Un hombre disfrazado, con multitud de documentos falsos, planos del edificio y tabletas que le ayudan a echar espuma por la boca y a fingir un ataque cuando se vea en un aprieto. Este golpe se ha estado preparando durante semanas. Después de haber llamado con antelación bajo falsos pretextos para asegurarse de que le esperan, sube por el camino de entrada, preparándose mentalmente para entrar en un Data Center de alta seguridad repleto de datos y aplicaciones críticas... Oye, ¿hay una puerta de salida de incendios abierta?

Issue 45: Leaving Ukraine

Migrating servers from a war zone

01 Sep 2022

Hay que hablar de la seguridad física

Mientras que la cibernética ocupa los titulares, la seguridad física de los Data Centers no puede pasarse por alto. Aunque parezca sencillo, los controles de acceso que protegen sus instalaciones -y a las personas que las recorren- pueden verse fácilmente comprometidos si una empresa es poco diligente en su enfoque. Entonces, ¿la seguridad física de los Data Centers es tan buena como las empresas hacen creer? "No", afirma Andrew Barratt, consultor principal de operaciones contra adversarios de la empresa de seguridad Coalfire. "Probablemente podría contar con una mano cuántos están bien pensados. Se olvida porque se da por hecho que es un producto básico". Y añade: "Todo el mundo piensa que todo eso funciona. Y luego no piensan en las amenazas del mundo real para esos controles físicos".

La seguridad física requiere reflexión

Barratt señala que para configurar bien la seguridad física, las empresas tienen que pensar correctamente los diseños y modelar adecuadamente las amenazas. De lo contrario, los controles de seguridad pueden convertirse a menudo en un "teatro", puesto que parece que cumplen su función, cuando en realidad son fácilmente burlados, ya sea por los atacantes o por el personal encargado de hacerlos cumplir.

"Algunos de los Data Centers más nuevos tienen cosas que parecen atractivas desde el punto de vista de la seguridad, pero luego se puede ver a la gente fumando al otro lado de la escalera de incendios, por lo que se podría haber entrado con un paquete de cigarrillos". Señala que los niveles de seguridad más bajos -en los que es más probable que funcionen los simples trucos de confianza de llevar chalecos de alta visibilidad- se dan en las instalaciones de los Data Centers corporativos que dan servicio a una empresa y sus filiales.

"Es mucho más común que haya una defensa periférica, un montón de controles de acceso muy rudimentarios, o que veas puertas sobre las que podrías estornudar y caer para entrar en un edificio. Incluso he visto algunos entornos en los que los propios guardias de seguridad te dejaban entrar si parecías estar luchando con la tarjeta de acceso", asegura Barratt.

"En mi experiencia, los que se han elaborado realmente bien son aquellos que han sido diseñados normalmente ex-militares", explica. "Han sido pensados puramente desde una perspectiva militar para su uso en entornos de infraestructuras nacionales críticas. Por lo general, las personas que mejor se dedican a esto profesionalmente son las que tienen la intención de que el gobierno, los militares o las infraestructuras críticas se alojen en ellas."

Un ejemplo de buen diseño podría estar en el aparcamiento. Debería haber una zona para prever y retener a los vehículos de los visitantes antes de que lleguen al parking final, para que puedan ser rechazados sin crear atascos. Otra sería las puertas: debería ser imposible que alguien siguiera a la persona que va delante de él. Sin embargo, esto es costoso, y a menudo se hacen recortes por razones comerciales.

Barratt sugiere que, en lugar de "soluciones cutres" que pueden ser vulnerables o crear una falsa sensación de seguridad en el personal de una instalación, a veces las empresas deberían simplemente aceptar los riesgos.

"A veces es mejor no hacerlo y saber que existe un riesgo ante el que la gente tiene que estar más atenta personalmente", afirma.

Rishab Verma, del equipo de pruebas de penetración de Defense.com/Bulletproof, señala que a menudo se descuidan las puertas de salida de incendios, que son un excelente punto de entrada y salida. "En ocasiones la gente la utiliza, tal vez para ir a comer y querer salir rápidamente, y simplemente se la dejan abierta", dice. "No hay una buena seguridad ni un buen control de acceso para las puertas de salida de incendios; solamente tendría que utilizar la salida de incendios para abandonar el edificio".

