Radiografa del hackeo a Liverpool

Por ltima Palabra - ene 10, 2015

Recientemente, la cadena de tiendas Liverpool anunci mediante un comunicado que haba sido vctima de una intrusin y un
intento de extorsin que buscaba daar su reputacin. El comunicado detallaba muy poca informacin, limitndose a decir
que los criminales lograron una intrusin en correos de nuestro personal y tambin obtuvieron datos de algunos clientes.
Hasta donde se sabe, Liverpool tuvo que hacer pblica esa intrusin a peticin de la Bolsa Mexicana de Valores (BMV), y lo
hizo en la tarde del 24 de Diciembre de 2014 con la esperanza, quiz, de que no se hiciera mucho escndalo.
La empresa declar que:

ESTIMAMOS QUE EL RIESGO DERIVADO DE DICHA INTRUSIN ES BAJO; NO OBSTANTE, SE ESTN TOMANDO MEDIDAS ADICIONALES PARA REFORZAR
LA PROTECCIN DE LA INFORMACIN DE NUESTROS CLIENTES Y FORTALECER NUESTROS SISTEMAS, PRCTICAS Y PROCEDIMIENTOS.

Medios como CNNExpansin, Proceso, Forbes y FayerWayer retomaron la informacin y la compartieron con sus lectores, sin
embargo, no qued claro cul fue el alcance real del supuesto ataque ciberntico.
Das ms tarde, aparecieron en Facebook varias FanPages a nombre de un grupo
denominado sickillers donde se publicaron pruebas del hackeo, y se sugera que iran
desvelando ms informacin. Las pginas de Facebook fueron dadas de baja casi
inmediatamente, pues se estaban publicando datos personales de los directivos de Liverpool
y documentos internos de la empresa. Hasta el momento de esta publicacin dos de esas
pginas seguan activas en facebook.
El 27 de Diciembre, el grupo Sickillers lanz un blog (sickillersmx.wordpress.com) donde
comenz a publicar ms datos del supuesto hackeo. La ltima publicacin sucedi el 4 de enero y el sitio fue suspendido el 5
de enero. Durante 10 das la informacin robada por sickillers estuvo disponible pblicamente, y por lo que ah se encontraba
no pareca que el ataque fuera de bajo riesgo como lo haba calificado la empresa. La duda sobre el verdadero alcance del
ataque segua siendo un misterio, pues el grupo sickillers no determin si contaba con ms datos y de qu forma los hara
pblicos.
Por ello, realizamos un anlisis de los documentos filtrados para tratar de determinar la verdadera magnitud del ataque a
Liverpool. Aun cuando el blog del grupo sickillers ha sido suspendido porWordPress, la mayora de las imgenes de los
documentos expuestos siguen siendo accesibles pues fueron alojadas en servicios externos. Los servicios utilizados por sickillers
para difundir sus filtraciones fueron img.ur, prntscr.com, Gmail, MEGA, Stickynotes, WeTransfer y Github.
La radiografa del ataque revel que la informacin comprometida es la siguiente:

Expedientes judiciales de Liverpool. Con detalles de procesos judiciales que involucran a Liverpool y a otras
empresas.
Manuales corporativos de uso interno. Documentos donde se muestran las reglas para el uso del logotipo de la
empresa, tipografas oficiales, materiales institucionales, diseo de tarjetas de monedero electrnico, cdigos cromticos
y dems elementos de la imagen institucional de Liverpool.
Documentos oficiales del SAT (SHCP). Filtraciones que muestran RFCs tanto de Liverpool como de particulares,
estados del cumplimiento de obligaciones fiscales, nombre y datos del representante legal de Liverpool, e informacin
sobre las declaraciones fiscales de la empresa.
Documentos oficiales de BBVA Bancomer. Algunas filtraciones sobre operaciones de crditos hipotecarios y avalos a
nombre de particulares que, de acuerdo con sickillers, seran documentos relacionados con el ingeniero encargado de la
seguridad de los sistemas informticos de Liverpool.
Diagramas tcnicos. Informacin detallada de la arquitectura de los sistemas informticos de Liverpool y su red
interna, con informacin de sus sites de Santa F (Ciudad de Mxico), Quertaro y Monterrey; incluyendo pasarelas de
pago con empresas como American Express, PROSA y PagaTodo; red de Computadoras Personales y red de puntos
de venta (PoS); Servidores de seguridad, servidores de sistemas SAP, as como detalles de su Mainframe encargado de
los sistemas de crdito, vales, mesas de regalos, auditorias, etc. Se incluyen tambin la capacidad tcnica de esos
equipos y documentos que detallan los gastos de mantenimiento de HW y SW.
Sistemas Operativos. Detalles de los sistemas operativos que utiliza Liverpool y Fabricas de Francia en sus equipos
de cmputo, que incluyen NetWare, de Novell; iOS, de Apple; Windows, de Microsoft; z/OS, OS4690 y AIX, de IBM
y NonStopOS, de HP.

