Seguridad digital Mientras cerramos el telón de otro año lleno de acontecimientos en materia de ciberseguridad, repasemos algunos de los ciberincidentes de alto perfil que sufrieron varias organizaciones este año 28 de diciembre de 2023 • , 6 min. leer Ha sido otro año monumental en ciberseguridad. Los actores de amenazas prosperaron en un contexto de continua incertidumbre macroeconómica y geopolítica, utilizando todas las herramientas y el ingenio a su disposición para abrirse camino más allá de las defensas corporativas. Para los consumidores, fue otro año pasado haciendo clic ansiosamente en los titulares para ver si su información personal se había visto afectada. Según el Informe de investigaciones de filtraciones de datos (DBIR) de Verizon, los actores externos son responsables de la gran mayoría (83%) de las filtraciones, y las ganancias financieras representan casi todas (95%). Es por eso que la mayoría de los incidentes que aparecen en esta lista se deben a ransomware o extorsionadores de robo de datos. Pero ese no es siempre el caso. En ocasiones, la causa puede ser un error humano o una persona malintencionada. Y a veces los ataques tienen un impacto enorme, incluso si el número de víctimas es relativamente pequeño. Entonces, sin ningún orden en particular, aquí está nuestra selección de los 10 ataques más grandes de 2023. 1. MOVEit Rastreado hasta el afiliado de ransomware Clop Lace Tempest (Storm0950), este ataque tenía todas las características de las campañas anteriores del grupo contra Accellion FTA (2020). y GoAnywhere MFT (2023). El modus operandi es simple: utilizar una vulnerabilidad de día cero en un producto de software popular para obtener acceso a los entornos de los clientes y luego extraer tantos datos como sea posible para pedir un rescate. Todavía no está claro exactamente cuántos datos se han tomado y cuántas víctimas hay. Pero algunas estimaciones sugieren más de 2.600 organizaciones y más de 83 millones de personas. El hecho de que muchas de estas organizaciones fueran ellos mismos proveedores o proveedores de servicios para otros no ha hecho más que aumentar el impacto posterior. Progress Software, la compañía detrás de MOVEit, publicó detalles sobre la laguna de seguridad crítica y lanzó un parche el 31 de mayo de 2023, instando a los clientes a implementarlo de inmediato o tomar las medidas de mitigación descritas en el aviso de la compañía. 2. La Comisión Electoral del Reino Unido El regulador independiente del Reino Unido para la financiación de partidos y elecciones reveló en agosto que actores de amenazas habían robado información personal de aproximadamente 40 millones de votantes en el registro electoral. Afirmó que el responsable fue un ciberataque «complejo», pero desde entonces los informes han sugerido que su postura de seguridad era deficiente: la organización no pasó una auditoría de seguridad básica de Cyber ​​Essentials. Un servidor Microsoft Exchange sin parches puede haber sido el culpable, aunque no está claro por qué la comisión tardó 10 meses en notificar al público. También afirmó que los actores de amenazas pueden haber estado investigando su red desde agosto de 2021. 3. El Servicio de Policía de Irlanda del Norte (PSNI) Este es un incidente que cae en la categoría de violación interna y uno con un número relativamente pequeño de víctimas que pueden sufrir un impacto descomunal. El PSNI anunció en agosto que un empleado publicó accidentalmente datos internos confidenciales en el sitio web WhatDoTheyKnow en respuesta a una solicitud de Libertad de Información (FOI). La información incluía los nombres, rango y departamento de unos 10.000 oficiales y personal civil, incluidos los que trabajan en vigilancia e inteligencia. Aunque sólo estuvo disponible durante dos horas antes de ser eliminado, fue tiempo suficiente para que la información circulara entre los disidentes republicanos irlandeses, quienes la difundieron aún más. Dos hombres quedaron en libertad bajo fianza tras ser detenidos por delitos de terrorismo. 4. DarkBeam La mayor filtración de datos del año vio 3.800 millones de registros expuestos por la plataforma de riesgo digital DarkBeam después de que configurara mal una interfaz de visualización de datos de Elasticsearch y Kibana. Un investigador de seguridad notó el problema de privacidad y notificó a la empresa, que corrigió el problema rápidamente. Sin embargo, no está claro durante cuánto tiempo los datos estuvieron expuestos o si alguien había accedido a ellos anteriormente con intenciones nefastas. Irónicamente, los datos contenían correos electrónicos y contraseñas de violaciones de datos reportadas anteriormente y no reportadas. Es otro ejemplo de la necesidad de monitorear estrecha y continuamente los sistemas para detectar configuraciones incorrectas. 