Señala que la falta de registro puede dificultar a las empresas el seguimiento del personal. El registro de las personas debe ser automático, tanto en la entrada como en la salida, y su incumplimiento -si, por ejemplo, les retiene una puerta en la salida- debe ser señalado.

El factor humano debe ser el centro de atención

Una de las principales vías de acceso de un especialista en pruebas de penetración a un Data Center es a través de las personas; engañando al personal de recepción y seguridad para que le dejen entrar directamente, o creando escenarios en los que se les pueda engañar o distraer el tiempo suficiente para permitir que un atacante entre.

"He perdido la cuenta de la cantidad de veces que me he puesto un traje a rayas y he entrado en un edificio porque la gente cree que pareces importante", dice Barratt. "Los trucos de confianza de la vieja escuela tienen mucho éxito y son difíciles de defender".

09 Nov 2021

Michael Montoya: Equinix's CSO a year on from its 2020 ransomware incident

Equinix CSO Michael Montoya talks to DCD about the company's September 2020 ransomware attack, and how it responded and recovered

Los guardias de seguridad, a pesar de estar, pueden ser a menudo un punto débil en las defensas. Este personal, a menudo mal pagado y con funciones subcontratadas, puede estar excesivamente dispuesto a ayudar por miedo a perder su trabajo.

"Lo que realmente se requiere es un grado de hostilidad, en un entorno social donde la gente tiene una mentalidad muy de servicio al cliente. El gran punto de cambio en lo que respecta a la seguridad física es hacerles sentir que realmente forman parte del negocio y que tienen un papel valioso", dice Barratt. "Es necesario que el director general diga 'puedes detenerme y no te voy a despedir'. Incluso es probable que el director general tenga que dar ejemplo de vez en cuando. Se necesita liderazgo y una buena gestión y, en realidad, muy buenas habilidades sociales y gestión de equipos, para que no sientan que pueden dejarse doblegar por alguien que juegue la carta de 'soy más importante que tú'".

Los equipos de seguridad física funcionan con mayor eficacia cuando sienten que son una parte cohesionada de la empresa en general y se sienten capacitados. Si los guardias de seguridad contratados reciben un salario bajo y les preocupa que les despidan, no es tan probable que se mantengan alerta o se sientan lo suficientemente valientes como para desafiar a personas que podrían ser superiores a ellos.

Barratt señala que un CISO con el que trabajó tenía una cartera de edificios que incluía Data Centers, y estaba preocupado por los guardias de seguridad de sus instalaciones.

"En varias pruebas de seguridad, los guardias de seguridad eran en realidad la mayor debilidad porque estaban socialmente condicionados a ser útiles para la gente; cualquier cosa que pudieran hacer para sentir que eran valiosos para el negocio lo intentarían hacer", dice.

Lo que hizo este CISO fue reducir a la mitad su equipo de seguridad física y triplicar su sueldo. A continuación, los dividió en dos equipos y les obligó a operar en tácticas de estilo militar permanentemente, unos contra otros. Llevaban una tabla de clasificación y ofrecían recompensas a los equipos que tenían éxito.

"Era una jugada realmente fascinante porque la gente era mayoritariamente la misma, pero tenían permanentemente un equipo que estaba en alerta máxima porque sabían que sus homólogos estaban siempre intentando simular un allanamiento. Ese nivel de alerta cambió rápidamente su equipo de seguridad casi de la noche a la mañana hasta el punto de no confiar en nadie".

Los controles de acceso no son impenetrables

Los controles de acceso físico, como las tarjetas de acceso, la biometría, los circuitos cerrados de televisión y las mantas, pueden hacer que sea mucho más difícil entrar en una instalación.

Sin embargo, muchos sistemas basados en tarjetas llave pueden ser fácilmente burlados. Hay dispositivos que pueden escanear las tarjetas en las inmediaciones y clonarlas. El cifrado de algunas tarjetas antiguas puede romperse y permitir a los atacantes crear perfiles completamente nuevos para ellas. Los errores de los empleados también pueden facilitar la vulneración de los controles de acceso fijos. El personal debe saber que debe mantener ocultos y asegurados elementos como las tarjetas llave.

"Dependiendo de la notoriedad del objetivo, los usuarios suelen publicar en las redes sociales fotos de sus tarjetas llave", dice Nicky Whiting, director de consultoría de Defense.com. "A partir de ahí, es muy sencillo crear su propia tarjeta llave con un diseño similar e imprimirla en algún plástico".

