Kaspersky dice que Web Hack 'no debería haber sucedido'

Es lo peor Eso le puede pasar a un proveedor de seguridad informática: este fin de semana, Kaspersky Lab de Moscú fue pirateado. Un hacker, que se identificó solo como Unu, dijo que pudo entrar en una sección de la nueva Web de soporte de la compañía en los EE. UU. aprovechando un error en la programación del sitio.

En una conferencia telefónica con reporteros, el ingeniero de investigación senior de Kaspersky, Roel Schouwenberg, dijo que si bien él cree que el hacker no accedió a ninguna información del cliente como las direcciones de correo electrónico, piratear dañaría la imagen de la compañía. "Esto no es bueno para ninguna compañía, y especialmente para una compañía que se ocupa de la seguridad", dijo. "Esto no debería haber sucedido, y ahora estamos haciendo todo lo que está a nuestro alcance para hacer el análisis forense en este caso y evitar que esto vuelva a suceder".

[Más información: cómo eliminar el malware de su PC con Windows]

Schouwenberg culpó de la brecha a un error de programación web que se introdujo en el rediseño del sitio de soporte el 29 de enero, lo que significa que el error fue en vivo en el sitio de Kaspersky durante aproximadamente 10 días. "Algo salió mal en nuestro proceso interno de revisión de código", dijo.

Este error dejó al sitio de soporte de Kaspersky vulnerable a lo que se conoce como ataque de inyección SQL, que podría haber dado acceso al hacker a aproximadamente 2.500 direcciones de correo electrónico de los clientes hasta quizás 25,000 códigos de activación de productos.

En un ataque de inyección SQL, el hacker aprovecha los errores en los programas web que consultan las bases de datos. El objetivo es encontrar una forma de ejecutar comandos dentro de las bases de datos y acceder a la información que normalmente estaría protegida.

El código en el sitio web de Kaspersky generalmente está sujeto a una auditoría interna y externa. Kaspersky contrató al experto en bases de datos David Litchfield para investigar el incidente y espera poder informar más sobre el pirateo en 24 horas, dijo la compañía.

En una entrevista por correo electrónico, Litchfield dijo que había realizado este tipo de investigación antes de. "Normalmente no hay problemas con investigaciones de este tipo. Por supuesto, un atacante puede intentar ocultar sus pistas, lo que hace las cosas más difíciles, pero de ninguna manera imposibles".

Unu notificó a Kaspersky del error vía e- correo el viernes, y luego una hora más tarde pirateado en el sitio. Kaspersky no vio ese correo electrónico hasta mucho más tarde, pero la compañía se dio cuenta de que había sido pirateado alrededor del mediodía, hora del este, del sábado, dijo Schouwenberg. Tan solo 15 minutos después, Kaspersky volvió a una versión más antigua de su código de sitio de soporte, que no contenía el error.

Kaspersky cree que Unu es de Rumania, pero no está buscando acción legal en el caso. Las autoridades rumanas tienen recursos limitados y es poco probable que investiguen más el incidente, dijo Schouwenberg en un correo electrónico.

Han ocurrido peores ataques. De hecho, el truco de Kaspersky "apenas vale la pena mencionarlo" junto a las principales brechas de seguridad, como el reciente hack que dio acceso a los delincuentes a los sistemas en el procesador Heartland Payment Systems, dijo Paul Roberts, analista de The 451 Group. "Pero Kaspersky es una compañía de seguridad", dijo a través de un mensaje instantáneo. "Entonces hay un riesgo de reputación mucho mayor aquí que, por ejemplo, en un supermercado".