¿Qué son los ataques de Mousejacking y cómo defenderse de ellos?

Si estás utilizando un teclado o ratón inalámbricos en tu computadora, ten cuidado con el riesgo de sufrir un mousejacking. Utilizando esta técnica, los atacantes podrían tomar control de todo tu Active Directory en solo minutos usando un dispositivo de radio USB de $15 que descubre dispositivos vulnerables.

En este podcast, Brian Johnson, presidente de 7 Minute Security y consultor de seguridad de la información, explica cómo funciona el mousejacking y cómo proteger tu red contra él. Esto es lo que se discute:

Cómo funciona el Mousejacking

Brian realizó una prueba de penetración para demostrar que este simple ataque puede tener consecuencias devastadoras. Todo lo que se necesitó para ingresar a la red fue un dispositivo barato y una carga útil fácilmente elaborada.

Cuando escribes en tu teclado inalámbrico o mueves tu ratón inalámbrico, la información que describe las acciones se envía sin cables al dongle USB conectado a tu computadora. En un ataque de mousejacking, el dispositivo del atacante escanea los paquetes inalámbricos que se están enviando; cuando encuentra uno, puede suplantar al ratón o al teclado y enviar sus propias señales al dongle. Podrías notar que algo extraño está sucediendo, como que se están escribiendo teclas adicionales o tu ratón se mueve inesperadamente, pero podría ser demasiado tarde; incluso unas pocas pulsaciones de teclas o clics de ratón podrían ser suficientes para ejecutar un ataque, como instalar malware o copiar archivos de tu computadora.

El atacante ni siquiera necesita estar físicamente cerca para tomar el control de una computadora — el ataque se puede ejecutar desde una distancia de hasta 100 metros. Sin embargo, solo las estaciones de trabajo en funcionamiento pueden ser comprometidas.

Active Directory en riesgo

Entonces, ¿qué daño podría hacer un ataque de mousejacking? Por un lado, el atacante puede interceptar las pulsaciones de teclas mientras se transmiten a un dongle USB, de manera similar a un programa keylogger. Como resultado, el atacante podría obtener datos sensibles como tus nombres de usuario, contraseñas y respuestas a preguntas de seguridad, así como información personal como los números de tu tarjeta de crédito. Por otro lado, el atacante puede enviar pulsaciones de teclas a tu computadora como si las hubieras ingresado tú. Utilizando la inyección de pulsaciones de teclas, los atacantes pueden instalar rootkits o instalar malware que les permita obtener un punto de apoyo en tu red.

El peor de los casos es un ataque de mousejacking en una cuenta administrativa — podría comprometer tu red a través de Active Directory. Si estás conectado bajo una cuenta de Domain Admin, por ejemplo, un mousejacker podría usar la inyección de pulsaciones de teclado para crear nuevos usuarios y agregarlos al grupo de Domain Admins en el Active Directory de tu empresa, obteniendo así un control y acceso prácticamente ilimitados a tu red.

De hecho, los riesgos son tan grandes que cuando Brian mostró los resultados de las pruebas de penetración a sus clientes, decidieron cambiar su política con respecto al uso de dispositivos inalámbricos.

Métodos de defensa

Muchos teclados y ratones populares están en riesgo, por lo que lo primero que debes hacer es verificar si tienes algún dispositivo vulnerable. Aquí puedes consultar la lista de dispositivos conocidos por ser susceptibles a ataques de mousejacking. Esta vulnerabilidad solo puede ser solucionada por el fabricante, así que todo lo que puedes hacer es reemplazar cada dispositivo vulnerable por uno seguro.

Mientras tanto, asegúrese de seguir la mejor práctica de bloquear su computadora cuando la deje, incluso por un par de minutos. ¿Recuerda lo rápido que se puede ejecutar un ataque de mousejacking? Si deja su computadora desbloqueada mientras se aleja para tomar café, un hacker tiene varios minutos para explotar la vulnerabilidad y comprometer su red sin ser detectado.

Lo siguiente que deberías hacer es preguntarte si siquiera sabrías que has sido atacado. ¿Cuánto tiempo te llevaría detectar el ataque? ¿Podrías responder con suficiente rapidez para minimizar el daño?

Una estrategia esencial para defenderse del mousejacking — y otros ataques también — es rastrear los cambios en su Active Directory, especialmente la adición de miembros a grupos altamente privilegiados como Domain Admins. Recibir alertas sobre modificaciones críticas le permite revertir rápidamente cambios inapropiados, bloqueando así ataques en sus etapas iniciales y limitando su impacto.

Para más información

Para saber más sobre cómo funciona el ataque de mousejacking y cómo defenderse de él, escucha el episodio del podcast: https://7ms.us/7ms-355-mousejacking/