5. Consejo Indio de Investigación Médica (ICMR) En octubre se reveló otra megaviolación, esta vez una de las más grandes de la India, después de que un actor de amenazas pusiera a la venta información personal de 815 millones de residentes. Parece que los datos fueron extraídos de la base de datos de pruebas COVID del ICMR e incluían nombre, edad, sexo, dirección, número de pasaporte y Aadhaar (número de identificación gubernamental). Esto es particularmente dañino ya que podría darles a los ciberdelincuentes todo lo que necesitan para intentar una variedad de ataques de fraude de identidad. Aadhaar se puede utilizar en la India como identificación digital y para pagos de facturas y cheques Conozca a su cliente. 6. 23andMe Un actor de amenazas afirmó haber robado hasta 20 millones de datos de la empresa de investigación y genética con sede en Estados Unidos. Parece que primero utilizaron técnicas clásicas de relleno de credenciales para acceder a las cuentas de los usuarios, básicamente utilizando credenciales previamente violadas que estos usuarios habían reciclado en 23andMe. Para aquellos usuarios que habían optado por el servicio DNA Relatives en el sitio, el actor de amenazas pudo acceder y extraer muchos más puntos de datos de familiares potenciales. Entre la información incluida en el volcado de datos se encontraba la foto de perfil, el sexo, el año de nacimiento, la ubicación y los resultados de ascendencia genética. 7. Ataques DDoS de reinicio rápido Otro caso inusual, este involucra una vulnerabilidad de día cero en el protocolo HTTP/2 revelada en octubre que permitió a los actores de amenazas lanzar algunos de los ataques DDoS más grandes jamás vistos. Google dijo que alcanzaron un máximo de 398 millones de solicitudes por segundo (rps), frente a la tasa más alta anterior de 46 millones de rps. La buena noticia es que gigantes de Internet como Google y Cloudflare han solucionado el problema, pero se instó a las empresas que gestionan su propia presencia en Internet a hacer lo mismo de inmediato. 8. T-Mobile La empresa de telecomunicaciones estadounidense ha sufrido muchas violaciones de seguridad en los últimos años, pero la que reveló en enero es una de las mayores hasta la fecha. Afectó a 37 millones de clientes, con direcciones de clientes, números de teléfono y fechas de nacimiento robadas por un actor de amenazas. Un segundo incidente revelado en abril afectó solo a unos 800 clientes, pero incluyó muchos más puntos de datos, incluidos PIN de cuentas de T-Mobile, números de seguro social, detalles de identificación gubernamental, fechas de nacimiento y códigos internos que la empresa utiliza para atender las cuentas de los clientes. 9. MGM International/Cesars Dos de los nombres más importantes de Las Vegas fueron atacados con pocos días de diferencia por el mismo afiliado de ransomware ALPHV/BlackCat conocido como Scattered Spider. En el caso de MGM, lograron obtener acceso a la red simplemente a través de una investigación en LinkedIn y luego de un ataque de vishing al individuo en el que se hicieron pasar por el departamento de TI y le pidieron sus credenciales. Sin embargo, el compromiso tuvo un costo financiero importante para la empresa. Se vio obligado a cerrar importantes sistemas informáticos que interrumpieron las máquinas tragamonedas, los sistemas de gestión de restaurantes e incluso las tarjetas de acceso a las habitaciones durante días. La empresa estimó un coste de 100 millones de dólares. El costo para Cesars no está claro, aunque la empresa admitió haber pagado a sus extorsionadores 15 millones de dólares. 10. Las filtraciones del Pentágono El incidente final es una advertencia para el ejército estadounidense y cualquier organización grande preocupada por personas internas maliciosas. Un miembro de 21 años del ala de inteligencia de la Guardia Nacional Aérea de Massachusetts, Jack Teixeira, filtró documentos militares muy sensibles para poder alardear ante su comunidad de Discord. Posteriormente, estos fueron compartidos en otras plataformas y vueltos a publicar por rusos que seguían la guerra en Ucrania. Le dieron a Rusia un tesoro escondido de inteligencia militar para su guerra en Ucrania y socavaron la relación de Estados Unidos con sus aliados. Increíblemente, Teixeira pudo imprimir y llevarse a casa documentos ultrasecretos para fotografiarlos y posteriormente subirlos. Esperemos que estas historias proporcionen algunas lecciones útiles aprendidas. Por un 2024 más seguro.