Proyectos Internos. Documentacin sobre propuestas para proyectos internos, como el Proyecto Liverpool-Google
o el Proyecto Vialux, el cual

tendra como objetivo la instalacin de antenas de

telefona mvil para mejorar la

cobertura al interior de sus tiendas. Dichos documentos contienen organigramas, presupuestos, componentes, etc.

Planos arquitectnicos. Esquemticos del edificio sede del corporativo de Liverpool en Santa F, as como de sus sites
de Quertaro y Monterrey.

Arquitectura del sistema para puntos de venta mvil. Detalles de su sistema de puntos de venta (PoS) y sus
componentes de Hardware y Software.

Aplicaciones mviles. Sickillers public enlaces para descargar los instalables de las aplicaciones de Liverpool
Nespresso.ipa y Liverpool.ipa.

Manual de conexin a la VPN y aplicativo de Liverpool para Punto de Venta en dispositivos mviles. En l se
detallan los pasos para ingresar mediante dispositivos mviles al sistema de Liverpool (Nesperesso), usando un token de
RSA SecurID (como el que usamos para acceder a sistemas de banca en lnea) y la aplicacin Junos Plus, de Juniper
Networks, encargada de establecer las conexiones cifradas a la VPN de Liverpool.
Videos. Videos de lo que parece ser un procedimiento de capacitacin sobre cmo conectarse a la red interna de
Liverpool, subidos a Vimeo.

Documentos personales. Que incluyen Credenciales del IFE, hipotecas, contratos de compra-venta, pasaportes,
informacin de tarjetas de crdito, domicilios, vehculos, fotografas personales, actas de nacimiento, estados de cuenta,
y recibos telefnicos de directivos de la empresa.

Auditoras. Reportes de la Gerencia de Infraestructura y Seguridad donde se da cuenta de vulnerabilidades

encontradas tras una auditoria de seguridad realizada a las pginas del dominioliverpool.com.mx y sus subdominios.
Tambin se filtraron documentos sobre los resultados de un Informe de revisin de Hardware.

Aplicativos y sistemas internos. Detalles del Software que utilizan los equipos de cmputo de Liverpool, como el
ZENWorks, de Novell; el SAP para Recursos Humanos; Controler CC/DD/EE para reportes de desempeo de
servidores; Verastream Host Integrator para correr aplicaciones en diferentes dispositivos; PowerBroker para manjar
privilegios y controlar aplicaciones en escritorios y servidores virtuales y fsicos; Luminet, en todos los puntos de venta
para evitar fraudes e infracciones de sus empleados, entre otros.

Inters de compra de terrenos de la UAM Cuajimalpa. Se filtr un oficio con fecha del 9 de Mayo de 2014, donde la
UAM Cuajimalpa responde a una solicitud de Liverpool, ya que ste ltimo externaba su especial inters por adquirir el
terreno conocido como el encinal, propiedad de la UAM Cuajimalpa. Antes de tener su sede actual, que inici
actividades escolares a mediados de 2014, la UAM Cuajimalpa cont con tres sedes alternas. La nueva sede de la UAM
Cuajimalpa cuenta con un edificio, la Torre3, y est pendiente la construccin de las Torres 1 y 2 en los terrenos de esa
Unidad. En el oficio filtrado por sickillers, la Universidad responde que no se tiene planeado, hasta hoy, vender fraccin
alguna de la propiedad el encinal, sin embargo deja abierta la invitacin para que Liverpool enve su oferta de compra
para poder hacer el anlisis de la misma y someterla a consideracin.

Datos sobre fraudes. Otra filtracin que llama la atencin, aunque no contiene informacin abundante, es la
relacionada a pesquisas de fraudes con tarjetas de crdito ligadas a Liverpool. Por lo que se observa, se trata de un
anlisis forense que Liverpool gener tras recibir una alerta del banco HSBC en Enero de 2014. En los resultados del
anlisis se observa que los daos por fraudes ascienden a 6.3 millones de pesos y que el alcance sera de 3,332
tarjetahabientes afectados. Adems, se alerta de que podra haber alrededor 317,000 tarjetas comprometidas.

