Ciberseguridad: ‘Hackeo’ a British Airways: así robaron a 380.000 clientes con solo 22 líneas de código

Fuente: elconfidencial.com
Autor: GUILLERMO CID
Fecha: 11 de septiembre de 2018
Link de consulta: https://www.elconfidencial.com/tecnologia/2018-09-11/british-airways-hackeo-robo-datos_1614545/

La noticia caía como una bomba, hace solo 5 días. British Airways, filial de IAG(compañía dueña también de Iberia) anunciaba que sus página web y su aplicación móvil habían sido ‘hackeadas’ entre los días 21 de agosto y 5 de septiembre, y los ladrones se habían llevado miles de datos de sus clientes. A las pocas horas ya sabíamos el número de afectados: unos 380.000 usuarios a los que no solo habían robado sus datos personales, sino también la información de sus tarjetas bancarias. Pero lo que no hemos sabido hasta hoy era quién fue el autor del ataque ni cómo lo había hecho.

Un grupo de investigadores de la compañía de ciberseguridad RisklQ acaba de publicar en su página web un informe en el que acusan a un grupo llamado Magecart (que lleva operando desde 2015) del ataque y explican qué ocurrió para que todos esos datos pasaran a manos ajenas sin que nadie se diese cuenta. Los expertos muestran en dicho documento cómo llegaron a la conclusión de que se trataba de estos de ciberdelincuentes, y lo que es más sangrante, detallan lo ‘sencillo’ que fue para estos ladrones hacerse con toda la información usando solo un pequeño código que alojaron en la web de British Airways.

Según desglosa Yonathan Klijnsma, líder del grupo de investigadores, estos ladrones solo necesitaron inyectar un script con 22 líneas que colaron en una de las bibliotecas JavaScript de la web de British Airways para llevarse todoslos datos que los clientes depositaban en la página. Un pequeño y delicado ‘truco’ que Magecart lleva usando desde hace meses en otras páginas como Ticketmaster y que ha hecho que Klijnsma y sus compañeros apunten directamente hacia ellos. Eso sí, en este caso lo trabajaron a conciencia.

«Es un ataque algo simple, pero está altamente enfocado en comparación con lo que hemos visto en el pasado de Magecart. Este código en particular está muy en sintonía con la configuración de la página de pago de British Airways, algo que nos dice que los atacantes consideraron cuidadosamente cómo atacar este sitio en vez de optar por inyectar el ‘skimmer’ estándar de Magecart», explican desde RiskIQ. Para que sea aún más fácil de entender, el grupo de RiskIQ compara este método con las típicas copiadoras que se usan en los cajeros autómaticos. A escondidas y sin que tú te des cuenta, los ladrones son capaces de copiar todos los datos de tu tarjeta.

Las líneas que robaron los datos de unas 380.000 personas (Foto: RiskIQ)

Una vez colocado este simple y efectivo código, lo único que tuvieron que hacer es esperar mientras su invento robaba toda la información que los usuarios tecleaban en la web y la mandaba a sus servidores. ¿Y en la ‘app’? Como está ligada a la web y carga contenido de sus mismos servidores, no necesitaron nada ‘extra’. El mismo código les sirvió para hacerse con toda la información sin hacer apenas ruido.

¿Pero esto es tan sencillo?

Después de leer esto, lo normal es que se te quede una idea en la cabeza: ¿es tan fácil que me roben los datos bancarios por internet? Expertos en ciberseguridad como Sergio de los Santos desechan esa idea por pura lógica. «Vale, el código es sencillo, pero colarse hasta los servidores y tener el control del JavaScript de una web tan grande es muy complicado. Vamos, es como si decimos que poner una copiadora en un cajero es sencillo. Bueno, una vez montado puede serlo, pero a ver quién es el guapo que llega hasta ahí».

De los Santos, especialista en seguridad informática en Eleven Paths, da todo el reconocimiento a los miembros de Magecart y su experiencia colando este ‘script’ en numerosas webs. «Tuvieron que aprovechar un fallo en los servidores para poder entrar hasta la cocina y meter este pequeño código. Eso no lo hace cualquiera», detalla mientras destaca el ataque que realizaron a Ticketmaster hace unos meses. «En British Airways se han infiltrado directamente en los servidores de la compañía, pero con Ticketmaster fueron aún más ingeniosos, entraron a través de un tercero que les servía contenido», apunta.

El ‘script’ malicioso que deberías detectar para saber que te van a robar tus datos. (Foto: RisqIQ)

En cuanto a cómo podemos protegernos, De los Santos es bastante claro: no hay forma de hacerlo a nivel de usuario y solo podemos confiar en la empresa en la que metemos nuestros datos. «Es algo tan sutil que ningún antivirus lo puede detectar, incluso un experto en ciberseguridad analizando el código fuente podría no verlo. La única forma de evitar esto es que la empresa audite y controle continuamente sus sitios web y rastree cualquier fallo», zanja el especialista.