The Internet Archive, la iniciativa sin ánimos de lucro que se dedica a preservar una amplia variedad de contenidos, como páginas web, libros, imágenes y vídeos, está pasando por un momento complicado. A principios de este mes, unos ciberatacantes consiguieron infiltrarse en los sistemas de la plataforma, interrumpiendo su funcionamiento y robando datos. Los días han pasado y todavía no está claro el alcance del incidente original. ¿El motivo? Los actores maliciosos han vuelto a la carga.
El incidente original. Todo parecía funcionar con normalidad el pasado miércoles 9 de octubre, pero las cosas se complicaron de un momento a otro. www.archive.org dejó de funcionar. Al ingresar a la página, en lugar de ver su clásica página de bienvenida, te encontrabas con el siguiente mensaje: “¿No os da la sensación de que Internet Archive funciona de forma precaria y está siempre al borde de una brecha de seguridad grave? Bueno, pues ha ocurrido. ¡31 millones de vosotros estáis en HIBP!”
Alguien no autorizado había conseguido eludir todas las medidas de seguridad de The Internet Archive para publicar el mensaje y, aparentemente, había robado las credenciales. Para sostener su afirmación, el grupo detrás del ataque ponía como referencia a HIBP. Se trata de Have I Been Pwned, una iniciativa que permite a las personas saber si su dirección de correo electrónico o número de teléfono se han visto comprometidos en una brecha. Aunque para ello deben estar incluidas en su base de datos.
Página de inicio de sesión de The Internet Archive
El creador de HIBP, Troy Hunt, confirmó que el 30 de septiembre había recibido información sobre la brecha. Se trataba de un archivo de SQL de 6,4 GB llamado «ia_users.sql» con información sobre los datos de inicio de sesión de millones de usuarios de Internet Archive, entre ella, direcciones de correo electrónico y contraseñas con hash Bcrypt. Efectivamente, los atacantes habían robado información de Internet Archive, comprometiendo la seguridad de los usuarios, pero había más.
Ataque DDoS y más datos robados. Si bien los sistemas de Internet Archive habían sido comprometido anteriormente, los ciberdelincuentes lo anunciaron el 9 de octubre, seguido de un ataque DDoS que impedía a los usuarios cambiar sus contraseñas (ahora que la página funciona es recomendable cambiar la contraseña). Brewster Kahle, de Internet Archive, confirmó el incidente y dijo que llevarían a cabo una serie de medidas para restablecer el funcionamiento de la plataforma y mejorar la seguridad.
Durante el pasado fin de semana, los ciberdelincuentes volvieron a la carga. Varios usuarios de Reddit señalaron que recibieron un correo electrónico sospechoso del servicio de soporte The Internet Archive Team. Estamos hablando de la vía de comunicación que cualquiera persona tiene con Internet Archive para hacer preguntas o, por ejemplo, solicitar la eliminación de un sitio de su archivo. Los atacantes afirmaban que tenían acceso a tickets de soporte gestionados a través de la plataforma Zendesk.
“Resulta frustrante ver que, aun habiendo sido avisados de la brecha hace dos semanas, Internet Archive sigue sin tomar las medidas necesarias para rotar las claves de API filtradas en su GitLab”, decía el mensaje. Si esto resulta ser cierto, el hecho de que los atacantes tengan acceso a una vía de contacto oficial no es una buena noticia. Este recurso podría ser utilizado para montar campañas de phishing muy efectivas, es decir, aquellas en las que un tercero se hace pasar por una organización legítima.
Una organización con presupuesto limitado. The Internet Archive tiene más de 30 años de historia y es un valioso tesoro de la era digital en la que vivimos. Nos ofrece un vistazo al pasado en unos pocos clics, pero también preserva muchos contenidos que no son accesibles de ninguna otra manera. Ahora bien, estamos hablando de una organización que, según su fundador, no priorizó la inversión en ciberseguridad debido a su presupuesto limitado de entre 20 y 30 millones de dólares al año.
Imágenes | The Internet Archive | Capturas de pantalla
