No Code SaaS Seguridad para Apps Móviles.  

Comenzar prueba gratis

«Jefe, ¿aprobó usted este cambio?»

Secuestro de cuenta de administrador/CEO

«Jefe, ¿aprobó usted este cambio?»

Secuestro de cuenta de administrador/CEO

El problema comenzó con este comentario del gerente de liquidación.

• La cuenta de liquidación había sido modificada.

• Los detalles del pedido duplicaban el importe real.

• Los importes de los pagos de nómina también parecían sospechosos.

Sin embargo, al revisar los registros, se descubrió que todos los cambios se habían procesado con normalidad utilizando la cuenta de «CEO».

 

«¿Yo no hice eso?»

A partir de ese momento, la situación pasó de ser un simple incidente de piratería informática a un grave accidente empresarial.

El secuestro de una cuenta de administrador o de CEO es el ataque más letal, capaz de destruir todas las operaciones —desde contabilidad y nómina hasta pedidos y contratos— en un instante.

¿Por qué las cuentas de administrador y de CEO son las más peligrosas?

Se encuentran en un nivel completamente diferente al de las cuentas de usuario normales. ¿Qué puede ocurrir cuando se compromete una cuenta de administrador?

• Modificación de cuentas de liquidación
• Manipulación de salarios y asignaciones
• Creación de pedidos falsos
• Modificación de los términos contractuales
• Otorgar permisos y eliminar registros

La vulneración de una sola cuenta supone un daño equivalente a un incidente interno.

Un problema aún mayor es que estos incidentes suelen clasificarse como «negligencia interna» en lugar de como un ataque informático externo.

 

¿Cómo se originó el ataque?

La aplicación involucrada en el incidente era una aplicación empresarial diseñada para gestionar puntos de venta, liquidaciones y pedidos para propietarios de negocios simultáneamente.

El flujo del ataque fue muy simple:

1. Superposición de inicio de sesión falso
o Muestra la misma pantalla de inicio de sesión que la aplicación legítima.


2. Registro de pulsaciones de teclas
o Roba los valores de entrada de ID y contraseña.


3. Inicio de sesión legítimo
o Desde la perspectiva del servidor, se trata de un inicio de sesión de administrador perfecto.


4. Abuso de privilegios de administrador
o Modificación de cuentas de liquidación
o Registro de pedidos falsos
o Manipulación de cifras salariales

No se detectaron anomalías en el servidor. Los inicios de sesión, las solicitudes y el procesamiento se realizaron con normalidad.

El problema no residía en el servidor, sino en el entorno de ejecución de la aplicación, la entrada de datos y la pantalla.

 

¿Cuál fue el principal problema de seguridad? La esencia de este incidente es clara:

“Se realizó la autenticación del administrador, pero no se verificó su entorno”.

Deficiencias de seguridad específicas:
• Ausencia de detección de pantallas de inicio de sesión falsas
• No se detectaron ataques de registro de pulsaciones de teclas ni de superposición de capas
• Confianza no verificada en el entorno de ejecución de la cuenta de administrador
• Detección insuficiente de anomalías en el comportamiento tras el secuestro de la cuenta

En otras palabras, se pudo ver quién inició sesión, pero no el entorno en el que lo hizo.

 

¿Cómo se defendió LIAPP ante esto?

El servicio no reforzó las políticas de contraseñas ni dificultó la experiencia de usuario del administrador.

En cambio, aplicó seguridad basada en el entorno a la cuenta de administrador.

• Detección de superposiciones en la pantalla de inicio de sesión
• Detección de secuestro de entrada mediante registro de pulsaciones de teclas
• Bloqueo de la ejecución de aplicaciones modificadas o reempaquetadas
• Bloqueo inmediato de entornos con amenazas de seguridad al iniciar sesión como administrador
• Restricciones en liquidaciones, nóminas y cambios de cuenta en entornos de alto riesgo

 

¿Qué cambió tras la implementación?

Los resultados tras la aplicación de la seguridad fueron claros:

• Bloqueo preventivo de incidentes de secuestro de cuentas de administrador

• Disminución drástica del servicio al cliente relacionado con liquidaciones y nóminas

• Reducción de casos de identificación errónea de incidentes internos

• Minimización de riesgos de auditoría y legales

Sobre todo, el cambio más significativo fue este:

El establecimiento de la percepción de que "la cuenta del CEO es un activo de la empresa".

 

Lecciones de este caso:

La mayoría de los incidentes de seguridad en aplicaciones empresariales se originan en el entorno de ejecución de la aplicación, no en el servidor.

• La pantalla de inicio de sesión del administrador
• Métodos de entrada
• El entorno de ejecución de la aplicación
Si estos tres elementos no están protegidos, los incidentes se repetirán independientemente de la robustez del servidor.

Las cuentas de administrador y de director ejecutivo no son opciones de seguridad; son la infraestructura empresarial.

Por lo tanto, LIAPP, LISS y LIKEY no son opciones, sino herramientas esenciales para las aplicaciones empresariales.

 

#AplicaciónEmpresarial #AplicaciónCEO #SeguridadCuentasDeAdministrador #SeguridadTPV #SeguridadERP #SeguridadDePagos #SeguridadDeNóminas #IncidenteInterno #SeguridadDeAplicaciones #SeguridadMóvil #SecuestroDeCuentas #IncidenteDeSeguridad #LIAPP #LISS #LIKEY

Contacto