Xbox Underground: Cómo Unos Jóvenes Usaron Xbox para Hackear a Microsoft, el Ejército Estadounidense y Más

Cibercrimen
Written By Kate Esprit

Lean de cómo unos hackers adolescentes nos enseñaron lecciones claves en qué pasa cuando las empresas fallan en detectar sus vulnerabilidades sistemáticas, proteger las credenciales del access remoto, y aún fallar en encerrar sus propias puertas de manera adecuada.

¿Qué hicieron?

Entre 2011 y 2014, un grupo internacional de hackers conocido como Xbox Underground usó sistemas de videojuegos para hackear las redes de Microsoft, del ejército estadounidense, y de los desarrolladores de videojuegos Epic Games, Inc., Valve Corporation, y Zombie Studios. Lo que comenzó como unos adolescentes jugando horas infinitas de Xbox resultó su descubrimiento de vulnerabilidades de seguridad en el software. Después de algún tiempo, estos jugadores se convirtieron en hackers y lograron tener acceso a información privada, secretos industriales, credenciales exclusivas, y aún software militar del ejército estadounidense. 

¿Cómo lo lograron?

unsplash-image-lfQyS-TnqEg.jpg

Entonces, ¿cómo aprendió Xbox Underground a utilizar consolas de videojuegos para robar aproximadamente 200 millones de dólares en datos privados? La respuesta corta es por aprender a explotar a vulnerabilidades sistemáticas, obtener acceso a las redes internas de las víctimas, y robar la información. Sin embargo, la respuesta larga es mucho más satisfecha, y puede ser resumida en 4 etapas simples:

  1. Xbox Underground empezó por usar inyección SQL, la cual es un proceso usado por atacadores para añadir código al lenguaje de programación SQL para que la salida de ciertos comandos sea afectada. Usar inyección SQL permitió que Xbox Underground interfiera en la salida normal de datos del software y por lo tanto, el grupo obtuvo acceso a información pertinente como los nombres de usuarios y contraseñas de empleados.

  2. Los hackers utilizaron las credenciales robadas para acceder a las redes de las víctimas y luego tocaron el gordo. Encontraron el código fuente de Microsoft, copias prelanzadas de los videojuegos “Call of Duty: Modern Warfare 3” y “Gears of War 3,” y también diseños internos de software para el nuevo Xbox One de Microsoft. Además, Xbox Underground se sorprendió por conectar con un servidor del ejército estadounidense, de lo cual ellos tomaron el software AH-64D Apache Simulator que fue destinado a entrenar los pilotos del helicóptero militar.

  3. En septiembre de 2013, dos miembros de Xbox Underground, Austin Alcala y David Pokora, realizaron un robo físico de la oficina de Microsoft en Redmond, Washington. Con las credenciales robadas, los hackers entraron, caminaron por la oficina sin ser detectados, y cogieron 3 Xbox Development Kits (XDKs), los kits del desarrollo de software pertenecidos a los sistemas de Xbox One.

  4. Después del robo de la oficina Microsoft, Alcala, Pokora, y el miembro de Xbox Underground Nathan Leroux usaron los XDKs para construir unas consolas falsificadas de Xbox. Uno de estas consolas se vendió en eBay por 5,000 dólares.

Las Consecuencias

unsplash-image-By-tZImt0Ms.jpg

En 2014, el Departamento de Justicia (DOJ) de los EEUU entregó una imputación contra Leroux (20), Pokora (22), Alcala (18) y Sanadodeh Nesheiwat (28) y los acusó de 18 delitos, incluso conspiración, fraude y hackeo. Pokora, como ciudadano canadiense, fue el primer hacker extranjero para ser condenado dentro de los EEUU. Finalmente, estos 4 individuos se declararon culpables de robar más de 100 millones de dólares en propiedad intelectual y otros datos confidenciales usados en sistemas de Xbox, videojuegos, y software militar.

Además, el ciudadano australiano Dylan Wheeler también era un miembro clave de Xbox Underground quien le dio documentación confidencial de Microsoft y información sobre las actividades del grupo al sitio de blog Kotaku. Sin embargo, antes del policía australiano arrestaba a Dylan Wheeler, el joven se huyó del país para Checoslovaquia. 

Lecciones Aprendidas

La cuenta de Xbox Underground es más de una historia emocionante sobre el hackeo, robo de datos, y prófugos internacionales. Las hazañas de este grupo también sirve para recordarnos de la importancia de seguridad física y digital. Por lado digital, Microsoft debió haber implementado más pruebas consistentes de penetración, más escaneos de vulnerabilidades, y más auditorías sistemáticas. Sin embargo, la realidad de ciberseguridad es que no existe un método de garantizar 100% protección. 

Las hazañas de este grupo también sirve para recordarnos de la importancia de seguridad física y digital.

Pero lo más inquietante es que miembros de Xbox Underground lograron de penetrar las barreras físicas de las oficinas de Microsoft. Por lado físico, Microsoft completamente falló en asegurar la protección física de sus propias oficinas y empleados. Esta realidad fue mucho mas fácil de prevenir en comparación con el hackeo digital. Para una empresa tan grande y capaz como Microsoft, la realización del escaneo biométrico, puertas de cierre automático, y el monitoreo de circuito cerrado de televisión (CCTV) debe ser habitual. Que los errores de Microsoft nos advierta a recordar que el aspecto físico de seguridad es tan crucial como lo virtual.

¿Quiere aprender más sobre Xbox Underground? ¡Escuche al podcast de DarkNet Diaries sobre este grupo de hackeo, con entrevistas con los hackers mismos!

Kate Esprit
Previous

Ciberseguridad Club de Libros: “Information Wars” por Richard Stengel
Next

Cómo Logré a Pasar Mi Primer Examen de CompTIA