En febrero de este año nos hacíamos eco de que Samsung compraba LoopPay, compañía especializada en el pago a través de smartphones con sus fundas. Ahora, unos siete meses después, sale a la luz que esta compañía sufrió un grave ataque por parte de unos hackers chinos.
Según explica el New York Times, esta pequeña empresa de Massachusetts fue víctima del ataque en marzo, cuando la compra era oficial pero aún faltaban unos meses para que constituyese la base del sistema de pagos de Samsung. Los responsables del ataque son conocidos como Codoso Group o Sunshock Group, y según LoopPay tendrían interés en su tecnología MST (Magnetic Secure Transmission).
Según parece los hackers entraron en la red interna corporativa de LoopPay, pero no en el sistema de producción que gestiona los pagos. Will Graylin, director ejecutivo de Samsung Pay, afirma que no tienen ninguna constancia de que los hackers hayan tenido acceso a los sistemas de Samsung ni a los datos de los clientes.
Más vale tarde que nunca
¿Y por qué no se ha dicho nada hasta ahora, tantos meses después? Resulta que en LoopPay no supieron nada de este ataque hasta finales de agosto, cuando una organización que investigaba a Codoso Group por su cuenta descubrió el acceso a la empresa y lo notificó. Pese al descuido, tanto LoopPay como Samsung aseguran haber destruido todos los sistemas infectados y que la información acerca de los pagos y dispositivos de los clientes no se ha visto expuesta.
No obstante, los expertos en seguridad que han estado rastreando a Codoso Group aseguran que aún es pronto para afirmar o descartar hasta dónde consiguieron acceder. Según parece, este grupo de hackers acostumbra a mantener un anclaje oculto en los sistemas que logran invadir. El modus operandi, afirman los expertos, es establecer estos accesos ocultos a la información de las víctimas para poder seguir accediendo aunque haya pasado tiempo de la intrusión inicial.
El NYT recoge la opinión de Ponemon Institute (una organización que investiga los ataques realizados por hackers), quienes calculan unos 46 días de media desde que se detecta un ataque hasta que se soluciona, aunque matizan que suele prolongarse cuando se trata de uno más complejo como en el caso del realizado por Codoso Group. Samsung presentó Samsung Pay en los Estados Unidos sólo 38 días después de que en LoopPay supiesen del ataque.
Llamando al CSI
Graylin asegura que tras tener constancia de la intrusión del 21 de agosto LoopPay contrató a dos equipos forenses para investigar, esto es, un mes antes del lanzamiento en el país americano. Según afirma el NYT, ambos equipos forenses aún estarían aún trabajando en el caso. No obstante, las irregularidades en la investigación empezaron pronto.
Al parecer, sólo tres días despues de iniciarse, LoopPay instó a unos de los equipos, Sotoria, a abandonar las oficinas proporcionándoles una copia de seguridad para el trabajo. Graylin argumentó que Sotoria estaba investigando sistemas que no estaban incluidos en el contrato inicial interpretándolo como un intento de aumentar el valor final de la factura al finalizar el trabajo.
Ante la preocupación de que los hackers pudiesen haber creado un plagio de Samsung Pay, Graylin resta importancia y añade que en ese caso se emprenderían acciones legales. Además, aclara que las entidades financieras y las operadoras tendrían que unirse a este producto plagiado para que funcionase.
Sin retrasar la agenda
Según la empresa coreana, no había ninguna necesidad de retrasar la presentación de Samsung Pay. Darlene Cedres, jefa de privacidad de Samsung, asegura que la plataforma de pago de la empresa coreana no se vio afectada y no existe ningún riesgo en cuanto a los datos de pago. Afirma que el incidente con LoopPay fue resuelto inmediatamente y matiza que fue un incidente aislado que afectó a la red de la empresa subsidiaria, la cual además está físicamente separada de la de Samsung Pay.
El curriculum de Codoso Group cuenta con ataques a Forbes, con el sistema que antes hemos comentado de dejar el anclaje oculto para posteriores accesos a los datos de los usuarios que visitaban la web del medio. Veremos si efectivamente el incidente está solucionado y no existe ningún riesgo para los usuarios de Samsung Pay como se esfuerza en asegurar la empresa.
Imagen | ValueWalk
Vía | New York Times
En Xataka Móvil | Samsung Pay empieza a andar y llegará a España "en un futuro cercano"
Ver 10 comentarios