El equipo de investigación avanzada sobre amenazas cibernéticas de McAfee descubrió recientemente que piratas informáticos pueden lograr acceso a muchas organizaciones, compañías y empresas que tienen credenciales débiles, al usar el componente de escritorio remoto de Microsoft en sistemas basados en Windows. El acceso a estas organizaciones, ya sea un aeropuerto, un hospital o incluso a ramas del gobierno de los Estados Unidos, se puede comprar por unos pocos dólares a través de varias tiendas en el mercado negro conocido como la dark web.
El sistema de acceso llamado Remote Desktop Protocol (RDP) de Microsoft esencialmente permite conectarse y usar una PC basada en Windows desde una ubicación remota. Cuando esas credenciales de inicio de sesión son débiles, los piratas informáticos pueden usar tácticas para obtener el nombre de usuario y la contraseña para cada conexión. McAfee encontró miles conexiones a la venta de RDPs en tiendas de la dark web.
«Los sistemas publicitados iban desde Windows XP hasta Windows 10«, explica John Fokker, Director de Investigaciones Cibernéticas de McAfee. «Windows 2008 y 2012 Server fueron los sistemas más abundantes, con alrededor de 11,000 y 6,500, respectivamente, a la venta. Los precios variaron desde alrededor de $3 dólares por una configuración simple hasta $19 dólares por un sistema de ancho de banda alto, que ofrecía acceso con derechos de administrador».
Entre la lista de dispositivos, servicios y redes en el menú de venta se encuentran varios sistemas gubernamentales alrededor del mundo, incluidos aquellos vinculados a los Estados Unidos. El equipo encontró conexiones con una variedad de instituciones de salud, como hospitales, clínicas, tiendas de equipos médicos, y más. Incluso encontraron acceso a sistemas de seguridad y de automatización de edificios en un importante aeropuerto internacional por solo $10 dólares.
El problema no solo gira en torno a equipos de computadoras escritorio, laptops y servidores. Los dispositivos de la Internet de las Cosas (IoT) basados en Windows Embedded también están en el menú, que incluye a sistemas de puntos de venta, negocios pequeños, kioscos, parquímetros, y más. Los usuarios de muchos de estos sistemas generalmente no los actualizan, lo que los convierte en una entrada fácil para los piratas informáticos.
Alarmantes posibilidades
Después de que los hackers compran una conexión, podrían lograr que cualquier corporación o empresa que tengan en la mira enfrente gigantescos problemas, al igual que sus clientes o usuarios. Por ejemplo, un hacker podría pagar apenas $10 dólares por una conexión de alguna compañía, empresa, o incluso gobierno municipal, infiltrarse en la red para encriptar los archivos de cada computadora o realizar otro tipo de intrusión, y exigir un rescate de miles de dólares como ransomware, como ocurrió hace unos meses en la ciudad de Atlanta.
El acceso también permitiría robar información personal y secretos comerciales. Además, las computadoras comprometidas se podrían usar para cualquier fin según el interés de los piratas cibernéticos, como enviar correos no deseados, desviar actividades ilegales, o crear criptomonedas.
«Encontramos un anuncio recientemente publicado de Windows Server 2008 R2 en una de las tiendas del mercado negro», dijo Fokker. «De acuerdo con los detalles, pertenecía a una ciudad de los Estados Unidos y por solo $10 dólares podíamos obtener los derechos de administrador de este sistema. La tienda esconde los dos últimos octetos de las direcciones IP de los sistemas que ofrece para la venta, y cobra una pequeña tarifa por la dirección completa».
La solución, según McAfee, es que las organizaciones necesitan hacer un mejor trabajo al verificar todas sus «puertas y ventanas virtuales» para que los piratas informáticos no puedan colarse. El acceso remoto debe ser seguro y no fácilmente explotable. Esperemos que sigan su sugerencia.
