Despedido contratista de la CIA por robar de máquinas expendedoras hackeadas

FreedomPay: es el tipo de máquinas expendedoras cuya tecnología hace que el pagar snacks sea “más rápido, simple, seguro e inteligente” según su fabricante.

Muy práctico para cualquier agente de la CIA que quiera picar unos cacahuetes y un refresco. Sin embargo, un contratista avispado quiso reservarse unos tentempiés gratis, pero lo pillaron con las manos en la masa y, consecuentemente, perdió el trabajo.

La historia fue publicada inicialmente por periodistas de BuzzFeed, quienes firmaron una Freedom of Information Act en 2015 que les permitía acceder a un informe de la Office of Inspector General (OIG) Investigations Staff.

Según ese informe, las máquinas expendedoras de la CIA estaban conectadas por un cable a los servidores que las controlaban de FreedomPay.

El funcionamiento era sencillo, simplemente tenías que usar una tarjeta de FreedomPay para comprar tus snacks, sin necesidad de las engorrosas monedas. En teoría todo muy conveniente, inteligente y seguro.

¿Seguro? FreedomPay emplea “PCI Validated P2PE and tokenization” para cubrir los agujeros de seguridad expuestos en las transacciones con tarjeta de crédito “protegiendo los datos en tránsito y en el entorno del comerciante”.

Suena de maravilla, pero ¿qué ocurre cuando alguien accede a ese cable? De hecho eso fue lo que hicieron esos contratistas y utilizaron una tarjeta sin fondos de FreedomPay para robar las chucherías?

Según el informe clasificado, los robos comenzaron en otoño de 2012, pero se agravaron hasta marzo de 2013 cuando se comenzó una investigación sobre el tema.

La OIG aconsejó a la CIA que instalara una cámaras de vigilancia cerca de la mayoría de las máquinas expendedoras. Nótese la ironía de aconsejar a la CIA sobre cómo efectuar una labor de vigilancia. Gracias a esta medida se pudo identificar a muchos ladronzuelos, todos contratistas de la agencia.

Los infractores admitieron su culpa por lo que fueron despedidos. Las pérdidas de las máquinas expendedoras ascendió a 3.314,30$.

La OIG informó a la oficina del fiscal de Virginia sobre el incidente, pero el Departamento de Justicia decidió no presentar cargos.

Esta noticia lleva a preguntarnos sobre la tendencia general a pasar por alto los obvios contratiempos de seguridad que conlleva los aparatos conectados a Internet.

Así como en la urgencia de conectar todo a la red, ya sean objetos totalmente absurdos como teteras, a los más trascendentes como aparatos médicos, sin tomar todas las medidas de seguridad posibles.

No podemos culpar a FreedomPay del problema, y seguramente no tenemos que explicarle a la CIA como lidiar con la seguridad o la vigilancia. Pero si nos debe servir para recordar que todos estos aparatos IoT no son los más seguros del mundo, especialmente cuando alguien puede acceder a la conexión a Internet que usan.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: