Autor: Franco Daniel VALENCIA MARÍN

1. CONTEXTO

Ledger es una compañía criptográfica basada en Francia, dedicada a la fabricación, venta y administración de monederos tipo hardware, utilizados para guardar criptomonedas en “frío”.

El 29 de julio de 2020, anunciaron en una comunicación oficial publicada en su página web¹, que el día 14 de julio de 2020, un investigador adscrito a su programa de recompensas, informó la existencia de una posible brecha de seguridad en el sitio web de Ledger, la cual fue reparada y produjo la apertura de una investigación interna.

Esta investigación arrojó como resultado que la vulnerabilidad encontrada había sido explotada con anterioridad, el día 25 de junio 2020, por un hacker que logró tener acceso a las bases de datos de comercio electrónico y marketing de la compañía. Dichas bases de datos son utilizadas para enviar las confirmaciones de los pedidos a los clientes, así como correos electrónicos promocionales.

La información expuesta comprometió las direcciones de correos electrónicos, los detalles de contacto y pedido, los nombres y apellidos de los clientes, su dirección postal, electrónica y su número de teléfono.

Ledger afirmó que la información de pago, así como los criptoactivos de sus clientes, almacenados en sus dispositivos hardware no se vieron comprometidos y se encuentran seguros.

1.1 EL PRIMER ATAQUE

El atacante tuvo acceso a una parte de la base de datos a través de una clave API que se vio comprometida. Tras descubrir la vulnerabilidad, Ledger desactivó la clave y es actualmente inaccesible según la compañía.

Aproximadamente 1 millón de direcciones se vieron comprometidas, 9500 de estas, además de su dirección electrónica, vieron expuestos otros datos personales, como su nombre, apellido, dirección postal, número de teléfono, así como los productos comprados en la tienda.

1.2. LAS MEDIDAS ADOPTADAS

Ledger tomó las medidas necesarias para desactivar la API que causó la vulnerabilidad en su sistema. De igual forma, inició inmediatamente una investigación interna, con la presencia de expertos externos y posteriormente, informó a sus clientes de dicho ataque.

El 17 de julio de 2020, la compañía notificó además a la autoridad francesa CNIL de la ocurrencia del ataque y posteriormente suscribió un contrato con la empresa Orange Cyberdefense, con el fin de evaluar los potenciales daños de la violación de datos y de prevenir otras vulneraciones.

Finalmente, el 29 de julio de 2020 la compañía hizo público lo ocurrido a través de su página web. Los clientes afectados habían sido notificados con anterioridad por correo electrónico.

1.3. LAS RECOMENDACIONES DADAS

Debido a que la información extraída comprometía la identidad y los datos de contacto de los compradores de Ledger, la compañía lanzó un mensaje de prevención para que sus usuarios tuvieran cuidado con intentos de phishing por parte de los cibercriminales.

Por lo anterior, recordó que la empresa nunca solicitaría las 24 palabras (seed) que conforman la frase de recuperación de los monederos en caso de perdida y que sirve para acceder y controlar los criptoactivos que se encuentran dentro del dispositivo. Por tanto, sugirieron fuertemente que cualquier correo electrónico que proviniese aparentemente de Ledger solicitando dichas palabras de recuperación, debería considerarse automáticamente como un intento de phishing.

1.4 EL SEGUNDO ATAQUE

Tal como Ledger lo había previsto, durante el mes de octubre de 2020 varios usuarios de la compañía comenzaron a recibir correos electrónicos a través de los cuales los piratas informáticos se hacían pasar por funcionarios de la empresa, informando que era necesario descargar una nueva versión de la cartera de criptomonedas.

Dicho mensaje informaba que 85.000 usuarios de Ledger experimentaban problemas de seguridad, motivo por el cual era necesario descargar la nueva versión. Este incidente fue reportado por los mismos usuarios en el reconocido foro cripto llamado Bitcoin Talk²y en otros medios. El claro ataque de phishing provenía de la dirección: support@legder.com, siendo bastante fácil para los usuarios caer en el engaño, ya que el correo oficial es casi idéntico, support@legder.com, cambiando solamente el orden de una de las letras.

Hasta el momento no existen cifras exactas de las pérdidas sufridas por las víctimas, pero se han reportado que varios usuarios han perdido sus fondos³tanto en Bitcoin⁴como en otras criptomonedas⁵al caer en el engaño de los cibercriminales. Las pérdidas se estiman en millones de dólares.

2. ANÁLISIS DEL CASO

Teniendo en cuenta los conocimientos adquiridos durante el curso de Ethical Hacking, el hackeo a la base de datos de Ledger y los ataques posteriores contra sus usuarios pueden ser clasificados e identificados de acuerdo a las siguientes premisas.

2.1 SOBRE EL HACKING DE APLICACIÓN WEB

Los productos de Ledger pueden adquirirse en el dominio “shop.ledger.com”, desarrollado a través de la plataforma Shopify. Si se desea comprar un dispositivo Ledger, es necesario registrarse como cliente y proporcionar datos personales de identificación.

