación. Quédate con nosotros. [00:30:00] En este punto, el FBI estaba al tanto de estos tres casos. Alguien había hackeado LinkedIn, Dropbox y Formspring desde las mismas direcciones IP y los mismos agentes de usuario con un rastro que lo conectaba todo. Casi el día que LinkedIn se enteró de que habían sido hackeados, llamaron al FBI y el FBI comenzó a entrevistar a personas en LinkedIn y a recopilar sus registros. Vieron que el hacker se había conectado desde varias direcciones IP en Rusia. También vieron el user-agent con la palabra Sputnik. LinkedIn les estaba enviando discos duros llenos de registros para examinarlos y proporcionarles toda la información que estaban encontrando.
Incluso proporcionaron una imagen del iMac del ingeniero que fue pirateado al FBI. Al revisar todos estos datos, el FBI encontró algo crucial en los registros. [MÚSICA] Sabían qué IP y qué user-agent tenía el pirata informático, por lo que miraron a todas las personas que iniciaron sesión en linkedin.com, el sitio web público, en los últimos años. Encontraron a una persona llamada Jammiro Quatro. Esta persona se había registrado para una cuenta de LinkedIn mucho antes de este hack y tenía la misma IP y user-agent que el hacker. Esto podría ser oro. Como dije, los usuarios de LinkedIn a menudo publican su currículum completo allí, por lo que si este usuario tuviera información sobre sí mismo publicada en su cuenta, podría resumir toda esta historia muy rápido. Pero Jammiro tenía una cuenta de LinkedIn en blanco. No estaba asociado a ninguna empresa y no tenía una sola conexión o amigo en LinkedIn. Pero para crear una cuenta de LinkedIn necesita una dirección de correo electrónico, por lo que el FBI miró para ver qué dirección de correo electrónico registró esta cuenta y era chinabig01@gmail.com. El FBI pensó que esta podría ser la dirección de correo electrónico del hacker.
Ahora, el FBI tenía bastantes direcciones IP que consideraban sospechosas por esto, pero redujeron su interés a 5 que podrían ser propiedad del hacker, y todas estaban en Rusia. Si esto hubiera sido en los Estados Unidos, El FBI podría emitir una citación a un ISP y obtener información sobre quién paga la factura por esa conexión y obtener respuestas casi de inmediato. Pero las cosas funcionan de manera diferente cuando el FBI quiere información de un ISP en Rusia. Hay algo llamado Tratado de Asistencia Legal Mutua o MLAT. MLAT se creó para conseguir que las naciones extranjeras cooperasen para ayudar a las investigaciones penales al proporcionar a las fuerzas del orden información sobre los suscriptores del servicio de Internet. Entonces, el FBI solicitó a Rusia los registros de suscriptores a través de MLAT para ver de quién eran esas direcciones IP. Pero este no es un proceso rápido, se necesitan de 8 meses a 5 años para obtener información de suscriptores a través de MLAT, por lo que el FBI tuvo que esperar un poco para esto. [MÚSICA] Mientras tanto, comenzaron a hacer referencias cruzadas de los datos de LinkedIn con los de Dropbox y Formspring. En los tres ataques encontraron IOC similares o indicadores de compromiso; las mismas IP, los mismos agentes de usuario, el mismo navegador y sistema operativo.
Una vez más, buscaron usuarios en esos sitios de esas IP que se registraron para obtener una cuenta antes de que ocurriera este hack. Dropbox también tenía un usuario registrado en chinabig01@gmail.com. Esa persona se llamaba Jammis Gurus, un poco diferente al Jammiro Quatro de LinkedIn. Formspring también tenía un usuario registrado como chinabig01@gmail.com. Debido a que había tantos indicadores similares en las tres infracciones, el FBI estaba empezando a creer que esta dirección de correo electrónico chinabig01 podría haber sido propiedad del pirata informático. Entonces, el siguiente paso es que el FBI se comunicó con Google, los propietarios de Gmail, y emitió una orden de registro para obtener información sobre ese usuario. Verás, Google es una empresa de Estados Unidos, por lo que es bastante fácil para el FBI obtener información de una empresa con sede en Estados Unidos. En realidad, creo que tienen que cumplir con la ley cooperando de esta manera, y a Google le encanta recopilar registros de sus usuarios, por lo que tenían mucho que compartir. [MÚSICA] Primero, el FBI vio que quienquiera que se conectara al servidor tenía las mismas direcciones IP y agentes de usuario que el intruso que penetró en las otras compañías. A continuación, el agente del FBI pudo ver los términos de búsqueda que esta persona buscó en Google mientras iniciaba sesión en su cuenta.
