Seguridad Física: Clonado de tarjetas de acceso con Proxmark en Operaciones Red Team

1. Introducción y objetivos

En este artículo vamos a ver lo fácil que resulta clonar ciertos tipos de tarjetas cuyo uso está muy extendido, no solo en controles de accesos de organizaciones privadas (hoteles, etc.), sino también en organizaciones públicas.

Para ello vamos a hacer uso de Proxmark3, la cual se puede adquirir desde su página oficial:

• https://proxmark.com

En este artículo no vamos a demostrar cómo se instala el escenario para llegar a poder usar Proxmark3, ya que para eso hay varios tutoriales en Internet que lo dejan muy claro:

• https://programmerclick.com/article/6252484389/

• https://blog.thehackingday.com/2021/04/conociendo-la-proxmark3-profundidad.html

Así pues, para llevar a cabo esta práctica deberemos tener el escenario preparado según se indica en los anteriores artículos, y unos conocimientos básicos del uso del framework Proxmark3.

2. Clonado de tarjeta en menos de 1 minuto

Lamentablemente y como vamos a ver, hay gran cantidad de tarjetas que pueden ser clonadas en menos de 1 minuto.

Únicamente indicar que cuando se realiza una auditoría de seguridad de este tipo de tarjetas, se testean siempre que cumplan con los principios fundamentales de la Ciberseguridad, los llamados principios del CID: Confidencialidad, Integridad y Disponibilidad.

En este caso no nos vamos a enfocar más que en el clonado de la tarjeta, ya que no vamos a realizar una auditoría de seguridad de la tarjeta, sino que vamos a simular cómo un grupo criminal puede llegar a clonar la tarjeta de un trabajador de una empresa (víctima) para poder ingresar dentro suplantando su identidad, y comprometer de esta manera los activos de dicha empresa a nivel físico.

a) Proxmark y tarjetas

Para no perder más tiempo, vamos a ponernos manos a la obra. Los materiales que necesitamos son los siguientes:

b) Obteniendo datos y claves de la tarjeta víctima

A continuación se muestra cómo se realiza el clonado de la tarjeta legítima de accesos con dos sencillos comandos. Mediante el comando «auto» se automatiza directamente todo el checkeo de la tarjeta que está físicamente sobre la Proxmark3. En este caso vemos cómo nos indica tras realizar el checkeo de la tarjeta víctima que ésta trabaja en HF y que se trata de una MIFARE Classic 1K.

Mediante el lanzamiento del comando «hf mf autopwn» realiza automáticamente las operaciones necesarias para llegar a comprometer las claves de la tarjeta.

Como vemos en la siguiente imagen, ya se han obtenido de manera automática todas las claves de la tarjeta MIFARE Classic 1K, se han guardado todos los datos en distintos archivos que serán necesarios para realizar el clonado en una nueva tarjeta mediante el volcado de los datos contenidos en los mismos.

c) Clonación de la tarjeta víctima

Con toda la información conseguida en los puntos anteriores procedemos a clonar la tarjeta víctima como se muestra a continuación:

d) Probando el éxito de la tarjeta clonada

Como podemos ver a continuación la tarjeta clonada funciona perfectamente:

3. Automatizar el clonado de tarjetas en Operaciones Red Team

Como hemos visto en el punto anterior, se puede llegar a realizar el clonado de tarjetas mediante el lanzamiento de tres comandos sobre la terminal.

El escenario deseable en una Operación Red Team física es el de poder automatizar este clonado de tal manera que se pueda realizar en cualquier lugar, con el solo hecho de acercarse a la persona adecuada que tenga su tarjeta de accesos de la organización víctima en el bolsillo, o que la haya dejado descuidada un momento encima de una mesa. Estos dos son solo ejemplos de una gran cantidad de posibilidades que pueda haber.

Para ello se propone realizar el montaje de un ecosistema compuesto por una Raspberry autónoma mediante el uso de una Powerbank, y una Proxmark3 conectada vía USB. Todo ello puede ir bien oculto en un pequeño estuche bajo la ropa o donde mejor proceda según el escenario.

