Esta vez la víctima fui yo: relato sobre el hackeo a mi cuenta de correo desde Corea

Nota: Este artículo es informativo y no tiene la intención de comunicar detalles técnicos referentes al incidente como indicadores de compromiso (IoC) o tácticas, técnicas y procedimientos (TTPs) usadas por los criminales.

Alerta sospechosa – inicio de sesión exitoso desde Corea del Sur

El pasado 6 de junio, David – Chief Information Security Officer (CISO) y co-fundador de Digital Keeper, me marcó a eso de las 10:00 p.m. Como de costumbre, yo estaba en medio del ritual nocturno de escuchar un podcast mientras hacía ejercicio. 

Como trabajamos en una industria que no duerme, las llamadas a deshoras son las primeras que se contestan. En ese sentido, somos como los doctores. Por eso, lo primero que hice fue poner en pausa al Oso Trava y a la caminadora para atender la llamada de David.

David: Qué onda. Oye, una pregunta… ¿acabas de iniciar sesión en tu correo de Digital Keeper?

Yo: No, ¿por? Estoy en el gimnasio.

David: Ok, ok. Pregunto porque el equipo de SecOps me acaba de notificar sobre una alerta que recién llegó. Al parecer alguien desde Corea del Sur entró a tu correo hace un par de minutos.

Yo: ¿Cómo?

David: No sé, pero en lo que investigamos y vemos qué fue lo que pasó voy a desactivar tu cuenta.

Yo. Perfecto.

Hábitos personales de seguridad en línea

Me dedico a la ciberseguridad, eso me hace mucho más cauteloso (y paranoico) que el 99% de la población. Así que tomo distintas medidas para prevenir cualquier incidente cibernético. Sin entrar a detalle técnico, algunas de estas medidas son:

1. Utilizo un administrador de contraseñas para generar contraseñas aleatorias y únicas para cada uno de los servicios que utilizo: correo electrónico, redes sociales, bancos, etc. Al día de hoy tengo en mi bóveda más de 291 contraseñas, algunas de ellas con más de 30 caracteres. No me sé ninguna, más que la contraseña maestra para acceder al administrador de contraseñas.
2. Tengo activada la Verificación de Dos Pasos (Two Factor Authentication o 2FA) en todo lo que uso. Esto sirve para que, si alguna de mis contraseñas fuera comprometida, el criminal aún necesitaría un código o dispositivo físico para poder acceder a lo que sea que quiera robar acceso; por ejemplo, mi cuenta de correo.
3. Utilizo una Red Privada Virtual (VPN) para navegar por Internet. Esta VPN me permite reforzar mi privacidad al ocultar mi actividad en línea al proveedor de Internet o a quien administre la red que estoy utilizando (especialmente en redes públicas o que no son confiables), y evita exponer mi dirección IP real (incluso simula que estoy conectado desde otra ciudad o país).

El misterio de un acceso no autorizado: ¿cómo lo lograron?

En el caso del inicio de sesión exitoso desde Corea del Sur había muchas cosas que no cuadraban. Primero que nada, los atacantes tuvieron que hacerse de mi contraseña. ¿Pero cómo?

Una posibilidad era que hicieran un ataque de fuerza bruta. Es decir, intentar sistemáticamente todas las combinaciones de caracteres posibles hasta encontrar la contraseña correcta (¡de 20 caracteres!). De acuerdo con Password Monster, un sitio para medir el nivel de seguridad de una contraseña, a un criminal le habría tomado algo así como 9 veces la edad actual del universo para ‘adivinar’ la mía. Imposible.

Otra posibilidad era que, a través de un ataque de phishing, hicieran lo que se conoce como “credential harvesting”. Es decir, que hubiera recibido un correo de phishing con un enlace que, al darle clic, me redirigiera a un sitio espurio. Al intentar iniciar sesión con mi correo y contraseña en aquel sitio podrían haberme robado mis credenciales. No lo creo. 

Otra alternativa era que mi contraseña hubiera sido filtrada en una brecha de seguridad de Google o incluso de mi administrador de contraseñas. Dudoso.

Hasta aquí todo parecía muy raro. Incluso cuando hubieran robado mis credenciales por cualquiera de los tres métodos descritos anteriormente o cualquier otro, tenía activado el 2FA. Esto implica que, aun cuando tuvieran acceso a mi contraseña del correo, Google les solicitaría un código para finalmente poder acceder a la cuenta. ¿Cómo fue que pudieron burlar este segundo control?

De México a Corea en minutos

La probabilidad de que el atacante tuviera acceso a mi contraseña era baja. La probabilidad de que el atacante tuviera acceso a mi contraseña y al código 2FA era virtualmente cero. Por eso, tenía que haber otra explicación: la VPN.

La alerta que levantó este inicio sospechoso de sesión correspondía a lo que se conoce como alerta de viaje imposible. Este concepto se refiere a la detección de actividad sospechosa cuando un usuario intenta iniciar sesión desde ubicaciones geográficas diferentes en un tiempo tan corto que sería físicamente imposible viajar entre ellas. Un ejemplo de alerta de viaje imposible sería que un usuario iniciara sesión desde México y minutos después desde otro país, como Corea del Sur.

Esto fue lo que ocurrió. Después de que el equipo de SecOps de Digital Keeper analizó las bitácoras de seguridad, el veredicto fue que había iniciado sesión en mi cuenta de Google para acceder a un Google Doc. Sin darme cuenta y sin saberlo, la VPN que uso en mi teléfono se había conectado automáticamente a una IP de Corea del Sur, lo que hizo que pareciera que el inicio de sesión había sido desde aquel país. Este hecho detonó la alerta en nuestro SIEM, que fue atendida inmediatamente por el equipo de Respuesta de Incidentes.

En resumen, no me hackearon, pero ¡cerca la bala!

Post Mortem

Me llevo algunas lecciones: 

1. Es mejor prevenir que lamentar. El protocolo de respuesta de incidentes de David y el equipo fue el adecuado. Ante la duda, mejor desactivar mi cuenta de correo y después investigar qué pasó.
2. No se puede proteger lo que no se puede ver. El hecho de nosotros contar con tecnología para detectar anomalías (como un inicio de sesión sospechoso) nos permite estar alertas de cualquier comportamiento que pueda desviarse de la norma. ¿Qué habría pasado si no hubiéramos sido capaces de detectar ese inicio de sesión en primera instancia?
3. Los primeros minutos son cruciales. Si realmente se hubiera tratado de un compromiso, el criminal hubiera perdido acceso a la cuenta prácticamente al momento, al quedar desactivada en minutos. Por ende, el daño habría estado muy acotado.
4. La vulnerabilidad nos hace vigilantes. No por dedicarnos a la ciberseguridad y adoptar medidas estrictas de seguridad, bajamos la guardia. Somos conscientes que en cualquier momento puede suceder algo que se salga del guión. Por eso, utilizar tecnología para detectar oportunamente cualquier potencial intrusión, y contar con un equipo de Respuesta de Incidentes es una combinación bastante poderosa que permite actuar rápido ante cualquier eventualidad.

En lo personal, recibir aquella llamada de noche, diciéndome que mi cuenta había sido potencialmente comprometida, me hizo sentir un vacío. Incluso cuando pertenezco al percentil 99 de personas que utilizan medidas preventivas de seguridad, este falso positivo es un recordatorio de lo frágiles y vulnerables que estamos a que en cualquier momento podamos ser las próximas víctimas.