Estos son algunos de esos términos de búsqueda; Vulnerabilidades de WordPress, pirateo de TrueCrypt, utilidad de exportación de Oracle, exportación de datos EMS para Oracle. La actividad de Google del usuario también les mostró que visitaban algunos sitios como insiderpro.com, que era el foro en el que se publicaban estos volcados de bases de datos. El usuario también visitó artículos que hablaban sobre el hackeo de LinkedIn. Luego, el FBI echó un vistazo a su bandeja de entrada y miró qué correos electrónicos tenían y vio un correo electrónico de bienvenida a Vimeo, un sitio web para compartir archivos de video. Entonces, solicitó información a Vimeo, que también regresó con agentes de usuario y direcciones IP coincidentes. El FBI también vio evidencia de que esta persona estaba iniciando sesión en algunas cuentas de LinkedIn que eran empleados de automattic.com. Ahora, Automattic es la empresa matriz de WordPress. [00:35:00] El FBI se puso en contacto con Automattic y solicitó ver cualquier actividad de inicio de sesión de estas IP rusas y, efectivamente, hubo algunas actividades de inicio de sesión. Alguien de Rusia estaba iniciando sesión con diferentes nombres de usuario y contraseñas de empleados de Automattic. No está claro qué es exactamente lo que el hacker robó del sitio de Automattic, en todo caso, pero está claro que entró varias veces con nombres de usuario de ingenieros de Automattic diferentes. El agente del FBI luego vio un correo electrónico de bienvenida a afraid.org.
Este es un sitio web que ofrece servicios de DNS dinámicos. Es una empresa con sede en Estados Unidos, Por lo que el agente del FBI emitió una orden de registro para obtener datos sobre quién era el propietario de la cuenta relacionada con chinabig01. El nombre de esta cuenta regresó como “Zopaqwe1”, y fear.org también mostró que quien estaba accediendo al sitio también tenía el user-agent con Sputnik. El FBI hizo una búsqueda en Google de esta “Zopaqwe1”, que es una palabra extraña y única, y encontró a un usuario registrado en un sitio de juegos en línea llamado kongregate.com. El FBI solicitó los detalles del usuario aquí y confirmó que el user-agent y las direcciones IP coincidían, pero también descubrió que el usuario había registrado una tarjeta de crédito en ese sitio y había comprado algunos créditos del juego. El FBI intentó rastrear los datos bancarios de esa tarjeta, pero los llevó a un banco en Rusia del que no pudieron obtener información adicional. Sin embargo, sí buscaron ver qué dirección de correo electrónico estaba registrada con esta cuenta de Kongregate “Zopaqwe1”, y el correo electrónico de este usuario era r00talka@mail.ru. Ahora, dado que mail.ru está alojado en Rusia, el FBI tampoco podría emitir una citación para eso. Pero el FBI buscó en Google el comienzo de esa dirección de correo electrónico, r00talka, y encontró un usuario de Gmail con el mismo nombre, r00talka@gmail.com.
[MÚSICA] Entonces, el FBI emitió una orden de registro con Google para obtener información sobre ese usuario de Google, y Google respondió con más información. Lo primero que vieron fue lo que Google buscaba que el usuario había buscado, y estaban buscando cosas como hack de LinkedIn, campos de recuento de MySQL, cambiar la dirección de Mac WiFi Windows 7. También hubo algunas búsquedas de Google Map que hizo este usuario. Vieron que el usuario buscaba un dentista en Moscú y algunas otras búsquedas de mapas en Rusia. A continuación, el agente del FBI pudo ver los correos electrónicos de esta cuenta de Gmail r00talka. Vio que esta persona había registrado una cuenta en VKontakte, que es como la versión rusa de Facebook. El sitio le enviaba un correo electrónico cada vez que alguien le enviaba un mensaje allí y había personas que le enviaban mensajes preguntándole sobre la piratería de cuentas de correo electrónico y diferentes tipos de relaciones que estaban sucediendo. Pero aquí, todos se refieren a él como Zhenya y todos solo le hablaban ruso. En este punto, los registros del suscriptor para esa dirección IP regresaron de la solicitud MLAT a Rusia y ello mostró que las IP eran propiedad de dos personas, y aparecía su dirección física.
