Caso de éxito 002_

Asunto

Una compañía multinacional de telecomunicaciones sufrió un incidente de seguridad que ocasionó la caída del servicio de telefonía móvil en todo el país. Aunque el servicio se consiguió restablecer parcialmente al final del primer día, los efectos se prolongaron durante más de dos semanas con fallos de comunicación intermitentes.

En ese momento, el país atravesaba una situación sociopolítica delicada, con una relación tensa entre gobierno y multinacionales por lo que el impacto del incidente se vio amplificado.

En ese contexto, el equipo especializado en hacking ético y análisis forense viajó al lugar afectado para investigar el incidente y dar soporte técnico a las áreas de seguridad y auditoría de la organización. Se identificó la causa y al responsable de la caída (un ex-empleado, especialista en redes) que fue detenido y acusado de sabotaje y terrorismo. Finalmente se dio soporte en la defensa de la compañía frente al peritaje de la Aseguradora. Las pérdidas se valoraron en más de 50 millones de dólares.

Acciones

• Computer forensics

El autor comprometió múltiples sistemas (servidores, estaciones de trabajo y dispositivos de red) que utilizaban tecnologías muy dispares. Su finalidad era asegurarse varias vías de acceso y de ocultar su rastro. Trabajamos con el cliente para identificar todos esos sistemas y hacer un análisis forense.

• Network forensics

Aprovechando su puesto de trabajo, el atacante había preparado un complejo entramado de enlaces de red que terminaban físicamente frente a la vivienda de un familiar suyo, dando acceso al Core de la red. Se analizó la arquitectura de red, se recogieron los datos de registro y se hicieron capturas de tráfico. Este análisis tuvo como objetivo reconstruir la actividad del atacante antes, durante y después del incidente.

Resultados

• Se identificaron las causas que provocaron la caída de la red móvil y se confirmó que había sido un sabotaje.
• Se identificó al culpable del incidente y sus métodos de trabajo. Se localizaron las vías de acceso remoto.
• Se identificaron los sistemas implicados en el incidente y los equipos afectados.
• Pese a la limitada información registrada, se reprodujeron los pasos seguidos (nivel de detalle “comando”) con técnicas y herramientas ad-hoc.
• El ex-empleado llevaba planeando el ataque desde hacía meses y tenía muy consolidada su posición en la red Core.

Acciones de Remediación

Se llevó a cabo un diagnóstico de seguridad completo de la red del cliente para identificar nuevas debilidades y amenazas y reducir el riesgo de incidentes similares en el futuro. A partir de estos resultados, se desarrolló un plan completo de seguridad para un horizonte temporal de dos años.