Dos chicos de 20 y 22 años, consiguieron introducirse en la red privada de Lowe, una cadena de tiendas de mejora del hogar, con un gran volumen de negocio en Estados Unidos. Equipados con un portátil con acceso “wireless” y desde un viejo coche, consiguieron robar números de tarjeta de crédito de los compradores on-line y otra información confidencial.

Paul Timmins y Adam Botbyl ambos expertos en sistemas informáticos y comunicaciones, consiguieron tener acceso continuado a la red privada de la compañía desde el día 25 de Octubre, usando un coche aparcado cerca de una de sus tiendas, a las afueras de Detroit como “centro de operaciones” cuando fueron detenidos.

No era el primer lugar desde donde intentaban operar. Habían hecho de las suyas por todo el país: Kansas, Carolina del Norte, Kentucky, Dakota del Sur, Florida y California. En alguno de estos almacenes, llegaron a dejar inoperativo algunos puntos de acceso, por el uso del software especial que empleaban para controlar las conexiones. El programa interceptaba las compras realizadas con tarjeta de crédito y tenía efecto sobre todas las tiendas del país, aunque sólo consiguieron seis códigos válidos.

Cuando la compañía comenzó a desconfiar de la validez de cierto tráfico en sus comunicaciones, instalaron sistemas de rastreo que confirmaron sus sospechas, y en seguida se pusieron en contacto con el FBI, que encontró a los sospechosos en el aparcamiento, a principios de Noviembre, encerrados en un coche lleno de antenas y tecleando en un portátil. Ahora los inculpados se enfrentan a penas de hasta diez años de prisión y una multa de doscientos cincuenta mil dólares, por causar daños en un sistema informático protegido.

Normalmente, este tipo de intrusión se realiza con un simple portátil equipado con una tarjeta WNIC (Wireless Network Interface Cards) y un software que busque automáticamente puertas de enlace o nodos de acceso válidos. Tan fácil como ejecutar un programa y esperar mientras se conduce por la ciudad. A esta técnica de búsqueda de nodos de acceso wireless se la conoce por varios nombres: warchalking, wardriving o stumbling. El wardriving cuenta cada vez con más adeptos que publican en diversas páginas web aquellos puntos de acceso que encuentran sin protección. Si se consigue una dirección de IP válida para una red, no sólo se podrán absorber datos personales, sino que probablemente, como cualquier otro usuario legítimo de esa red, se tendrá acceso gratuito y anónimo a Internet.

Más información y referencias:

Wireless hacking bust in Michigan:
http://www.securityfocus.com/news/7438

Sergio de los Santos
http://www.forzis.com