Yevgeniy Nikulin tenía una IP y alguien más tenía la otra. Yevgeniy vivía en la misma calle en la que esta persona estaba haciendo búsquedas en Google Map, por lo que el FBI comenzó a buscar información sobre Yevgeniy y encontró fotos de su apariencia. Compararon esas fotos con la persona de la cuenta de VKontakte y parecían la misma persona. La cuenta de VK era para una persona que se llamaba Zhenya, que en realidad es un apodo común para las personas llamadas Yevgeniy. No sé exactamente cómo, pero la investigación del FBI los llevó a un tipo ruso llamado Kislitsin. [MÚSICA] Kislitsin ha sido conocido en el pasado por negociar acuerdos entre hackers y personas que compran volcados de bases de datos. El FBI encontró la dirección de correo electrónico de Kislitsin, que era una dirección de Hotmail propiedad de Microsoft, por lo que emitieron una orden de registro con Microsoft para ver qué había en su bandeja de entrada. Allí, el FBI vio correos electrónicos que iban y venían con el comprador de los datos de Formspring. El comprador finalmente decidió comprar la base de datos por un equivalente de 7.100 dólares estadounidenses. Sin embargo, no sabemos cuántos datos había allí; algo entre 400.000 y 30 millones de registros de usuarios.
Supuestamente, la persona que compró esto era mitad belga y mitad turca, y lo que es realmente extraño es que usaron un intermediario para este trato en efectivo y también estuvo involucrado con los hacks de E-Trade y Scottrade de los que hablé en el Episodio 76, Truhanes fuera. El FBI acusó a Kislitsin de co-conspirador en esto, pero finalmente no pudo capturarlo. Sin embargo, el FBI pudo concertar una reunión con él en la embajada rusa en Moscú. Entonces, visitaron a este tipo de Kislitsin y les dio mucha información, no solo información sobre este caso, sino información sobre algunos otros casos que el FBI también estaba investigando. Mientras se reunía con Kislitsin, les dijo que Yevgeniy Nikulin fue la persona que irrumpió en Dropbox y aún tenía acceso a él y tenía los datos de Formspring [00:40:00], todo con el objetivo de vender los volcados de bases de datos en el mercado negro. Por dinero. Esta fue información suficiente para que el FBI emitiera una acusación contra Yevgeniy. Múltiples senderos lo llevaban directamente a él, pero ¿podrían atraparlo? Quédese con nosotros durante el descanso para averiguarlo.
Entonces, ¿quién es Yevgeniy Nikulin? Bueno, es ruso, de Moscú, nacido en 1987, así que tenía veinticinco años en 2012. A Yevgeniy le encantan tanto los coches que empezó un negocio en Moscú comprando coches de lujo y alquilándolos a la gente, y era de allí donde a menudo se lo veía conduciendo Maseratis, Lamborghinis y Bentley por su zona en Rusia. No sé cómo empezó todo esto de hackear para él. Los detalles sobre su pasado son difusos. Me imagino que se introdujo en la informática y las computadoras como cualquier otra persona; probablemente comenzó jugando videojuegos y luego queriendo hackear los videojuegos o hacer trampas, o tal vez queriendo cambiar sus calificaciones en la escuela o queriendo simplemente meterse con sus amigos hackeándolos como si fuera un juego. ¿Quién sabe por qué se inició en la piratería? Pero en 2012 estaba bastante familiarizado con el funcionamiento de las computadoras y cómo explotarlas. Al leer sobre él, también siento que su vida en internet se superpone con algunos de estos ciberdelincuentes rusos bastante notorios. Conocía a algunos de los otros grandes piratas informáticos. Quizás le enseñaron.
