Sociedad | Tecnología

Hackers vs. Mercado Libre

El conocido grupo Lapsus$ anunció planes de publicar información sensible de la plataforma. ¿Qué implica que se acceda al código fuente de un programa?

SHUTTERSTOCK

Mercado Libre, una de las empresas más grandes del país, reconoció en un comunicado que se produjo un acceso indebido a sus sistemas: «Recientemente hemos detectado que parte del código fuente de Mercado Libre, Inc. ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo», anunció. Los datos de cerca de 300.000 usuarios quedaron expuestos y se cree que fue descargado el código fuente de cerca de 24.000 programas de la empresa. Los usuarios deberían estar muy atentos a mensajes sospechosos y activar la autentificación de dos factores, la que envía un mensaje al celular si hay actividad sospechosa.
El grupo que se atribuye el acceso ilegal es Lapsus$, de quienes se tiene poca información, aunque algunas fuentes consideran que son latinoamericanos, más probablemente brasileños, por algunas publicaciones en portugués, algo poco habitual. Los delincuentes vienen de filtrar información sensible de empresas como Samsung y Nvidia. Por su parte, las acciones de Mercado Libre cayeron un 10% desde que se supo la noticia.
¿Qué significa esto y qué consecuencias puede tener?

Caja blanca
El lenguaje en el que se programa no es el mismo que, finalmente, utiliza la computadora. Las instrucciones se «traducen» a un lenguaje que solo ellas entienden. Por eso, una persona que no tiene acceso al programa original, el «código fuente», solo puede hacer pruebas para ver cómo responde. En cambio, si se puede ver cómo está hecho, el software deja de ser una «caja negra»: «Con el código fuente las vulnerabilidades son más obvias y podés hacer testing de “caja blanca”. Sin el código fuente solo ves lo que se expone para afuera y tenés que “deducir” por cómo se comporta», explica Maximiliano Contieri, ingeniero y docente de Ciencias de la Computación (UBA). «Las empresas serias tienen distintos repositorios con distintas credenciales. Yo no guardaría el sistema de marketing en el mismo lugar que la inteligencia artificial que detecta fraudes».
Lapsus$ asegura haber descargado cerca de 24.000 programas. ¿Por qué tantos? Es probable que incluyan algunos que efectivamente se utilizan para servicios, pero también software viejo, descartados, pruebas, etcétera. En ese caso el trabajo para los potenciales hackers llevaría tiempo, y la empresa debería trabajar rápidamente para buscar posibles vulnerabilidades.

En las mejores familias
Las motivaciones de los hackers pueden ser variadas: chantajear a las empresas, informarlas sobre sus vulnerabilidades para que los contraten o simplemente ganar prestigio. En este caso, Lapsus$ lanzó una encuesta para ver qué documentación filtran primero, si la de Vodaphone, Mercado Libre o Impresa. La encuesta cierra el 13 de marzo y, de momento, viene ganando Vodaphone. Pero ¿qué puede ganar Lapsus$ con compartir algo que, seguramente, llevó mucho trabajo conseguir? «Es una buena pregunta. A mí me parece que se trata de que ganan crédito y reputación para luego hacer lo mismo bajo demanda, de manera paga», explica Fernando Schapachnik, director ejecutivo de la Fundación Sadosky, dependiente del Ministerio de Ciencia, Tecnología e Innovación. «Igual no podemos descartar que le hayan pedido plata a ML y lo publiquen como represalia por no recibir el pago».
No es fácil acceder a las partes más sensibles de un sistema, sobre todo en una empresa tan grande, que cotiza en bolsa, como Mercado Libre. Hacerlo por prueba y error sería muy complicado porque saltarían las alarmas. En general es más «simple» hacer ingeniería social, sobre todo phishing, que consiste en hacer creer a una persona, por ejemplo por medio de un mail de apariencia confiable, que debe hacer algo en la plataforma y se le ofrece un link donde encuentra una página similar a la que espera. Cuando la persona escribe usuario y contraseña en realidad se los está dando a los delincuentes. Esta modalidad se expandió en los últimos años.
«Los que trabajamos en empresas de informática somos un blanco apetecible y recibimos phishing por oleadas», continúa Contieri. «Hubo una muy brava en enero. A veces acceden a una dirección y reescriben mensajes para usuarios válidos y mandan un adjunto con ransomware. Es una lucha de gato y ratón». 
«La seguridad no es un producto, es un proceso, se suele decir –continúa Schapachni–. Vos tenés que tener muchas capas de seguridad para asegurarte de que esto no suceda. Si es como se dice, que accedieron a la red instalando malware, es sorprendente. Que una persona que tiene ese nivel de acceso haya caído en una trampa de phishing… Pero ocurre en las mejores familias. A veces es eso, es el “le instalo el jueguito al nene” y resulta que el jueguito trae porquerías».
Habrá que esperar unos días para medir el daño real de la filtración. 


Esteban Magnani