Eric Florence, consultor de ciberseguridad de SecurityTech, cuenta a DCD que en una pequeña instalación en la que trabajó anteriormente se realizaban pruebas de penetración periódicas, y que en un incidente se produjo un ataque en el que robó una tarjeta de seguridad a un empleado.

Keatron Evans, investigador principal de seguridad del Infosec Institute, afirma que recordar constantemente al personal -ya sea de seguridad o de funciones más técnicas- las posibles amenazas a la seguridad es la mejor manera de garantizar que los procedimientos se sigan correctamente.

"La regularidad con la que se recuerdan estas cosas es importante", afirma. "Cuando haces una buena campaña de concienciación sobre la seguridad, durante un mes, el porcentaje de éxito de la gente que bloquea los ataques y las cosas aumenta enormemente. Pero dejas de hacerlo y cinco o seis meses después, casi vuelves a estar como al principio".

Evans también señala la importancia de controlar a quienes se les da acceso en primer lugar para evitar que las tarjetas de acceso y la información importante caigan en manos equivocadas.

"Las empresas deberían hacer un mejor trabajo de escrutinio y comprobación de antecedentes porque hay casos de personas que se cuelan en lugares a través de ese mecanismo. No sólo los empleados técnicos, sino gente como conserjes, personal de limpieza; cualquiera que tenga acceso físico a las instalaciones". A veces, las empresas cometen errores aún más básicos que dejan sin efecto los controles existentes. Gillian Vanhauwaert, del equipo de pruebas de penetración de Defense.com/ Bulletproof, señala que en una instalación había un cartel que indicaba que había reuniones todos los miércoles a una hora determinada. Durante esa reunión, se puso una caja de papel en la puerta para que la gente entrara y saliera. "Se anunciaba cómo entrar, así que sólo tuve que esperar hasta esa hora y simplemente entré", dice.

Trucos del oficio: cómo entrar en un Data Center

Trucos confidenciales

En primer lugar, los encargados de las pruebas de acceso tratarán de que el personal de la instalación les deje entrar. Seguir a alguien a través de una puerta o portón es una técnica común, así como llevar una chaqueta de alta visibilidad y fingir ser un trabajador de la construcción.

Phil Robinson, consultor principal de seguridad y fundador de Prism Infosec, cuenta a DCD que una vez estaba realizando una evaluación física de una organización que tenía dos sedes: el edificio principal de oficinas y un Data Center. El centro de datos parecía razonablemente seguro, por lo que accedió a la oficina mediante un pase falso y un seguimiento. Después de encontrar una oficina vacía, halló un puesto de trabajo con el nombre de un miembro del personal superior en la pantalla de inicio de sesión.

"Utilicé el teléfono de la oficina para llamar a recepción y pedí la extensión del Data Center. Me dieron el número y llamé al centro de datos -que claramente procedía de un DDI interno e imité el acento regional local-, me anuncié como la persona que utilizaba la oficina y dije que había un problema informático urgente y que necesitaría acceder al rack informático para poder solucionar el problema".

El guardia de la recepción me dio un número de acceso que podía utilizar y me dijo que me esperaba en una hora. Me dirigí al Data Center y me registraron en 5 minutos, sin comprobar mi identificación. Me acompañaron al rack y conseguí conectar mi portátil de pen testing y empecé a hacer gestiones contra el entorno directamente desde la red del Data Center local".

Otro ejemplo se remonta a las prácticas de investigación, y a garantizar que los visitantes in situ -aunque se les espere- no se queden solos durante demasiado tiempo, si es que lo hacen.

"Vimos que se anunciaba un puesto de trabajo y que había alguien con nosotros que tenía un perfil que se ajustaba a ese puesto y tenía las credenciales adecuadas", dice Vanhauwaert de Defense.com. "Le hicimos presentar una solicitud y se presentó a una entrevista. Luego informamos a esa persona diciéndole 'cuando te pregunten si quieres café, dices que quieres un tipo especial de café que probablemente tardará en hacerse, y mientras te dejan en paz intentas buscar cualquier tipo de puerto y simplemente enchufas este (dispositivo)'".

"Puedes actuar como un nuevo empleado que se incorpora, ir con una carta que diga que eres un nuevo empleado, que tu tarjeta aún no ha sido entregada y que sólo tienes que entrar", añade Verma, de Defense.com. "Luego retas a la recepcionista diciéndole que tienes una reunión a las 10 en punto como si estuvieras muy asustado porque es tu primer día y tienes que entrar".

