Blog Layout

Reporte de Ciberinteligencia - Operación: APAKUY

Author name
Un fondo blanco con algunas líneas.
Un virus azul sobre fondo negro con las palabras reporte de ciberinteligencia

Esta publicación se basa en nuestro reporte en PDF  y nuestras evidencias.


Introducción:


DeepSecurity es una empresa de ciberseguridad con reconocimiento nacional e internacional la cual realiza constantes investigaciones en distintos temas respecto a ciberseguridad y ciberinteligencia.


Es importante indicar DeepSecurity no ha recibido ningún beneficio económico fruto de esta investigación y su único fin es reportar y demostrar fallos de ciberseguridad que venían siendo usados por ciberdelincuentes para beneficiarse con los bonos ofrecidos por el gobierno peruano. DeepSecurity es una empresa 100% peruana y de una trayectoria intachable. El presente informe se basa en las buenas prácticas de seguridad para aplicaciones web “OWASP Top 10” como estándar para tipificar las vulnerabilidades presentadas.


Antecedentes:


Durante nuestras investigaciones de ciberinteligencia, encontramos un grupo en Telegram donde se mencionan distintos temas desde hacking de aplicaciones web hasta robo de tarjetas (carding). Al realizar el análisis de los indicios encontramos algunos de los 550 ciberdelincuentes miembros de este grupo publicaban información sobre un fallo en la web del bono universal que permitía apropiarse del bono de los beneficiarios. Como investigadores de ciberseguridad certificados y 100% profesionales, seguimos la ruta de las evidencias dejadas por los ciberdelincuentes para validar si la vulnerabilidad era real.


Método para obtener el bono de forma legal:


Paso 1: Ingresar DNI y fecha de emisión del DNI.


A screenshot of a website that says consulta si eres beneficiario del bono familiar universal


Paso 2: Responder las consultas de autenticación basados en datos de RENIEC, como nombre del padre de la madre y lugar de nacimiento.


A screenshot of a website that says


Paso 3: Ingresar un número de teléfono donde se enviará la clave SMS para el cobro del bono.


A screen that says solo se permiten números telefonicos del peru


Paso 4: El código SMS enviado es usado en el cajero automático (ATM) para realizar el retiro del dinero.

A phone that says y generar tu codigo de cinco digitos


Método para obtener el bono de forma ilegal:


El mayor problema de seguridad que tuvo el sistema del bono está relacionado con la opción de “captcha” la cual no funcionaba.


¿Qué es captcha?
Es ese recuadro con imágenes que dice «No soy un robot».


¿Para qué sirve?
Cada vez que se envía una consulta de DNI, la opción “captcha” solicita que resuelvas un desafío basado en imágenes que pertenecen a la misma categoría, una vez que lo resuelves, el formulario puede ser enviado. Sin embargo, el “captcha” encontrado en el sitio web de Bono Universal (bonouniversalfamiliar.pe) y Bono Independiente (bonoindependiente.pe) no estuvo bien implementando motivo por el cual se podían enviar el formulario de forma masiva (ilimitada) usando herramientas automatizadas.


¿Qué quiere decir esto?
Que un robot (programa que envía peticiones masivas) podría intentar autenticar en el portal n números de DNI sin tener que resolver la adivinanza de imágenes, obteniendo todos los números DNI con bono universal del Perú 
(Video completo de la explotación usando Burp Suite). Este tipo de vulnerabilidades se encuentra bien identificada como “Configuración de Seguridad Incorrecta OWASP A6:2017” según lo indicado en las guías de buenas prácticas de seguridad conocidas como “OWASP TOP 10” que es un estándar reconocido internacionalmente.


Paso 1:
El equipo de DeepSecurity generó una lista de 2500 números de DNI
 usando un programa (script) desarrollado en python*. Envió la lista de 2500 peticiones y en segundos se pudo confirmar la vulnerabilidad. Cuando el servidor del bono recibía un DNI que era beneficiario del bono, se recibía como respuesta el número 100 mientras que cuando se consultaba un DNI no beneficiado devolvía el número 101.


Hasta ese punto el equipo de DeepSecurity podía encontrar los DNI que si eran beneficiarios (Descargar video del ataque automatizado). Posteriormente hicimos el mismo ataque enfocados en la fecha de emisión del DNI, como el servidor no contaba con la protección anti peticiones robotizadas, realizamos peticiones masivas sobre la fecha de emisión hasta confirmar pudieron ser halladas. 2500 DNIs y 1500 fechas pueden ser probadas en menos de 5 minutos.

La pantalla de una computadora muestra una lista de números que comienzan con 607


Paso 2:
Hasta este punto se había autenticado al beneficiario (ciberdelincuente) en el sistema del bono universal, posteriormente el sistema te pide que ingreses datos como:

  • Nombre del Padre
  • Nombre del Madre
  • Fecha de Nacimiento


Que en realidad no profundizaremos mucho más en mencionar como conseguir esta información dado que el cibercriminal podría inclusive comprar de forma ilegal una ficha de la víctima por menos de S/.20.


Paso 3:
El tercer problema de seguridad que tenía el portal, era que el teléfono móvil que se debía registrar, podía ser de cualquier persona y no necesariamente debía estar a nombre del beneficiario, por lo que el ciberdelincuente podía poner su teléfono y recibir la clave SMS para cobrar el bono. Importante mencionar en esta parte que OSIPTEL pide al menos un DNI para registrar un teléfono por lo que podría ser un interesante método de verificación.



Chips usados por los ciberdelincuentes para suplantar a las víctimas.



Acciones Tomadas:


Luego del reporte realizado por DeepSecurity al Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional (PECERT), se pudo confirmar el día miércoles 27 de mayo, que la vulnerabilidad relacionada al control de captcha ya había sido solucionada.