Tal vez estaban pasando el rato en los mismos foros o algo así y tal vez Yevgeniy quería ser parte de ese mundo de piratería del que formaban parte, porque después de todo, le gustaban las cosas caras y estaba viendo a algunos de los hackers rusos sacando jugo de sus hazañas digitales. El FBI emitió una acusación contra Yevgeniy Nikulin, pero el problema era que estaba en Rusia y Rusia no iba a arrestar a Yevgeniy por el FBI. Incluso si Rusia lo arrestase, no lo extraditarán a Estados Unidos para ser juzgado. Entonces, el FBI tuvo que esperar. Sabían la dirección exacta de donde vivía Yevgeniy, pero no tenían forma de ir a Rusia a buscarlo. Ahora, hasta este punto, el mundo había pensado que la violación de datos de LinkedIn era de 6.5 millones de usuarios porque, después de todo, eso es lo que se publicó en insiderpro.com y, lo que es más, LinkedIn nunca aclaró cuántas cuentas fueron robadas. Pero en mayo de 2016, alguien publicó que tenía aún más credenciales de LinkedIn a la venta. Afirmaron tener 117 millones de detalles de usuarios de LinkedIn y lo estaban vendiendo por poco más de $ 2,000 en Bitcoin. Esto desencadenó un ciclo de noticias completamente nuevo.
PRESENTADOR 3: Tema matutino; El dinero de Estados Unidos. Una brecha de seguridad en LinkedIn resulta ser mucho más grande de lo que se pensaba.
PRESENTADOR 4: Eso es correcto. La red social para empresas ahora dice que un hacker robó 117 millones de contraseñas de usuario en la violación de 2012, mucho más que la estimación original de alrededor de 6,5 millones.
JACK: Pienso en todos los usuarios de LinkedIn. Sí, por supuesto; profesionales que buscan hacer networking, pero también muchos altos ejecutivos tienen cuentas. Quiero decir, después de todo, si su empresa aparece en la lista, ¿no debería estar el líder de esa empresa también? Pero además de eso, hay funcionarios del gobierno allí. Allí están los legisladores, miembros del Congreso, agentes del FBI, agentes de la NSA, senadores y sí, incluso el presidente de los Estados Unidos. Barack Obama hizo su cuenta en 2007 cuando se postulaba para presidente y fue presidente en 2012 cuando esto sucedió. [MÚSICA] Esta noticia se extendió por muchos círculos e impactó a mucha gente. Además, este nuevo volcado contenía muchas contraseñas descifradas que cualquiera puede ver en pleno texto, sin encriptar. No era que LinkedIn almacenase contraseñas en texto sin encriptar, pero los hackers encontraron formas de descifrar muchas de las contraseñas que estaban allí.
Ah, y de hecho, pudimos ver cuáles eran las contraseñas más comunes que se descifraron. Te leeré las seis [00:45:00] contraseñas más comunes que los usuarios de LinkedIn usaban en 2012. La más común era simplemente “123456”. Más de 700.000 usuarios habían utilizado esta contraseña porque, sí, la longitud mínima de la contraseña de LinkedIn era de seis caracteres en ese momento. La siguiente contraseña más popular fue “LinkedIn”, luego la contraseña “contraseña” o “password” en inglés, luego “123456789”, luego “12345678”, luego “111111”. La gente usa contraseñas malas y ¿me estás diciendo que algunos de esos usuarios usan las mismas contraseñas en varios sitios? Además de eso, ¿están usando la misma contraseña en el trabajo? Uf, es indignante. Unos meses después de eso, en octubre de 2016, el FBI obtuvo la oportunidad que estaban esperando. Yevgeniy Nikulin fue visto en Praga, en la República Checa. Con la acusación procesada y todo listo, la policía checa lo rastreó hasta un restaurante donde estaba comiendo con su novia. Hay imágenes de la cámara corporal de la policía deteniéndolo. Mira, escucha.
POLICÍA: (SE ESCUCHA EN IDIOMA CHECO)
JACK: En realidad, no hay mucho que escuchar, así que describiré lo que está sucediendo. Yevgeniy y su novia están sentados en un restaurante. En el video, veo que entran tres policías y le dicen que mantenga la calma y ponga las manos donde puedan verlos. Yevgeniy pone las manos sobre la mesa y le piden que se ponga de pie y camine hacia atrás hacia el oficial. Yevgeniy hace exactamente eso. Luego lo cachean, le sacan algunas cosas de los bolsillos y lo esposan, todo mientras el otro oficial se asegura de que la novia no se levante. Todo se hizo muy silenciosamente y sin ningún problema, y Yevgeniy fue llevado a una cárcel de Praga. Durante los dos años siguientes, los abogados de Yevgeniy lucharon para evitar que lo extraditaran a Estados Unidos. No llegué a obtener una segunda confirmación sobre esto, pero su abogado dijo que el FBI estaba tratando de detener a Yevgeniy por piratear los correos electrónicos de Hillary Clinton en aquel momento y estaba tratando de que él confesara eso. Finalmente, dos años después de su arresto, en 2018 la República Checa lo extraditó a los Estados Unidos para un juicio. Sí, revisé los registros del juicio y nunca vi una referencia a Hillary Clinton allí.
