Los 5 hacks más importantes mostrados en la conferencia de DefCon

La semana pasada finalizó en Las Vegas la conferencia anual de hackers “DefCon”. Cada años cientos de hackers se reúnen para demostrar sus últimos descubrimientos en seguridad y enseñar nuevas técnicas para penetrar computadoras, redes y todo tipo de dispositivos.

Estos son los 5 hacks más importantes de DefCon 2013:

1. Los sistemas de control de los autos

Cada año los fabricantes de automóviles incluyen nuevos sistemas de control que son manejados por computadoras y un hacker australiano con el sobrenombre de Zoz demostró que tan fácil es hackear la computadora de un auto. Zoz mostró que utilizando una red inalámbrica, un hacker pudiera controlar diferentes sensores del auto, e inyectarle información falsa, como por ejemplo la velocidad en la que el auto de desplaza. Charlie Miller y Chris Valasek, dos investigadores que estaban trabajando para DARPA presentaron también un estudio donde mostraron la forma como controlaron un Toyota Prius y un Ford Escape con solo escribir un programa e insertar el código en el auto utilizando el puerto de diagnóstico.  Ambos lograron controlar el sistema de aceleración, frenos, y el timón remotamente una vez que la computadora del auto estaba infestada con el virus que desarrollaron.

 2. Los teléfonos móviles

Con la popularidad de los teléfonos móviles inteligentes, ha aparecido una nueva generación de hackers que se dedican a robar información personal de los teléfonos sin siquiera tocarlos.

Kevin McNamee demostró como es posible insertar un virus en un teléfono de Android y básicamente convertirlo en un dispositivo para espiar al dueño del teléfono.  Con el virus activado, el teléfono mandaba secretamente las fotos, los mensajes de textos y el historial de llamadas a un servidor que era controlado por el hacker.

Interesantemente, McNamee utilizó el popular juego de Angry Birds para instalar el virus simplemente agregándole unas líneas de códigos adicionales a una copia del juego.

En otra demostración, Billy Lau, Yongjin Jang y Chngyu Song modificaron un cargador del iPhone para instalarle un hardware que interceptaba contraseñas, emails y otras informaciones personales del dueño del teléfono. Estos tres hackers chinos dijeron que el problema estaba en la forma como el iOS maneja la información guardada en la memoria cuando el teléfono esta inactivo. Un representante de Apple que se encontraba en la conferencia afirmó que ya habían sido informados con anterioridad del problema y que sería arreglado en el iOS 7.

3. Los dispositivos caseros

Varias compañías han sacado al mercado una serie de sensores y dispositivos que permiten controlar los electrodomésticos, el aire acondicionado, y las cámaras de seguridad caseras remotamente, sin embargo tal y como lo demostraron Aaron Grattafiori y Josh Yavor, estos dispositivos se pueden hackear facilmente. Ambos hacker lograron inclusive interceptar la señal de las cámaras que vienen en un TV inteligente de Samsung, pudiendo observar el interior de la sala donde el TV estaba localizado.

4. Rastreando a las personas

Utilizando una computadora Raspberry Pi,  y dos conexiones de WiFi  Brendan O’Connor fabricó un dispositivo que cuando se coloca cerca de un teléfono móvil, puede capturar información que indica los lugares donde la persona ha estado. Durante la demonstración del dispositivo O’Connor encendió su celular y en cuestión de segundos su dispositivo capturó una serie de datos que una vez procesados mostraba en un mapa los lugares que había visitado recientemente. Según O’Connor los teléfonos móviles emiten este tipo de información constantemente cuando están tratando de localizar las torres de celulares más cercana para establecer una llamada y solo se necesita un dispositivo para interceptar e interpretar la data.

Durante la demostración, O’Connor utilizó una combinación de Open Street Maps y un software para desarrollar juegos procesados conjuntamente por la Raspberry Pi. El hacker mostró en una pantalla, no solo los lugares que había visitado, sino también su dirección de email y una foto que suya que había subido a una red social. Toda esta información fue obtenida subrepticiamente con el aparato que el fabricó.

5. Complejos industriales

Quizás una de las áreas mas vulnerables a un ataque cibernético masivo son los complejos industriales o las infraestructuras que controlan la electricidad, el agua y el gas.

La mayoría de estas industrias utilizan un protocolo llamado Supervisory Control and Data Acquisition (SCADA) que facilita el monitoreo masivo de todo el sistema de distribución, sin embargo varios hacker demostraron la enorme vulnerabilidad de estos sistemas. Brian Meixell y Eric Forner recrearon un sistema de bombeo de petróleo muy común que utiliza el SCADA, y en cuestión de minutos lograron inyectar información falsa en el sistema de monitoreo haciéndole creer que el contendor estaba vacío.  El sistema ordenó “rellenar” el contenedor, lo que hubiera causado un derrame masivo de petróleo crudo si esto hubiera ocurrido en una situación real.

Carlos Penagos y Lucas Apa demostraron como era posible penetrar el sistema de control de un complejo industrial a más de 60 km de distancia utilizando señales de radio, e inyectando comandos que ordenaban aumentar la cantidad de gas que pasaba por las tuberías. Penagos y Apa afirmaron que un ataque de este tipo pudiera traer consecuencias catastróficas para el país y el medio ambiente.

Tags: ataques cibernéticas, Defcon 2013, hackers, seguridad