Una captura de pantalla de una página web que dice 'secuencia' en la parte superior


Se confirmó al reutilizar el captcha se recibía error 400 Bad Request.


También se puede observar que se agregó la opción reclamos en la parte superior de la página bono universal.


Un sitio web que dice no familiar universal
Una captura de pantalla de un sitio web que dice consulta aqui tu sub monetario


Web actual – Registra tu caso.


A web page that says registrar un caso bono familiar universal


Web del Bono Universal


Línea de Tiempo:

Una cronología de eventos para mayo de 2020 en español.

Línea de tiempo obtenida del documento de ciberinteligencia de DeepSecurity


Conclusiones:


1.- A fin de evitar que las aplicaciones web puedan ser usadas para conseguir de forma masiva DNI con bono asignado y luego usar la misma página web con el fin de obtener la fecha de emisión o fecha de nacimiento de beneficiario, recomendamos se haga una adecuada implementación de control de CAPTCHA actualmente ya en uso.


El control de captcha presentando en ambos sitios web mencionados:

  • Bono Universal Familiar (https://bonouniversalfamiliar.pe)
  • Bono Independiente (https://bonoindependiente.pe)

Al obtener esta información, se puede iniciar el trámite de registro de datos.


2.- Durante el registro del beneficiario, se utiliza como método de validación los datos RENIEC con el objetivo de autenticar el usuario. Sin embargo, estos datos pueden ser encontrados en fuentes abiertas o en distintas aplicaciones de Internet. Este punto hace viable el cambio de datos incluido el nuevo número de celular, al cuál se envía la clave de cobro vía SMS. En ese caso recomendamos implementar controles de información cruzada con otras entidades.


3.- Así mismo se hace la observación al registro del número de celular, el que no cuenta con una validación de pertenencia al beneficiario del bono.


Este tipo de vulnerabilidades se encuentra bien identificada como “Configuración de Seguridad Incorrecta OWASP A2:2017” según lo indicado en las guías de buenas prácticas de seguridad conocidas como “OWASP TOP 10” que es un estándar reconocido internacionalmente.


Un fondo azul con dos manos y las palabras
4 de septiembre de 2023
¿Por qué se siguen reportando incidentes en los Smart Contracts? Hay varias razones por las que los smart contracts siguen siendo un objetivo para un actor de amenaza, aca les mencionamos las principales.
Una langosta verde en una rama, y el mensaje de pruebas de penetración vs bug bounty
8 de agosto de 2023
Los programas de bug bounty (recompensas por errores) y penetration testing (pruebas de penetración son dos enfoques distintos para las pruebas de seguridad, cada uno con sus propios beneficios y consideraciones. Si bien algunos pueden verlos como métodos opuestos, en realidad pueden funcionar en conjunto para mejorar la postura de seguridad de una organización. Es importante comprender las diferencias entre los dos y evaluar qué enfoque se alinea mejor con las metas, el objetivo y los recursos específicos de la organización.
Un mapa azul de América del Sur tiene un fondo azul oscuro.
por DeepSecurity 24 de junio de 2020
SMBGhost (CVE-2020-0796) es una vulnerabilidad de ejecución remota de código, no autenticada, en Microsoft Server Message Block 3.1.1 (SMBv3). La vulnerabilidad sólo requiere que el puerto 445 esté abierto, y un atacante podría conectarse y ejecutar comandos sin necesidad de tener usuario o contraseña.
Una estatua de un oso está comiendo una hoja sobre un fondo negro.
por DeepSecurity 21 de mayo de 2020
El último año ha sido clave para la expansión digital de los bancos peruanos. Se han lanzado al mercado todo tipo de utilidades y aplicaciones que ayudan a las personas a gestionar su dinero de una manera más fácil. En DeepSecurity, nos preocupamos por la ciberseguridad del sistema financiero local y por eso hemos llevado a cabo un análisis pasivo (no-intrusivo) de las aplicaciones móviles de 12 bancos del Perú.
Una mano sostiene una pieza de ajedrez sobre un fondo azul.
por DeepSecurity 14 de abril de 2020
BlueKeep (CVE-2019-0708) es una vulnerabilidad de ejecución remota de código, no autenticada, en Remote Desktop Services (Servicio de RDP). La vulnerabilidad solo requiere que el puerto de RDP esté abierto y un atacante podría conectarse sin necesidad de tener usuario o contraseña.
Un diagrama de un líder de grupo con servicios técnicos y servicios monetarios.
por DeepSecurity 12 de abril de 2020
La empresa rumana de Ciberseguridad @Bitdefender público un nuevo caso de estudio “An APT Blueprint: Gaining New Visibility into Financial Threats“ en donde plasma la línea de tiempo y el modus operandi de la banda APT (Advanced Persistent Threat) Carbanak
El logotipo de la palabra valla es azul y negro sobre un fondo blanco.
por DeepSecurity 11 de marzo de 2020
Durante un servicio de pentest web, el equipo de research de DeepSecurity se propuso crear una excepción en el WAF del plugin de seguridad más reconocido para el aseguramiento de plataformas WordPress, que actualmente protege aproximadamente a 3 millones de sitios web en el mundo, y donde pudimos identificar una vulnerabilidad de Cross-Site Scripting (XSS)
Un diagrama que muestra cómo el firewall bloquea una solicitud directa.
por DeepSecurity 23 de octubre de 2018
Server-Side Request Forgery (SSRF) es una vulnerabilidad que ha ido ganando mayor popularidad entre las nuevas tecnologías web. En el 2020 hay más de 60 CVEs asignados a esta vulnerabilidad. En este post se explicará a detalle un Blind SSRF encontrado en www.msn.com.
Más entradas
Share by: