Inicio
Inicio
Solicite una demostración

Cómo engañan los ciberatacantes a los desarrolladores y por qué es necesaria una mejor formación en materia de seguridad

Compartir
  • Swati N. Gupta, Redactora técnica invitada

Al irrumpir en sistemas o redes, los piratas informáticos siempre explotan el eslabón más débil de una organización, y los desarrolladores se han convertido recientemente en objetivos cada vez más populares a los que perseguir.

¿Por qué persiguen los hackers a los desarrolladores? En la mayoría de las organizaciones, los desarrolladores suelen tener privilegios de acceso especiales a herramientas que contienen datos internos valiosos; están fácilmente disponibles en plataformas de redes sociales y, como la mayoría de nosotros, tienden a establecer contraseñas débiles o tienen las mismas contraseñas para varios sitios.  

Hacks recientes

Los recientes ataques de Lazarus Group, alias APT38, demuestran cómo los hackers atacan a los desarrolladores. Lazarus Group son los hackers patrocinados por el Estado norcoreano vinculados al robo masivo de 600 millones de dólares de la red blockchain Ronin por parte del Departamento del Tesoro de Estados Unidos.

Tras los ataques, el FBI, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el Departamento del Tesoro de EE.UU. emitieron un aviso conjunto sobre ciberseguridad en el que advertían a todas las empresas de criptomoneda que estuvieran atentas a los ataques de los piratas informáticos del Grupo Lazarus.

¿Por qué los hackers atacan con éxito a los desarrolladores y cómo lo hacen? Siga leyendo.

Por qué y cómo los piratas informáticos atacan a los desarrolladores

Desde correos electrónicos de phishing hasta complejas inyecciones de código, los hackers utilizan diversas técnicas para extraer datos valiosos de las organizaciones. Pero, ¿por qué los desarrolladores? Esta pregunta en particular es fácil de responder. Abordemos primero el "por qué".

¿Por qué los hackers atacan a los desarrolladores?

En una frase, la respuesta es porque los desarrolladores tienen privilegios de administrador. Pero esa es sólo una parte de la razón, aunque significativa. Otras razones pueden ser las siguientes:

  1. No suele haber suficiente seguridad organizativa para los desarrolladores, ya que no se les considera una amenaza para la seguridad.
  2. Los desarrolladores tienden a utilizar las mismas cuentas profesional y personalmente. Se ve especialmente en el caso de GitHub: sus repositorios de GitHub suelen estar mal configurados.
  3. Las cuentas de los desarrolladores no se consideran críticas para la seguridad y pueden no tener permiso para manipular el código de producción o desplegar aplicaciones por defecto. Sin embargo, a menudo eluden los controles de seguridad e interactúan de forma creativa con distintos sistemas debido a la naturaleza de las herramientas que utilizan para crear software.
  4. Sus perfiles están fácilmente disponibles en las redes sociales, por lo que crear correos electrónicos personalizados con una lucrativa oferta de trabajo es fácil. Los desarrolladores siempre están buscando la mejor oportunidad, y los hackers se aprovechan de esas situaciones.
  5. La manipulación del software durante el ciclo de desarrollo crea una puerta trasera que el atacante puede utilizar más tarde.
  6. Los vendedores de software se consideran proveedores de la cadena de suministro de software para llevar a cabo un ataque masivo a numerosos clientes potenciales (Tendencia nº 3 de Gartner).
 

Los desarrolladores se consideran usuarios privilegiados con acceso al entorno de desarrollo y al código fuente de una organización. El entorno de desarrollo tiene acceso a los datos de los clientes. Esto significa que toda la organización está en peligro si un solo desarrollador se ve comprometido.

Ahora que está claro por qué los hackers atacan a los desarrolladores, entendamos cómo lo hacen.

¿Cómo atacan los hackers a los desarrolladores?

Los hackers atacan a los desarrolladores de numerosas maneras. Pero el método más común se llama phishing.

A los hackers les encanta el phishing y los desarrolladores son su nuevo objetivo

A los hackers les encanta el phishing y suelen utilizarlo para robar información del eslabón más débil de una organización, en este caso, los desarrolladores. Los desarrolladores son humanos que tienden a cometer errores de vez en cuando, como el resto de nosotros, y los hackers son los primeros en aprovechar esas oportunidades.

Volviendo a la cuestión del "cómo", existen numerosas formas en que los hackers atacan a los desarrolladores de su organización. Algunos métodos comunes incluyen:

  • Correos electrónicos de spear phishing
  • Ingeniería social
  • Volcado de contraseña
  • Contraseñas robadas compradas en la Dark Web
 

Normalmente, los desarrolladores utilizan contraseñas similares para varias cuentas, por lo que si alguna de sus cuentas se ve comprometida, extraer sus contraseñas y utilizarlas para entrar en la cuenta de un desarrollador resulta más fácil. Las herramientas de software que descargan los desarrolladores también pueden abrir una puerta trasera para que los actores de amenazas entren en los sistemas si han modificado el programa con código malicioso.  

Algunos ejemplos de cuentas de desarrolladores comprometidas

A continuación figuran algunas de las principales cuentas de desarrolladores que se han visto comprometidas.

1. Desconfiguración del repositorio Git

En 2021, Twitch fue una de las empresas cuyo código fuente se filtró públicamente. En este caso, el código fuente se reveló debido a un repositorio Git mal configurado. Según la información privilegiada de la empresa, aunque no fue sorprendente, la filtración fue única. Razón: los actores maliciosos publicaron el código fuente de la empresa públicamente. La brecha dio a Twitch una razón para usar sus sombreros negros y buscar lagunas en su seguridad.

2. Filtración de credenciales Git

En su investigación de 2021, GitGuardian reveló que los desarrolladores utilizan con frecuencia tokens de conexión y claves SHH para autenticar Git. Como resultado, estas claves suelen acabar en repositorios públicos relacionados con proyectos personales. En su investigación, GitGuardian descubrió más de 60.000 tokens de acceso a repositorios privados, que se filtraron dentro de repositorios Git "públicos". Los actores maliciosos suelen buscar estos repositorios públicos para obtener acceso.

3. Usuario comprometido o amenaza interna

Una amenaza interna, o un usuario comprometido, es cuando un desarrollador es pagado por malos actores para dejarles entrar o es comprometido sin saberlo. Los hackers del grupo Lazarus accedieron al código fuente privado de numerosas organizaciones a principios de 2022 a través de una amenaza interna o de un desarrollador comprometido. Entre las víctimas se encontraban grandes nombres como Microsoft, Samsung y Nvidia.

4. Higiene inadecuada de las contraseñas

La higiene de las contraseñas es una de las mejores formas de mantenerse seguro en Internet. La ya famosa filtración de datos de Uber reveló que los hackers accedieron a repositorios privados de código fuente debido a una mala higiene de las contraseñas. Simplemente, los desarrolladores internos utilizaban las mismas contraseñas para varios sitios.

Vulnerabilidades en los conductos DevOps

Los pipelines DevOps son vulnerables por numerosas razones, pero la más significativa es el acceso privilegiado y los altos niveles de permisos que se otorgan a los desarrolladores. Según los expertos del sector, las canalizaciones DevOps deberían poseer y practicar las máximas medidas de seguridad, pero en realidad, tienden a tener las prácticas de seguridad más débiles, además de credenciales e infraestructura expuestas.

Las herramientas de desarrollo están fácilmente disponibles y accesibles en Internet. Y eso es sólo una parte del problema. Es bastante raro que la infraestructura de CI/CD reciba la atención deseada en comparación con el resto de la empresa. La situación empeora con las prácticas de desarrollo contemporáneas, una oportunidad perfecta para que jueguen los hackers.

Ataques crecientes a los conductos de DevOps: un asunto preocupante

Aunque podría haber sido más fácil decir que los ataques a los pipelines DevOps están lejos y son pocos, sin embargo, ese no es el caso. Y, por desgracia, los pipelines DevOps se han convertido en un blanco caliente para los malos actores y bandas criminales por igual.