Estados Unidos tenía nueve cargos contra él: intrusión informática, robo de identidad agravado, conspiración y transmisión internacional de información que dañe una computadora protegida. Las víctimas de este caso se enumeraron como LinkedIn, Dropbox y Formspring. Pero esta es la razón por la que amo tanto esta historia; Yevgeniy se declaró inocente de todos estos cargos. [MÚSICA] Afirmó que no hizo nada de esto y ¿por qué es esa mi parte favorita? Porque significa que este caso tuvo que ir a juicio, lo que significa testigos, evidencia, testimonio del FBI y mucho más se convierte en un registro público. Para investigar esta historia, tuve el placer de leer cientos de páginas de transcripciones judiciales. Fue glorioso escuchar todos los detalles de las víctimas y las fuerzas del orden. Rara vez escuchamos estas cosas. Por ejemplo, hubo tres personas de LinkedIn que testificaron, explicando cómo entró el hacker y cuál era su plan de respuesta a incidentes. Tres personas de Dropbox dieron testimonio y el director ejecutivo de Formspring explicó todo lo que vio. Además de eso, había tres agentes del FBI y un agente del Servicio Secreto que dieron testimonio sobre cómo pudieron unir todas estas piezas y rastrearlo.
Es solo por todo esto que sabemos algo sobre esta historia que no sea lo que se ha visto en los titulares. Quiero decir, contacté a LinkedIn y al FBI varias veces para que alguien me contara sobre esta historia, pero nadie quería hablar porque lo entendí. ¿Qué empresa quiere venir a este programa y contarme lo peor que le ha pasado a su empresa? Nadie. Por lo tanto, es muy raro que veamos todos los detalles de lo que sucedió escritos de manera tan maravillosa. Este juicio comenzó a principios de 2020, pero luego llegó la pandemia y el juicio se retrasó como tres meses. Durante ese tiempo, el Servicio Secreto arrestó a un hacker sospechoso de irrumpir en la SEC, Oleksandr Yaremenko. Cuando lo arrestaron, tuvieron acceso a su computadora portátil y en ella había todo tipo de evidencia sobre Yevgeniy; fotos de él, videos de él, mensajes de chat con él, correos electrónicos para él, toneladas de evidencia más. Sin embargo, es extraño porque en 2020, Yevgeniy había estado en la cárcel durante cuatro años, lo que, si lo piensas, es el 13% de su vida que ha estado en prisión sin que nadie decidiera si es culpable o no. Seguro que esto le pasó factura mentalmente.
Apenas hablaba inglés. A veces empujaba a los guardias o examinadores médicos o simplemente intentaba salir del lugar. Provocó un desastre en su celda mojando papel higiénico y tirándolo al techo. No dejaba de pedir permiso al juez para tener una Game Boy o una PSP para jugar. Yevgeniy no testificó por sí mismo. Tenía un intérprete en la sala del tribunal que le traducía todo. Durante todo el tiempo, siguió [00:50:00] diciendo que no tenía nada que ver con esto, pero el juicio se puso en marcha y había muchas pruebas que lo conectaban con los incidentes. Solo para recapitular el rastro aquí, las IP que accedieron a las redes de las víctimas se registraron a su nombre específicamente. La IP utilizada para robar datos de LinkedIn condujo a un determinado user-agent del navegador, que estaba asociado a una cuenta de LinkedIn con una dirección de Gmail, y ese correo electrónico se registró en afraid.org, que tenía un nombre de usuario que estaba en kongregate.com. , y esa persona compró cosas con una tarjeta bancaria, y esa tarjeta bancaria coincidió con otras cosas que compró Yevgeniy. Además de eso, estaba Kislitsin que dijo que Yevgeniy hizo esto, y la computadora de Yaremenko que tenía más evidencia. El 10 de julio de 2020 concluyó el juicio.