Según las informaciones brindadas por la compañía y por otros expertos en el tema, la causa de la filtración de datos apunta a una configuración incorrecta que permitió a los atacantes acceder a una clave API privada. Una API representa la capacidad de comunicación entre componentes de software, es decir, es una especie de puente que permite tener acceso parcial o total a las funcionalidades de una aplicación, en este caso a una página web.

En el caso de Shopify, como proveedor de comercio electrónico, este proporciona claves API para realizar solicitudes a la base de datos interna con fines de marketing. La clave vulnerada permitía la manipulación y observación de los datos personales de los usuarios que habían adquirido los productos de Ledger y de esta manera fue posible para los atacantes tener acceso a dicha información.

Aún se desconoce cómo se tuvo acceso a la clave API; sin embargo, es posible que esta presentara algún fallo de programación que fuera descubierto por los atacantes y así lograran explotar la vulnerabilidad para ganar acceso a la base de datos. Por otra parte, teniendo en cuenta que dichas claves son proporcionadas por Shopify a los clientes que utilizan su plataforma, también existe la posibilidad de un ataque interno; sin embargo, aún no hay indicios de esta circunstancia.

Las medidas que Ledger hubiera podido tomar para evitar esta situación podría haber sido en primer lugar la implementación de un proceso de cifrado sobre los datos personales de los clientes que se encontraban en la base de datos. Sin importar que estos datos no correspondieran a informaciones bancarias o a datos relativos a los fondos almacenados en criptomonedas, el cifrado hubiese permitido asegurarlos en caso de una vulneración, volviéndolos inaccesibles a terceros no autorizados y así se hubiera evitado el posterior ataque de phishing.

De igual manera, la revisión constate de las claves API y el análisis de vulnerabilidades no solo de su plataforma, sino también de la plataforma de su proveedor Shopify, hubiera quizás permitido descubrir la vulnerabilidad con anterioridad y así evitar que esta fuera explotada por un tercero.

Por último, el área forense encargada de determinar las circunstancias del ataque, de encontrar la evidencia necesaria y eventualmente los posibles responsables, sería el área de análisis forense de aplicaciones web, justamente estos se encargan de encontrar evidencia en aplicaciones web, como la plataforma Shopify y específicamente la tienda de productos de Ledger. Precisamente por este motivo Ledger contrató a la empresa Orange Cyberdefense, la cual presta servicios especializados en esta y en otras áreas relacionadas con la ciberseguridad.

2.1 SOBRE EL ATAQUE DE PHISHING Y EL CÓDIGO MALICIOSO EN LA APLICACIÓN DE LEDGER

Los datos extraídos ilegalmente por los atacantes fueron usados posteriormente en un ataque de ingeniería social, bajo la modalidad de phishing. Este fue planeado meticulosamente desde el inicio, puesto que se crearon direcciones y dominios y se alteró la plataforma de la compañía de tal forma que los usuarios creyeran que todo provenía de Ledger.

Dicho ataque de ingeniería social se concentró en atacar la parte humana de los usuarios, haciéndolos creer que sus fondos en criptomonedas se encontraban en peligro. No fue un ataque dirigido a un usuario en particular, sino a todas las direcciones electrónicas y teléfonos que se encontraban alojados en la base de datos vulnerada.

Lamentablemente respecto al ataque de ingeniería social, la única medida que Ledger hubiera podido haber implementado es una campaña de concientización, enfocada en las medidas de seguridad que todo usuario que adquiere un dispositivo Ledger debe tener. Quizás el envió frecuente de correos electrónicos o publicaciones dedicadas a la seguridad en su Blog hubieran sido de utilidad para aumentar los conocimientos de sus usuarios y evitar que estos cayeran en este tipo de ataques.

Además, según una investigación realizada por un experto particular⁶, los atacantes adulteraron la aplicación Ledger Live, utilizada por los usuarios para administrar su billetera hardware y los criptoactivos que almacenan en ella. Esta presenta actualizaciones en tiempo real y la posibilidad de intercambiar criptomonedas entre cuentas.

Aparentemente una modificación sutil en el código de esta aplicación permitía que el usuario introdujera sus palabras de verificación, las cuales posteriormente eran transmitidas al sitio https://loldevs.com. Es así como la victima al ingresar su frase, esta era enviada a la dirección de los atacantes y de esta forma estos podían hacerse con el control de los fondos alojados en la billetera.

Por tanto, además de un ataque de ingeniería social, estamos a su vez frente a un malware con un código malicioso que fue introducido en el aplicativo de Ledger y que combinado con la vulneración de datos inicial y el posterior ataque de phishing, dio como resultado el robo tanto de informaciones personales, como de grandes sumas de dinero, representado en criptomonedas.

Para haber prevenido este ataque, la compañía debió mantener actualizada su plataforma Ledger Live y bajo constante revisión, sobre todo una vez que se percataron del robo de datos. Actualmente, los investigadores forenses especializados en software podrían analizar el programa con el fin de encontrar evidencia que permita llegar a los responsables. De igual forma, especialistas forenses en blockchain podrían seguir el rastro de las criptomonedas hurtadas, siempre y cuando las características de cada una lo permitan.