La Raspberry con el framework de Proxmark queda a la espera de recibir la entrada de datos de la Proxmark3, de tal manera que al acercarse una tarjeta, la Raspberry ejecuta automáticamente el comando «auto» y finalizado este, mediante la lectura de su salida, el comando que proceda concatenado con «autopwn», capturando así todos los datos y claves de la tarjeta víctima quedando estos guardados en los archivos correspondientes.

Posteriormente, el operador puede retirarse a un lugar más cómodo donde llevar a cabo el volcado de los datos obtenidos de la tarjeta víctima en una nueva tarjeta, realizando de esta manera el clonado.

Lo descrito en los dos párrafos anteriores se puede llegar a realizar mediante la programación de un sencillo script que por motivos profesionales no vamos a poner a disposición.

4. Qué es lo que puede pasar a nivel físico en una Operación Red Team

En una Operación Red Team física el operador busca comprometer este tipo de seguridad para poder ingresar en los distintos departamentos de la empresa víctima, con la intención de obtener información confidencial e instalar distintos dispositivos informáticos con los que dar acceso a sus compañeros que se encuentran en el exterior a la espera de obtener el control de las máquinas de la empresa víctima.

Algunos de los dispositivos que pueden emplearse para estos objetivos son:

• Tortuga LAN: https://shop.hak5.org/products/lan-turtle
• Keylogger hardware: https://www.keelog.com
• Piña WiFi: https://shop.hak5.org/products/wifi-pineapple
• USB Rubber Ducky o BadUSB: https://jaymonsecurity.com/ataque-badusb-o-rubber-ducky/
• Shark Jack: https://shop.hak5.org/products/shark-jack
• Screen Crab: https://shop.hak5.org/products/screen-crab

Una vez el operador haya conseguido dar acceso cibernético a sus compañeros, debe proceder a abandonar la organización sin ser detectado. Será el momento en que entren a jugar sus compañeros para llegar a comprometer la empresa víctima al completo: Instalando malware de espionaje con persistencia en los equipos informáticos, exfiltrando información confidencial a servidores de Mando y Control (C2) comprometiendo el principio de Confidencialidad, alterando datos de los sistemas con los que comprometer el principio de Integridad, realizando ataques de Denegación de Servicio (DOS) con los que comprometer el principio de Disponibilidad, y un largo etcétera.

Huelga decir la gravedad que tiene el que un grupo criminal pueda llegar a este punto, en el que la empresa víctima quedaría completamente comprometida.

5. Conclusiones y mitigaciones

A lo largo de este artículo hemos visto la facilidad que puede tener un grupo criminal de realizar el clonado de tarjetas de acceso.

Así mismo, hemos podido comprobar cómo un fallo en la seguridad física puede ser aprovechado por un grupo criminal para llegar a comprometer una Organización empresarial. Es por ello que se debe tratar con la seriedad que merece a la seguridad física, la cual está encargada de proteger los sistemas informáticos de la empresa.

Para mitigar estos sucesos se deben utilizar medios de acceso robustos y actualizados (tarjetas y tornos de última generación, etc.) con unas buenas políticas de seguridad.

Es clave que a la hora de montar nuevos sistemas de accesos, tanto físicos como cibernéticos, se realice siguiendo una guía de configuración segura mediante métodos ya testados, con la finalidad de asegurar su buen funcionamiento.

Para finalizar, decir que lo más importante y el mayor reto para cualquier organización es el poder mitigar la falta de concienciación de sus empleados, ya que de nada sirve que todos los sistemas físicos e informáticos estén bien parcheados y actualizados si éstos posteriormente hacen un mal uso de los mismos.

De estar interesado en cursos de concienciación en ciberseguridad puede escribirnos directamente para más información. De querer adquirir conocimientos introductorios al hacking ético puede optar por matricularse en nuestro curso básico de hacking ético, o si prefiere adquirir conocimientos más avanzados en ciberseguridad ofensiva puede adquirir nuestro curso avanzado.