Tarjetas de crdito. Registros de lo que parecen ser compras realizadas con tarjetas de crditoVISA, con detalles de
los conceptos de pago, las terminales utilizadas, montos, fechas y ciudades donde se realizaron las supuestas
transacciones. De igual forma, el 29 de Diciembre de 2014 sickillers hizo pblicos en su blog datos de tres
tarjetahabientes entre los que se incluan nmeros de tarjeta de crdito, cdigos de seguridad CVV, fechas de expiracin
de las tarjetas, domicilios, nombres completos, fechas de nacimiento y correo electrnico de los titulares. Las tres tarjetas
de crdito filtradas tambin son VISA. No est claro si esos registros corresponden a tarjetahabientes de Liverpool o a
empleados, tampoco si el grupo sickillers tiene en su poder ms datos de tarjetas de crdito.

Organigramas. Fotografas, nombres y puestos de personal directivo, gerencial y administrativo de Liverpool.

Directorio general. Se filtr un documento de Excel con un listado que incluye nombre completo, puesto, extensin
telefnica y ubicacin del personal directivo y gerencial de Liverpool y Fbricas de Francia, as como personal a su cargo.
De igual forma, se hizo pblico un documento CSV con lo que se presume sera el directorio completo de empleados de
Liverpool, que incluye nombre completo, correo electrnico y si tienen o no activada la opcin de factor de doble
autenticacin en su cuenta de correo. Sobre sta ltima filtracin, confirmamos que Liverpool tiene un convenio con
Google para sus servicios de correo electrnico interno, por lo que todos los empleados de Liverpool que cuentan con un
correo en el dominio @liverpool.com.mx utilizan un servicio muy parecido a Gmail. El archivo filtrado al parecer fue

descargado utilizando las herramientas que el mismo servicio de correo proporciona, y fue generado el 11 de Diciembre
de 2014; cuenta con 16,201 registros. ste documento contina en lnea en una pgina del servicio Github, pero por
razones de privacidad no enlazaremos a l.

Con los documentos revelados hasta la fecha, resulta difcil creer que el riesgo de la intrusin sea bajo como argumenta
Liverpool, pero tampoco se puede dar por hecho que estamos ante un ataque complejo. Una de las hiptesis que emergen es
que se trata de un robo interno de informacin, alguna persona que obtuvo acceso al correo electrnico de uno o varios
directivos o jefes de sistemas de Liverpool y que descarg toda la informacin de esos correos. Por otro lado, algunas capturas
de pantalla que fueron filtradas sugieren que el atacante habra sido un trabajador o ex trabajador de la empresa.
Ahora bien, la divulgacin de los detalles de la arquitectura de los sistemas estratgicos de Liverpool s constituye un riesgo
grave para la empresa, pues abre la ventana para que otros atacantes estudien con detenimiento las formas de vulnerar los
sistemas y puntos de venta de Liverpool.
La filtracin de los organigramas de la empresa, as como de los datos personales de sus empleados, que van desde directivos
hasta personal en tiendas, es en extremo, delicada. Todos los directivos, gerentes, coordinadores, jefes de departamento, etc.
corren un riesgo inminente al ver sus datos personales en poder del grupo sickillers.
Entrando en el terreno de la especulacin, lo verdaderamente alarmante sera confirmar que el grupo sickillers cuenta con la
informacin de las tarjetas de crdito de los clientes de Liverpool, sus datos personales, referencias, telfonos, domicilios,
historial crediticio, etc. Eso s podra desatar el caos total para la cadena de tiendas presidida por Max Michel Suberville,
empresario que se encuentra en el lugar 18 de la Lista Forbes Mxico de los 37 mexicanos ms ricos con una fortuna calculada
de 1,400 millones de dlares. Recordemos que Liverpool es la mayor cadena de tiendas departamentales del Mxico, cuenta
con 99 sucursales, de las cuales 74 llevan el nombre de Liverpool y 25 el de Fbricas de Francia. Adems, la compaa cuenta
con cinco Duty Free y 48 boutiques especializadas. La empresa tambin es el tercer emisor ms grande de tarjetas de crdito
en Mxico, con ms de 3.6 millones de plsticos. Tomando esto en cuenta, y considerando que Liverpool report que se trataba
de una extorsin, podemos prever que en el hipottico escenario de que sickillers contara con los registros de los clientes de
Liverpool, la compaa se vera orillada a pagar el rescate de su informacin.
Por el momento la pelota est del lado de sickillers, veremos que movimientos realiza y si Liverpool gana batalla. Hasta ahora,
lo nico seguro es que, para Liverpool, la seguridad ya es parte de su vida.

GeekArmy

Relacionado

Sper 'hackeo' a JPMorgan Chase

oct 3, 2014
En "Sin categora"

Crimen se moderniza; detectan

extorsin ciberntica
feb 6, 2014
En "Tecnologa"

Comentarios
0 Comentarios

ltima Palabra
http://ultimapalabra.mx

Estados Unidos dejar de controlar

internet en 2015
mar 18, 2014
En "Finanzas"