La semana pasada los usuarios de los discos duros My Book Live descubrieron con horror que los datos almacenados habían sido borrados completamente, sin que hubiesen hecho nada. Ahora, Western Digital ha confirmado el método usado por los atacantes para acceder a las unidades, y vuelve a pedir a los usuarios que desconecten sus discos de Internet para evitar mayores problemas.
Todo empezó cuando los foros de Western Digital se llenaron de usuarios preguntando por qué sus unidades del My Book Live y My Book Live Duo habían sido borradas. Estos discos duros externos destacan por tener una conexión de red, con la que es posible conectarlos a Internet para gestionarlos de manera remota con una app.
Inicialmente, la sospecha era que los discos tenían un agujero de seguridad, que permitía entrar en el sistema interno e iniciar el borrado, además de cambiar la contraseña. Sin embargo, ahora Western Digital ha revelado que el ataque fue posible por un error que cometió en el 2011 y que hasta ahora no se había descubierto.
El fallo fatal
Este fallo permite que un atacante se conecte al dispositivo y borre todo el contenido del disco duro, iniciando una restauración de fábrica sin necesidad de saber la contraseña; por lo tanto, es diferente al bug que inicialmente se sospechaba, que otorgaba control completo sobre el dispositivo. En realidad, el atacante o atacantes no podían controlar el disco duro, sólo recuperaban los valores de fábrica, incluyendo el borrado de datos y la contraseña establecida.
Un año después de lanzar los My Book Live, Western Digital lanzó una actualización que realizaba algunos cambios en el sistema; según han descubierto investigadores de seguridad, el nuevo código contaba con una función que evitaba este tipo de acceso para hacer una restauración de fábrica, pero había sido desactivada.
Ahora, Western Digital ha confirmado que desactivó esta función a propósito. Parece raro, pero tuvo que hacer esto porque quería cambiar la manera en la que se realizaba la autenticación del usuario dentro del sistema; ahí es donde ocurrió el fallo, ya que los desarrolladores se olvidaron, o no pudieron, añadir el tipo de autenticación correcto. Como resultado, estos dispositivos de repente permitían que cualquiera que se conectase pudiese iniciar el proceso de restauración de fábrica.
¿Una guerra hacker?
Pero ¿por qué los discos están siendo borrados precisamente ahora? Los analistas de seguridad de Censys tienen una teoría curiosa: sería el resultado de una guerra entre hackers. Un grupo podría haber tomado el control de los discos duros para formar una "botnet", una red de dispositivos infectados que pueden ser usados para hacer ataques DDoS (de denegación de servicio) al conectarse todos al mismo tiempo a un servidor.
En respuesta, el grupo rival habría usado el fallo de Western Digital para forzar una restauración de fábrica y así eliminar la botnet. Sin embargo, nada de esto ha sido confirmado por el fabricante.
Western Digital intentará recuperar datos
Western Digital sí que ha presentado su plan para ayudar a los usuarios afectados por estos ataques. La compañía ha garantizado que proveerá servicios de recuperación de datos para los discos My Book Live atacados, aunque no ha aclarado si supondrá un coste adicional; el soporte de estos dispositivos terminó en el 2015, pero la naturaleza de este fallo ha motivado a la compañía a hacer esta promesa.
Además, WD también ofrecerá un nuevo programa de intercambio, que permitirá a los usuarios comprar un nuevo My Cloud rebajado, a cambio de entregar su My Book Live; el My Cloud es sucesor y cuenta con más funcionalidades y está mejor soportado.
Ambas iniciativas darán comienzo el próximo mes de julio, con los detalles aún por confirmar.