Años atrás, los lectores de DNIs electrónicos y demás tarjetas de identificación, tuvieron su momento de gloria. En la actualidad, suelen ser más utilizados por personas que trabajan en algún cargo administrativo o relacionado con el gobierno y el ejército, pero por norma general, es poco común encontrar este tipo de dispositivos en casa. En Estados Unidos, son millones las personas que trabajan en el gobierno y que los utilizan a diario, aunque muchas de ellas deben de adquirir lectores por su propia cuenta, sobre todo para el trabajo en remoto.
El problema llega cuando no se utiliza un lector o dispositivo aprobado o fiable, ya que podemos encontrarnos con alguna sorpresa no muy grata. Y es que uno de los lectores de tarjetas de identificación más adquiridos y puntuados de Amazon podría salirnos muy caro, ya que se ha podido detectar la presencia de un malware en sus drivers.
Una compra que pudo haber salido muy mal
Estos lectores pueden leer todo tipo de tarjetas de identificación, indispensables en muchos ámbitos para acceder a lugares físicos o incluso en sistemas informáticos del gobierno. Sin embargo, según ha podido averiguar Brian Krebs, autor del medio KrebsOnSecurity, los drivers compatibles con un lector de tarjetas bastante popular en Amazon contienen el malware conocido como ‘Ramnit’.
El lector de tarjetas pertenece a la firma Saicoo, y un usuario anónimo notificó a Krebs sobre la amenaza que podía presentar este dispositivo en nuestros equipos. Cuando éste conectó el lector a su PC con Windows 10, el sistema le advirtió sobre un problema en los drivers del dispositivo, recomendándole visitar la página web del fabricante para descargar los últimos drivers.
Al obtener los drivers en un archivo ZIP, como método de prevención, el usuario subió el archivo a Virustotal para averiguar si todo estaba en orden. Nada más lejos de ello. Muchos de los archivos que contenía el ZIP incorporaban un troyano conocido como ‘Ramnit’. Éste existe desde hace más de una década, pero ha ido evolucionando, y de hecho todavía se sigue utilizando en peligrosos ataques de robo de información.
Descargar drivers de forma externa puede ser un deporte de riesgo
Tras conocer el riesgo, este usuario contactó con el fabricante vía e-mail, pero la respuesta de Saicoo no le ayudó en absoluto. El fabricante negó la existencia de este malware, alegando que no hacía falta la instalación de drivers adicionales, y que este problema seguramente haya sido del sistema de defensa de su propio equipo.
Virustotal detectó hasta 43 archivos corruptos. Según pudo comprobar Will Dorman, analista en el CERT/CC, la mayoría de los archivos infectados eran HTML, prueba de que la web del fabricante fue hackeada en algún momento y probablemente no se dieron cuenta de ello. Dorman añadió que, hacer una búsqueda de drivers hoy día puede resultar «muy peligroso», más sobre todo cuando se trata de un fabricante poco fiable.
El hecho de que este malware se encuentre en los drivers de un lector de tarjetas es un grave riesgo para la seguridad, ya que como hemos mencionado anteriormente, la gran mayoría de las personas que los utilizan están afiliadas al gobierno o al ejército. Según se apunta en el blog de Krebs, en el caso de los Estados Unidos existe una lista de fabricantes de componentes PACS (acrónimo del inglés Physical Access Control System Components) aprobados por el gobierno. Saicoo no se encuentra en la lista, pero quizás hubiera sido de gran ayuda para el usuario el haber tenido más accesible esta lista en el momento de adquirir su lector de tarjetas.
Fuente info
Autor: