Saltear al contenido principal

Ataque de Ransomware al aeropuerto más concurrido del mundo

El aeropuerto Hartsfield-Jackson de Atlanta apaga el Wi-Fi en medio de un ataque de Ransomware.

El día 23 de Marzo del 2018, el Wall Street Journal informó que el Aeropuerto Internacional Hartsfield-Jackson de Atlanta cerró el servicio de Wi-Fi como medida de seguridad mientras se producía un ataque Ransomware activo en la ciudad. Los primeros informes indican que varias computadoras oficiales de la ciudad tienen sus archivos encriptados y retenidos a cambio de un rescate, un ataque conocido como SamSam. El aeropuerto de Atlanta “desconectó” su servicio de Wi-Fi probablemente para evitar que el ataque se extendiera a las computadoras de las autoridades aeroportuarias, a las computadoras de las aerolíneas y posiblemente a las computadoras de los clientes.

Aunque los viajeros no experimentaron ninguna interrupción en sus vuelos, seguramente se sorprendieron al ver que el Wi-Fi SSID desaparecía de sus teléfonos, tabletas y laptops.

Ransomware es un tipo de ataque de malware avanzado que cifra archivos en un sistema informático para que no puedan ser utilizados y exige un rescate que se pagará a cambio de las claves de descifrado para restaurar los archivos a un estado utilizable. Por lo general, el ransomware está oculto o empaquetado en un archivo de aspecto legítimo o archivo adjunto de correo electrónico que las víctimas confiadas hacen clic y abren, infectando sus máquinas. Un archivo puede llegar a la computadora de un usuario de muchas maneras, como a través de cables Ethernet, a través de datos móviles y, por supuesto, Wi-Fi.

¿Qué tiene que ver el ransomware con Wi-Fi?

Si el ransomware infecta máquinas a través de uno o más archivos maliciosos, ¿por qué el aeropuerto de Atlanta cerró el servicio wifi si las computadoras portátiles, tabletas y teléfonos de las personas simplemente cambian de Wi-Fi a conectividad celular y los exponen a los archivos maliciosos? La respuesta es que las personas de redes y seguridad en el aeropuerto de Atlanta entienden que el Wi-Fi es una forma fácil para que los atacantes propaguen archivos maliciosos con herramientas de ataque simples y bien automatizadas que realizan ataques de “man-in-the-midle” (Por sus siglas en ingles MiTM, que en español significaria “Ataque Intermediario”) .
El aeropuerto de Atlanta entendió que si un atacante quería distribuir el ransomware malicioso a las computadoras de las autoridades del aeropuerto conectadas con el wifi del aeropuerto de Atlanta, podría hacerse y por lo tanto se desconectaron para evitar la amenaza por completo. Sin entrar en demasiados detalles, los fundamentos de un ataque “man-in-the-middle” de Wi-Fi son simplemente que alguien cercano burla el SSID, a veces incluso la dirección MAC de un punto de acceso legítimo, creando así un punto de acceso Evil Twin. Las máquinas de los usuarios se conectarán a Evil Twin sin darse cuenta de que todo el tráfico está siendo interceptado por un atacante que puede falsificar fácilmente las páginas de presentación o manipular la secuencia de datos para colocar archivos maliciosos en las máquinas de las víctimas. El video a continuación explica un ataque Evil Twin Wi-Fi con más detalle.

Recomendaciones.

Aunque es extremadamente comprensible ser demasiado cauteloso durante un ataque cibernético, el aeropuerto más activo del mundo se sintió cómodo al dejar el servicio Wi-Fi en funcionamiento si los edificios están adecuadamente protegidos con un Sistema Inmunitario de Prevención de Intrusiones (WIPS) que mantiene conectados a los aeropuertos privados y las aerolíneas a los puntos de acceso correctos, neutralizando así cualquier posible ataque de “man-in-the-middle” para propagar ransomware.

Carrito
Volver arriba