ANÁLISIS DEL CIBERATAQUE A BRITISH AIRWAYS

Este es mi primer post en el blog, así que desde aquí, aprovecho para dar de nuevo las gracias a Virgília por la confianza y la invitación.

Soy Francisco Carcaño, analista de ciberseguridad y ciberinteligencia, y actualmente, CEO y fundador en ID-intelligence.

En este primer post, voy a tratar un asunto que me llamó bastante la atención hace un par de semanas, y que de hecho se va a convertir en uno de los ciberataques más importantes de este año. Se trata de la fuga de datos producida en la aerolínea británica British Airways.

Antecedentes

Antes de entrar en detalles, os pongo en antecedentes.

Fue la propia aerolínea (siguiendo la aplicación del nuevo RGPD, que obliga a ello: comunicar a las autoridades en las primeras 72 horas desde su conocimiento), quién denunció la sustracción de datos de 380.000 usuarios-clientes, a través de su aplicación móvil y su sitio web.

Indicaron que no se vio comprometida detalles de viajes y datos de pasaportes, pero sí información personal (como nombres, apellidos, direcciones de correo, direcciones físicas…) y financiera (datos de tarjetas bancarias: números de tarjeta, fechas de expiración y códigos de seguridad CVV). Dicha brecha se produje entre el 21 de agosto y el 5 de septiembre.

Repercusión e impacto

Como podéis imaginar, este fallo de seguridad es gravísimo, no solo en cuanto a una sanción económica millonaria por incumplimiento del RGPD, sino por la pérdida de confianza de los clientes y su reputación de marca. Fruto de ello, ha sido la caída de acciones de la matriz de BA (British Airways), AIG, en torno al 3% en el Ibex y en la Bolsa de Londres, lo que se traduce a unos 500 millones de euros de valor. Además, se prepara una demanda colectiva por parte de SPG Law, (división británica del bufete de abogados estadounidense Sanders Phillips Grossman), la cual estima que cada afectado puede reclamar hasta 250.000 libras.

Por su parte, BA ha pedido disculpas por lo sucedido, indicando que indemnizará a los clientes afectados por lo sucedido, a la vez que comentaron que habían contactado con los afectados en el momento en el que fueron conscientes del ciberataque (aunque por redes sociales muchos se han hecho eco de no haber sido así). Además, de dar a estos una serie de recomendaciones, como el contacto inmediato con su entidad bancaria.

robo de datos

Comunicado oficial de British Airways

Análisis

Se cree que el grupo tras este ciberataque es Magecart, grupo especializado en robo de información bancaria, que ya protagonizó uno similar a principios de año, con el robo de datos de 400.000 usuarios de TicketMaster en Reino Unido.

En el caso de British Airways, Magecart hizo uso de los llamados skimmers digitales. Se les conoce así porque el funcionamiento es similar a los skimmers físicos, los cuales se colocan físicamente en los cajeros automáticos y realizan una clonación de la tarjeta introducida.

El skimmer digital, en este caso, consistió en 22 líneas de código (a parte del proceso de introducción previa en los servidores de la aerolínea), que ha permitido la copia de los datos de pago. Dichas líneas fueron modificadas en una librería JavaScript, Modernizr, lo que permitía a los atacantes recibir la información bancaria introducida en los formularios de pago.

lineas_codigo_ba

Líneas de código empleadas para el robo

Más allá del ciberataque

Magecart en un grupo que no se caracteriza por la reivindicación de los mismos. Parece que su fin no es otro que el lucro económico.

Por ahora, tras haber realizado una búsqueda exhaustiva de la información substraída (en black markets de la dark net, foros underground, redes paste…), no se ha detectado la filtración o venta de esta. Sí bien si se ha localizado en varios markets la venta de información anterior de BA.

venta1

Venta de cuentas de BA en black market de la Dark Net

venta2

Venta de cuentas de BA otro black market de DDW

 

 

 

 

 

 

A principios de esta semana, se ha conocido un nuevo ciberataque por parte de dicho grupo. En esta ocasión la víctima ha sido la empresa minorista de productos electrónicos, Newegg. El modus operandi ha sido idéntico al incidente de BA, aunque se cree que éste ha sido anterior al ataque a la aerolínea británica.

Desde Symantec, se alerta del aumento a casi el doble de incidentes relacionados con el bloqueo de formularios durante la semana del 13 al 20 de septiembre.

grafico_symantec.png

Gráfica de Symantec donde se aprecia el aumento de incidentes

A su vez, el investigador Kevin Beaumont indicó que el número de dominios y scripts asociados con las campañas de Magecart (IoCs) ha sobrepasado los 1.000.

¿Podría haberse evitado?

Por parte de los clientes-usuarios, no. Nada podía prever el envío de esta información a terceros, ya que es indetectable para el usuario la modificación de esta librería JavaScript, por muchas precauciones que hubiesen tomado (el bloqueo de JavaScript probablemente no hubiese permitido una navegación óptima).

Por parte de British Airways, . Probablemente detectarían el ciberataque a raíz de los cargos que el grupo haría en las tarjetas bancarias de los cliente (recordemos que durante 2 semanas estuvieron substrayendo información). A partir de lo cual, detectarían como patrón común la compra de vuelos en la aerolínea británica de los clientes afectados.

Para la modificación e introducción de las sentencias de JavaScript en la librería Modernizr, los atacantes tuvieron que acceder al servidor. Se desconoce cuál ha sido el vector de ataque, pero esto nunca debería de haber sucedido, y es la primera brecha producida.

Una monitorización de los cambios en librerías también habría alertado ipso facto a BA. Además, sería conveniente contar con un sistema de alerta de filtración de credenciales o datos personales, que alertase en el momento de la publicación de los mismos.

A su vez, un experto en seguridad, Willem de Groot, ha estado monitorizando a este grupo desde 2015, creando un sitio web, MageReport, donde se puede comprobar si su sitio web ha sido comprometido por Magecart, a través de la comprobación de los IoCs recopilados por Kevin Beaumont.

En conclusión, ha sido un ataque realmente sencillo, pero tremendamente efectivo, si bien podría haber sido evitado por parte de British Airways. Veremos si en las próximas semanas se conocen más detalles sobre el ciberataque, como el vector de entrada a los servidores de la compañía, y las duras sanciones económicas por incumplimiento del RGPD.

 

By Francisco Carcaño

Analista de Cyberintelligence y Cybersecurity

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s