En un estudio publicado en enero de 2022 por Argon - una empresa de seguridad de Aqua, se produjo un aumento de más del 300% en los ataques a la cadena de suministro de software, en comparación con 2020.

Otro estudio publicado por Sonatype en septiembre de 2021 reveló un aumento significativo de cerca del 650% en los ataques a la cadena de suministro de software de código abierto.

Tipos de ataques a las canalizaciones DevOps

Expertos y veteranos del sector han preseleccionado los tres ataques más significativos y comunes contra las canalizaciones DevOps:

1. Confusión de dependencia

Esto se conoce como ataque de confusión de espacio de nombres. Se trata de un tipo de ataque en el que actores malintencionados han descubierto los nombres de paquetes de software empresarial propietario y han creado paquetes de código abierto con nombres similares y fechas de lanzamiento posteriores. Algunas herramientas de canalización intentan descargar la última versión de un paquete de software por defecto. 

Resultado: El usuario, sin saberlo, acaba descargando el software con código malicioso.

2. Typosquatting

En este ataque, el atacante juega con la tendencia del usuario a cometer un error tipográfico mientras busca el paquete de software de código abierto. El atacante crea un paquete con un nombre similar y luego se sienta a esperar que un usuario cometa un error tipográfico y sea dirigido a la biblioteca infectada.

3. Inyección de código

Como su nombre indica, la inyección de código es la práctica de inyectar código malicioso en un proyecto legítimo de código abierto. Existen numerosas formas de conseguirlo, ya sea robando las credenciales del responsable de un proyecto o presentándose voluntario para trabajar en él. Los piratas informáticos también manipulan las herramientas de desarrollo de código abierto para obtener acceso.

Aunque las amenazas mencionadas existen, las vulnerabilidades de los componentes de código abierto son igual de temibles. Según los informes realizados por Synopsys, que revisaron más de 1.500 proyectos de software empresarial publicados, se descubrió que alrededor del 98% de ellos contenían código fuente abierto. Alrededor del 75% del código base de una aplicación media era de código abierto. Lo más preocupante es que alrededor del 84% de las bases de código tenían al menos una vulnerabilidad.

Otro estudio de Risk Based Security de Flashpoint reveló que en 2021 se divulgaron más de 28.000 nuevas vulnerabilidades, y unas 4.000 eran explotables de forma remota.

Alrededor del 91% de los componentes de código abierto aún no han recibido mantenimiento en los últimos dos años. Los actores maliciosos están al acecho de estas lagunas para entrar ilegalmente. Y basta con que un desarrollador se vea comprometido para que toda la organización se enfrente a una violación de datos.

Los desarrolladores necesitan protección - Cómo pueden ayudar las organizaciones

Sus desarrolladores son el eslabón más débil de su organización, y es su responsabilidad protegerlos y mantenerlos seguros. Las credenciales de los desarrolladores son lucrativas, y los hackers buscan esas credenciales para entrar.

¿Por qué entrar ilegalmente cuando ellos (los hackers) pueden entrar en la red a través de credenciales legítimas disponibles en Internet? Como ya se ha mencionado, los desarrolladores no son considerados una amenaza para la seguridad por su organización, y sin embargo son los más vulnerables. Razón: son los usuarios privilegiados con derechos de acceso específicos proporcionados a ellos.

Entonces, ¿cómo puede garantizar la seguridad de sus desarrolladores?

La respuesta es sencilla: mediante la formación con Kontra.

¿Qué es Kontra Application Security Training by ThriveDX?

Kontra Application Security Training by ThriveDX es una solución de formación AppSec que tiene como objetivo proporcionar las simulaciones y la educación en seguridad para desarrolladores más avanzadas, interactivas y basadas en web.

