Dado que los equipos de segunda mano tienen descuento, sería potencialmente factible que los ciberdelincuentes inviertan en la compra de dispositivos usados para extraer información y acceso a la red y luego usar la información ellos mismos o revenderla. Los investigadores de ESET dicen que debatieron si publicar sus hallazgos, porque no querían dar nuevas ideas a los ciberdelincuentes, pero concluyeron que crear conciencia sobre el tema es más apremiante.
“Una de las grandes preocupaciones que tengo es que, si alguien malvado no es hacer esto es casi una mala práctica de los hackers, porque sería muy fácil y obvio”, dice Camp.
Dieciocho enrutadores es una pequeña muestra de los millones de dispositivos de redes empresariales que circulan en todo el mundo en el mercado de reventa, pero otros investigadores dicen que también han visto repetidamente los mismos problemas en su trabajo.
«Hemos comprado todo tipo de dispositivos integrados en línea en eBay y otros vendedores de segunda mano, y hemos visto muchos que no se han borrado digitalmente», dice Wyatt Ford, gerente de ingeniería de Red Balloon Security, un internet de las cosas. firma de seguridad. “Estos dispositivos pueden contener gran cantidad de información que los malos actores pueden utilizar para apuntar y llevar a cabo ataques”.
Al igual que en los hallazgos de ESET, Ford dice que los investigadores de Red Balloon han encontrado contraseñas y otras credenciales e información de identificación personal. Algunos datos, como los nombres de usuario y los archivos de configuración, suelen estar en texto sin formato y son fácilmente accesibles, mientras que las contraseñas y los archivos de configuración a menudo están protegidos porque se almacenan como hash criptográficos codificados. Pero Ford señala que incluso los datos cifrados todavía están potencialmente en riesgo.
“Tomamos hashes de contraseñas encontrados en un dispositivo y los desciframos fuera de línea; se sorprendería de cuántas personas todavía basan sus contraseñas en sus gatos”, dice. “E incluso las cosas que parecen inocuas como el código fuente, el historial de confirmaciones, las configuraciones de red, las reglas de enrutamiento, etcétera, se pueden usar para obtener más información sobre una organización, su gente y su topología de red”.
Los investigadores de ESET señalan que las organizaciones pueden pensar que están siendo responsables al contratar empresas externas de administración de dispositivos. empresas de eliminación de desechos electrónicos, o incluso servicios de desinfección de dispositivos que afirman limpiar grandes lotes de dispositivos empresariales para revenderlos. Pero en la práctica, estos terceros pueden no estar haciendo lo que dicen. Y Camp también señala que más organizaciones podrían aprovechar el cifrado y otras características de seguridad que ya ofrecen los enrutadores convencionales para mitigar las consecuencias si los dispositivos que no se han borrado terminan sueltos en el mundo.
Camp y sus colegas intentaron ponerse en contacto con los antiguos propietarios de los enrutadores usados que compraron para advertirles que sus dispositivos ahora estaban en libertad arrojando sus datos. Algunos agradecieron la información, pero otros parecieron ignorar las advertencias o no ofrecieron ningún mecanismo a través del cual los investigadores pudieran informar los hallazgos de seguridad.
“Utilizamos canales confiables que teníamos para algunas empresas, pero luego descubrimos que muchas otras empresas son mucho más difíciles de contactar”, dice Camp. “Aterradoramente así”.