Otro ejemplo de truco de confianza de Verma es la vez que se hizo pasar por un inspector de salud y seguridad del ayuntamiento.

"Envié un correo electrónico actuando como si fuera del ayuntamiento, diciendo 'tenemos que hacer comprobaciones de salud y seguridad, mirar sus puertas de salida de incendios, etc. Por favor, indíqueme su disponibilidad para ir a ver el edificio". Recibimos una respuesta en la que nos decían que estaban más que dispuestos a hacerlo y nos daban su disponibilidad, y entonces les llamábamos para discutir qué hacer".

En este ejemplo, Verma recibió una visita al edificio del ayuntamiento, pero el funcionario se mostró reacio a ofrecer una visita al Data Center. Un reciente estudio de caso de NetSPI, una empresa de pruebas de acceso con sede en Minneapolis, detalló cómo la empresa recibió la tarea de entrar en una instalación propiedad de una compañía de colocación con un guardia de seguridad y dos empleados.

"Empezamos a mirar la lista de proveedores y nos dimos cuenta de que utilizaban una marca nacional de control de plagas muy conocida", dijo Dalin McClellan, consultor de seguridad senior de NetSPI. "Uno de los consultores con los que trabajamos acaba de tener a esa misma empresa para trabajar en su casa y tenían todos los correos electrónicos de confirmación. Tomamos esos correos electrónicos y los modificamos y luego enviamos un correo electrónico falsificado que parecía provenir de uno de los empleados del Data Center y lo enviamos al otro empleado del centro de datos."

El otro empleado no se dio cuenta de que el correo electrónico era falso y dio el visto bueno a la visita. Se alquiló una furgoneta, que se llenó de escaleras y otros equipos. El guardia de seguridad, que esperaba una visita, permitió la entrada a los atacantes antes de que el empleado del Colocarion les dejara pasar al edificio. "Intentamos acceder a las "jaulas" de los clientes, pero el empleado dijo que no. Sin embargo sí nos dejó entrar en los techos para comprobar si había plagas, donde habría sido fácil instalar micrófonos, cámaras de vídeo o empalmar un dispositivo en los cables".

Colarse con accesorios y uniformes

Si el encanto y la confianza no funcionan, sea creativo. Los controladores de acceso están encantados de utilizar accesorios para crear distracciones o escenarios en los que les dejen entrar. "El accesorio favorito de una colega para entrar en edificios era una barriga de embarazada falsa", dice Vanhauwaert de Defense.com.

"Se ponía muy 'embarazada' en las últimas etapas, contoneándose, luchando con una puerta y sosteniendo un montón de cajas, y la gente simplemente te abre cualquier puerta en esa etapa".

El consultor principal de Coalfire, Justin Wynn, señala que las muletas funcionan de forma similar a una barriga de embarazo falsa: "Este tipo de accesorios son el equivalente a las llaves de esqueleto. Estos accesorios son multiplicadores de fuerza cuando se va en solitario, pero tener un equipo que pueda dirigir las distracciones abre un mundo de oportunidades."

El director general y fundador de CyberOpz, Peter Clay, está de acuerdo en que tu mejor arma para conseguir acceso físico es un paquete de cigarrillos: "Averigua dónde van los fumadores y quédate allí el mayor tiempo posible. "Después de compartir un cigarrillo no eres un extraño sin rostro, sino un nuevo amigo que comparte el hábito prohibido, y es mucho más probable que tus nuevos amigos te abran las puertas, te dejen entrar en el ambiente y compartan más información útil de lo que harían con un 'extraño'".

"La segunda opción es el 'hombre Alka Seltzer'. Una persona se acerca a los guardias y se mete dos comprimidos Alka Seltzers en la boca simulando un ataque. Cuando los guardias reaccionan a la convulsión, un segundo o tercer cómplice hace su entrada. Una vez dentro, la víctima del "ataque" se recupera, dice que no necesita atención médica y sale del local".

Evans, del Infosec Institute, dice que en una prueba reciente en un banco y un Data Center, el equipo se dio cuenta de que parecía haber obras de remodelación -incluso dentro del centro de datos- con trabajadores de la construcción entrando y saliendo regularmente.

"Hicimos algunas fotos y fuimos a por unos chalecos verdes, imprimimos el logotipo, lo pusimos en un casco blanco y pudimos entrar literalmente en el banco y en su Data Center. Pudimos entrar allí y enchufar cosas sin ningún tipo de problema sólo porque parecíamos el personaje".