Con escenarios interactivos del mundo real, la formación en código seguro se transforma en una potente herramienta que ayuda a los desarrolladores a comprender las motivaciones de los hackers, identificar las vulnerabilidades de su código y proteger su software de futuros ataques. La formación equipa a las organizaciones para educar a los desarrolladores de funciones críticas, como front-end, back-end y desarrollo de bases de datos, en las mejores prácticas de código seguro.

ThriveDX impulsa el programa de formación, y su tecnología escalable reinventa y reimagina la educación en seguridad de las aplicaciones empresariales para el desarrollador moderno.

Conclusión

En los últimos años se ha producido un repentino y significativo aumento de las violaciones de datos, y los desarrolladores se han convertido en la nueva víctima favorita de los piratas informáticos. Debido a la naturaleza de la función de los desarrolladores, que tienen acceso a datos muy valiosos y, al mismo tiempo, suponen un esfuerzo relativamente bajo a la hora de vulnerarlos debido a su escasa formación en seguridad, los ciberdelincuentes están atacando activamente a los desarrolladores de empresas de todo el mundo y a cualquier escala.

Sin embargo, estas violaciones de datos pueden prevenirse con la formación adecuada de plataformas y herramientas como Kontra Application Security Training de ThriveDX. Kontra ayuda a su organización a mantenerse alerta y segura. ¿A qué espera? Concierte una llamada para obtener más información y conseguir que su organización y sus desarrolladores sean conscientes y estén seguros.

Swati Gupta, redactora técnica

Swati N. Gupta ha sido periodista, bloguera de estilo de vida y estudiante entusiasta de la vida. Sin ningún tipo de formación en tecnología, se sintió fascinada por tecnologías disruptivas como la IA, el ML, Deepfakes, etcétera. Comenzó a escribir sobre las certificaciones necesarias para convertirse en un exitoso ingeniero de IA o un científico de datos. Su amor por la lectura y la investigación profunda hizo que se interesara por el ángulo de seguridad de todas estas tecnologías. Hoy, Swati es una escritora de tecnología profunda que escribe sobre ciberseguridad y sus diversos aspectos.

Puede añadirla a LinkedIn o seguirla en Twitter.

Proteja a su organización del phishing

solicite una demostración
Compartir

Explorar más recursos

  • Artículo

Los 9 consejos de ciberseguridad más importantes para sus empleados

Las organizaciones están inundadas de consejos de ciberseguridad, pero ¿cuáles son los más importantes?
  • Artículo

8 amenazas a la ciberseguridad móvil que deberías tomarte en serio

Entre el 80 y el 90% de las aplicaciones móviles contienen una vulnerabilidad de seguridad. Más información
  • Artículo

Zoom Estrategias de ciberseguridad y privacidad

El crecimiento de Zoom durante y después de Covid agilizó el trabajo en zonas remotas. Sin embargo, las videoconferencias
  • Artículo

8 razones sorprendentes por las que los piratas informáticos atacan a las escuelas

Los piratas informáticos atacan a las escuelas por varias razones. Para robar datos de investigación, conocer secretos comerciales
Recursos empresariales

Su fuente de confianza para la educación cibernética

Suscríbase al boletín trimestral de ThriveDX para recibir información sobre las últimas tendencias en ciberseguridad, opiniones de expertos, noticias sobre seguridad y recursos gratuitos.

Inscríbete
Twitter Facebook-square Linkedin

¡Nos hemos unido a ThriveDX!

Para profundizar en nuestro compromiso de crear un impacto generacional con la mejor educación cibernética global para transformar vidas, Cybint es ahora un orgulloso miembro de la familia ThriveDX.
DESCARGUE SU COPIA GRATUITA
enlace de cierre
Desarrollado por Convert Plus

Contactar con las asociaciones de ThriveDX

[forminator_form id="10629″]

Si desea ponerse en contacto con alguien de nuestro equipo in situ, deje su información de contacto aquí y nos pondremos en contacto con usted directamente durante la conferencia.

Conéctese con nuestro equipo

Nombre(Obligatorio)

Ir al contenido