El jurado lo declaró culpable de los nueve cargos. Luego, el juez lo sentenció a 88 meses de prisión que son poco más de siete años, y también le ordenaron pagar 1,7 millones de dólares en restitución por los daños que causó a las empresas que hackeó. Ah, y después de eso, tiene que pasar tres años de libertad supervisada, lo cual no sé cómo funciona si no eres ciudadano de los Estados Unidos. [MÚSICA] Entonces, ¿qué aprendemos de esta historia? Bueno, parece que en 2012, estas empresas víctimas no estaban detectando anomalías en el comportamiento de los usuarios. Por ejemplo, si un usuario entra en VPN desde California y luego una hora más tarde ese mismo usuario entra en VPN desde Rusia, eso debería activar una alerta, ¿verdad? Sí, bueno, no fue así. La tecnología en ese momento realmente no hacía ese tipo de correlación. Ahora hay mejores herramientas para monitorear el análisis del comportamiento de los usuarios y creo que herramientas como esa tienen mucho potencial. Para seguir, es una locura para mí que algunas personas usen la misma contraseña para su cuenta de LinkedIn que sus cuentas de trabajo. No reutilice contraseñas como esa. Utilice una contraseña única y compleja para cada cuenta que tenga. La mejor forma de hacerlo es utilizar un administrador de contraseñas. No son difíciles de usar, así que obtén uno.
Tengo un enlace de afiliado a uno en las notas del programa por si desea una buena recomendación. También vale la pena señalar que estas empresas parecían tener un registro excepcional activado y cuando se enteraron de este hackeo, pudieron archivar esos registros y hacer instantáneas del sistema de inmediato para preservar cualquier dato que se pudiera utilizar de manera forense. He visto muchas empresas que simplemente no efectúan registros correctamente y siempre me molesta mucho. Ah, y ese ingeniero de LinkedIn que alojaba esos dos sitios web en la computadora de su casa, ahora los movió para alojarlos en Linode, que es uno de nuestros patrocinadores. Creo que una de las lecciones que aprendió de esto fue que abrir puertos desde Internet a su red doméstica puede ser peligroso. Expone su computadora a un mundo lleno de caos que, en última instancia, puede resultar en que alguien obtenga acceso a su red doméstica. Pienso mucho en eso de esta historia; si no estuviera alojando esos pequeños sitios web en casa, probablemente no habría sido la puerta de entrada para este hacker.
También es interesante ver que los malos apuntan a los empleados en su casa, porque esa red no suele ser tan fuerte como la red corporativa. Pero aquí está la parte loca de todo esto; ¿recuerdas esa base de datos de LinkedIn de 117 millones de datos de usuarios que apareció en 2016? Más tarde, ese mismo año, salió a la luz pública para que cualquiera pueda verlo, así que cualquiera puede ir a mirar en la base de datos de LinkedIn para ver lo que hay allí, y todavía hay muchas personas que no cambiaron sus contraseñas o las cambiaron por algo y luego simplemente las volvieron a cambiar directamente a lo que era antes de eso. ¿Qué pasa con toda esa gente que reutilizó las contraseñas en todos los demás sitios? Por ejemplo, sí, cambié mi contraseña de LinkedIn porque me lo dijeron, pero no cambié las otras seis cosas que usan esa misma contraseña. Y sí, una vez que el volcado de la base de datos se hizo público, la gente lo utilizó para entrar en todo tipo de otras cuentas que la gente tenía. Conozco algunas historias sobre cómo alguien encontró una contraseña en la base de datos de LinkedIn, y la utilizó para entrar en la cuenta de alguien en Twitter. Así que recuerda siempre utilizar una contraseña diferente en cada sitio en el que tengas una cuenta. De este modo, si una cuenta se ve comprometida, no lo estarán todas también.
(OUTRO): [MÚSICA DE OUTRO] Este programa fue creado por Jack Rhysider. Traducción al español narrada por Pablo Calderón. Mostrar traducción realizada por Talkoo Films. [00:55:00]
(FINALIZA LA MÚSICA)
(FIN DE LA GRABACIÓN)