Hace unos días saltaba la noticia de que British Airways había sufrido un importante ciberataque en el que había sustraído datos de 380.000 clientes. Desde el 21 de agosto hasta el 5 de septiembre, cualquier usuario que accedió a la web o la aplicación móvil de la compañía para reservar sus billetes de avión fue víctima del robo de su información.
Lo curioso es que no fueron implicados datos como pasaportes o números de teléfono, sino tan solo información bancaria como la tarjeta de crédito, nombres y direcciones de correo electrónico, es decir, los datos que hay que introducir en la pasarela de pago al comprar los billetes. Un aspecto clave para la investigación, como veremos más adelante.
El ataque ha supuesto un mazazo para la compañía, que anunció en un comunicado este robo masivo de datos, asegurando que se harían cargo de los posibles daños causados a los usuarios. Eso sí, advertía a estos que se pusieran en contacto con sus entidades bancarias.
Acerca de las cuestiones técnicas de la intrusión, poco o nada se sabía, hasta ahora. Desde entonces han sido muchos los expertos en ciberseguridad que se han querido adentrar en el fondo de este ciberataque y desentrañar las singularidades técnicas del mismo.
Los primeros en emitir un informe con sus investigaciones no se han hecho esperar. La firma de seguridad RiskIQ ha publicado un informe con los resultados de su investigación acerca de este ciberataque, y cómo con tan solo 22 líneas de código los atacantes se han podido hacer con los datos de cientos de miles de personas. Pero lo más interesante de la investigación es la herramienta usada por los ciberdelincuentes: clonadoras virtuales de tarjetas de crédito.
La clave de la investigación: las pasarelas de pago
La investigación, firmada por Yonathan Klijnsma, explica que se han basado en los pocos detalles técnicos que tenían acerca del suceso: que los pagos a través de la app y de la web fueron afectados, y el periodo exacto en el que lo fueron, desde las 22:58 BST del 21 de agosto hasta las 21:45 BST del 5 de septiembre de 2018.
Explican que desde British Airways no se mencionó que hubiera brechas en las bases de datos o los servidores, ni nada que indicara que la brecha afectara a nada más que a la información bancaria que se introducía en la web.
Los investigadores fueron atacando cabos, y encontraron similitudes con un caso similar que investigaron recientemente que afectó a Ticketmaster en Reino Unido.
Además, el hecho de que solamente estaban afectados los formularios de pago les indicaba hacia una dirección: Magecart, un grupo de cibercriminales que usa skimmers digitales, inyectados con código en la web.
Un skimmer es básicamente una clonadora de tarjetas de crédito. Los cibercriminales llevan años usando estos dispositivos denominados skimmers que se usan para copiar los datos de una tarjeta de crédito en otra tarjeta “virgen”. Eso sí, de forma física: se tiene que poder acceder físicamente a la tarjeta que quieren copiar, o hacerlo a través de un cajero automático. La investigación explica que Magecart “usa una variedad digital de estos dispositivos”.
En concreto, el grupo cibercriminal ha inyectado scripts (pequeños programas) diseñados para robar datos sensibles que los consumidores tecleaban en los formularios de pago que están insertados en la web o a través de aplicaciones de terceros, usados habitualmente en este tipo de sitios de e-commerce. En el caso de TicketMaster, explican, “Magecart colocó uno de estos skimmers digitales en sus webs comprometiendo a terceros, resultando en una brecha de alto perfil de los datos de los clientes”.
RiskIQ ha advertido en distintas ocasiones acerca de este grupo cibercriminal. Desde 2016 tienen constancia de que realizan este tipo de ataques.
Siguiendo la pista a Magecart
El investigador Klijnsma explica que el primer paso para vincular a Magecart con el ataque a British Airways fue revisar sus alertas de detección de Magecart. La firma de seguridad lleva años siguiéndoles la pista, y ver indicios de su modus operandi de este grupo cibercriminal es “tan común para nosotros”, afirman, que reciben alertas cada hora acerca de webs que están siendo comprometidas por lo que denominan el “código-skimmer” de Magecart.
En el caso de la aerolínea, no recibieron actualizaciones automáticas porque el grupo de ciberdelincuentes había personalizado su skimmer para este ataque concreto.
Por este motivo, se pusieron a revisar el código de la web. Una de las dificultades que tuvieron a la hora de investigar este caso es la gran cantidad de funcionalidades construidas sobre JavaScript en las webs actuales, como es el caso de la de British Airways. Tan solo una web puede tener 30 diferentes scripts, pequeños programas que permiten realizar pequeñas tareas. Muchos de ellos están construidos en el lenguaje de programación JavaScript, uno de los más populares.
Para llevar a cabo la investigación, decidieron revisar cada uno de los scripts uno a uno, y examinar su apariencia en el tiempo. En este proceso, encontraron que uno de los scripts había sido modificado. Descubrieron que el script había sido alterado en 22 líneas de su código.
Explican que se trata de un script “muy simple pero muy efectivo”. Cada vez que un elemento de la página terminaba de cargarse, el programa envía la información del formulario de pago a una base de datos de los cibercriminales. La investigación no desvela qué clase de fallo pudo haber tenido la web para que lograran acceder, pero todo apunta a una vulnerabilidad.
En el caso de la aplicación móvil, que también fue comprometida durante ese periodo de 15 días, los investigadores explican que se debe a que, aunque una parte de la app es nativa, muchas funcionalidades se cargan directamente desde la web de British Airways, y se comunica con ella constantemente. Además, encontraron los mismos componentes JavaScript en el código de la app, por lo que la forma de comprometerla fue la misma.
Qué deberían hacer los usuarios afectados ahora
No son buenas noticias para los usuarios que han sido víctima de esta brecha de datos. Los investigadores sugieren a los clientes de la aerolínea que obtengan una nueva tarjeta de crédito del banco.
Las incógnitas por responder sobre la brecha de datos de British Airways