Fallos de construcción

Si no se puede engañar a la gente de un Data Center para que permita el acceso, a veces los defectos en el diseño del edificio proporcionan una manera de que los evaluadores de acceso entren.

En una reciente serie de tweets, el probador de acceso Andrew Tierney, conocido como CyberGibbons, reveló cómo una vez irrumpió en un Data Center a través de los pasillos de ingeniería de plomería detrás de los baños.

"Necesitaba acceder desde el lado menos seguro de un subsuelo al lado más seguro", dijo. "Estudiando los planos del edificio, pude ver lo que acabé llamando el 'pasillo de los meados' que recorre la parte trasera de los aseos".

Tierney señaló que en los edificios con cisternas ocultas, las habitaciones pueden diseñarse con paneles que se pliegan o con un pequeño pasillo a lo largo de la parte trasera para facilitar el acceso de los fontaneros. En la prueba del bolígrafo en cuestión, el edificio se había construido con el "método del pasillo". En este caso, el de los aseos evitaba las puertas trampa de los cilindros, y se descubrió en los documentos de planificación, que eran de acceso público.

"Tras acceder a la parte insegura, entré en los aseos. A través del cubículo accesible, había una puerta oculta que daba al pasillo para hacer pis. La abrí y caminé sin preocuparme", dijo. "Después de realmente asegurarme de que no había nadie más en el otro cubículo accesible, salí y me metí en los baños del lado seguro, en el Data Center".

Jacob Ansari, defensor de la seguridad y analista de ciber-tendencias emergentes para la evaluadora de cumplimiento de seguridad Schellman, tiene una historia similar de inseguridad en la construcción: "Hace muchos años, cuando era un poco más delgado, algunos colegas y yo nos metimos en una zona poco segura que estaba en construcción y en la que la cerradura de la tarjeta de acceso no funcionaba correctamente".

"Compartía el mismo suelo elevado que el Data Center, así que encontramos un extractor de baldosas, levantamos una de ellas y nos arrastramos por debajo del suelo elevado hasta el espacio del Data Center. Hay una fotografía nuestra en la que estamos cubiertos de polvo por arrastrarnos bajo el suelo elevado, y es uno de mis momentos favoritos de mi carrera".

Atacar con drones al Data Center

El económico precio y la facilidad -cada vez mayor- con la que se pueden comprar y volar los drones presentan nuevas oportunidades para que los posibles actores de amenazas realicen maniobras de reconocimiento en las propiedades.

"Utilizamos la tecnología de los drones y, en una ocasión, encontramos una puerta de acceso al techo que estaba abierta con un ladrillo en la parte superior de un edificio de un Data Center. Por supuesto, pudimos conseguir que algunas personas escalaran el edificio y entraran directamente al Data Center desde el tejado", explica Evans, del Infosec Institute.

"Si tienes un edificio de cinco plantas, se supone que la parte superior está más protegida que el suelo, así que la gente tiende a no poner tanta seguridad en el tejado".

Sin embargo, tanto Evans como Barratt, de Coalfire, señalan que una respuesta armada puede hacer frente rápidamente a cualquier vehículo aéreo no tripulado.

"Uno de mis pasatiempos es el tiro al plato, por lo que creo que un calibre 12 se encargaría de la mayoría de los drones con bastante rapidez; es barato y es relativamente fácil de entrenar a la gente", bromea Barratt. "Pero probablemente no quieras ver a la gente caminando con escopetas sólo porque -por azar- pueda haber un dron".

icone-de-courrier-electronique-rouge (1).png

Cómo entrar en un Data Center: los controladores de acceso revelan sus secretos

Issue 45: Leaving Ukraine

Hay que hablar de la seguridad física

La seguridad física requiere reflexión

El factor humano debe ser el centro de atención

Michael Montoya: Equinix's CSO a year on from its 2020 ransomware incident

Los controles de acceso no son impenetrables

Reciba las últimas noticias sobre la industria Data Center directamente en su bandeja de entrada

Más sobre Security + Risk

Thales y SONDA firman un acuerdo de colaboración para proyectos de ciberseguridad

DCD>Connect São Paulo, el principal evento de la industria del Data Center, comienza este martes

La importancia de la ciberseguridad en la protección de las infraestructuras energéticas

Etiquetas