Ha sido otro año monumental en ciberseguridad. Los actores de las amenazas prosperaron en un contexto de continua incertidumbre macroeconómica y geopolítica, utilizando todas las herramientas e ingenio a su disposición para abrirse paso a través de las defensas corporativas.
Según el Data Breach Investigations Report (DBIR) de Verizon, agentes externos son responsables de la gran mayoría (83%) de las filtraciones, y el beneficio económico es responsable de casi todas (95%). Por eso, la mayoría de los incidentes que aparecen en esta lista se deben al ransomware o a extorsionadores que roban datos. Pero no siempre es así. En ocasiones, la causa puede ser un error humano o un intruso malintencionado. Y a veces los ataques tienen un impacto desmesurado, aunque el número de víctimas sea relativamente pequeño.
Así que, sin ningún orden en particular, he aquí nuestra selección de los 10 mayores ataques de 2023.
1. MOVEit
Este ataque tenía todas las características de las campañas anteriores del grupo ransomware Lace Tempest (Storm0950) Clop contra Accellion FTA (2020) y GoAnywhere MFT (2023). El modus operandi es sencillo: utilizar una vulnerabilidad de día cero en un producto de software popular para acceder a los entornos de los clientes y, a continuación, filtrar tantos datos como sea posible para pedir un rescate. Todavía no está claro cuántos datos se han sustraído ni cuántas víctimas hay. Pero algunas estimaciones apuntan a más de 2.600 organizaciones y más de 83 millones de personas. El hecho de que muchas de estas organizaciones fueran, a su vez, proveedores o prestadores de servicios de otras agravó el impacto.
2. La Comisión Electoral del Reino Unido
El regulador independiente del Reino Unido para la financiación de partidos y elecciones reveló en agosto que ciberdelincuentes habían robado información personal de unos 40 millones de votantes del censo electoral. Afirmó que el responsable había sido un ciberataque “complejo”, pero los informes han sugerido desde entonces que su postura de seguridad era deficiente, ya que la organización no había superado una auditoría de seguridad básica de Cyber Essentials. La culpa podría haber sido de un servidor Microsoft Exchange sin parches, aunque no está claro por qué la comisión tardó 10 meses en notificarlo al público. También afirmó que agentes de amenazas podrían haber estado sondeando su red desde agosto de 2021.
3. El Servicio de Policía de Irlanda del Norte (PSNI)
Se trata de un incidente que entra en la categoría tanto de violación de información privilegiada, como de un incidente con un número relativamente pequeño de víctimas que pueden sufrir un impacto desproporcionado. El PSNI anunció en agosto que un empleado había publicado accidentalmente datos internos sensibles en el sitio web WhatDoTheyKnow en respuesta a una solicitud de libertad de información (FOI). La información incluía los nombres, rango y departamento de unos 10.000 oficiales y personal civil, incluidos los que trabajan en vigilancia e inteligencia. Aunque solo estuvo disponible durante dos horas antes de ser retirada, ese tiempo fue suficiente para que la información circulara entre los disidentes republicanos irlandeses, que la difundieron aún más. Dos hombres quedaron en libertad bajo fianza tras ser detenidos por delitos de terrorismo.
4. DarkBeam
La mayor filtración de datos del año fue la de 3.800 millones de registros expuestos por la plataforma de riesgo digital DarkBeam después de desconfigurar una interfaz de visualización de datos Elasticsearch y Kibana. Un investigador de seguridad se percató del error y lo notificó a la empresa, que corrigió el problema rápidamente. Sin embargo, no está claro durante cuánto tiempo habían estado expuestos los datos ni si alguien había accedido a ellos previamente con malas intenciones. Irónicamente, el botín de datos contenía correos electrónicos y contraseñas procedentes tanto de filtraciones de datos notificadas anteriormente como de otras no notificadas. Es otro ejemplo de la necesidad de vigilar de cerca y continuamente los sistemas para detectar errores de configuración.
5. Consejo Indio de Investigación Médica (ICMR)
Otra megabrecha, esta vez una de las mayores de la India, salió a la luz en octubre, después de que un actor de amenazas pusiera a la venta información personal de 815 millones de residentes. Al parecer, los datos se extrajeron de la base de datos de pruebas COVID del ICMR, e incluían nombre, edad, sexo, dirección, número de pasaporte y Aadhaar (número de identificación del gobierno). Esto es especialmente perjudicial, ya que podría dar a los ciberdelincuentes todo lo que necesitan para intentar una serie de ataques de fraude de identidad. Aadhaar puede utilizarse en la India como identificación digital y para el pago de facturas y las comprobaciones de “Conozca a su cliente”.
6. 23andMe
Un actor de amenazas afirmó haber robado hasta 20 millones de datos de la empresa estadounidense de genética e investigación. Al parecer, primero utilizaron técnicas clásicas de relleno de credenciales para acceder a las cuentas de los usuarios, básicamente utilizando credenciales previamente violadas que estos usuarios habían reciclado en 23andMe. En el caso de los usuarios que habían optado por el servicio DNA Relatives del sitio web, la amenaza pudo acceder a muchos más datos de posibles familiares. Entre la información que aparecía en el volcado de datos estaban la foto de perfil, el sexo, el año de nacimiento, la ubicación y los resultados de ascendencia genética.
7. Ataques DDoS de restablecimiento rápido
Otro caso inusual es el de una vulnerabilidad de día cero en el protocolo HTTP/2 revelada en octubre, que permitió a cibercriminales lanzar algunos de los mayores ataques DDoS jamás vistos. Según Google, estos alcanzaron un pico de 398 millones de peticiones por segundo (rps), frente a la mayor tasa anterior de 46 millones de rps. La buena noticia es que gigantes de Internet como Google y Cloudflare han parcheado el fallo, pero se ha instado a las empresas que gestionan su propia presencia en Internet a que sigan el ejemplo inmediatamente.
8. T-Mobile
La empresa de telecomunicaciones estadounidense ha sufrido muchas brechas de seguridad en los últimos años, pero la que reveló en enero es una de las mayores hasta la fecha. Afectó a 37 millones de clientes, cuyas direcciones, números de teléfono y fechas de nacimiento fueron robados. Un segundo incidente revelado en abril afectó a unos 800 clientes, pero incluyó muchos más datos, como los PIN de las cuentas de T-Mobile, números de la seguridad social, datos de identificación del gobierno, fechas de nacimiento y códigos internos que la empresa utiliza para dar servicio a las cuentas de los clientes.
9. MGM International/Cesars
Dos de los nombres más importantes de Las Vegas fueron atacados con pocos días de diferencia por el mismo ransomware afiliado a ALPHV/BlackCat conocido como Scattered Spider. En el caso de MGM, consiguieron acceder a la red simplemente a través de una investigación en LinkedIn y, a continuación, mediante un ataque de vishing en el que se hicieron pasar por el departamento de TI y le pidieron sus credenciales. Sin embargo, el ataque tuvo un importante coste económico para la empresa. Se vio obligada a cerrar importantes sistemas informáticos, lo que interrumpió el funcionamiento de las máquinas tragamonedas, los sistemas de gestión de restaurantes e incluso las tarjetas de acceso a las habitaciones durante días. La empresa calculó un coste de 100 millones de dólares. El coste para Cesars no está claro, aunque la empresa admitió haber pagado a sus extorsionadores 15 millones de dólares.
10. Las filtraciones del Pentágono
El último incidente es un cuento con moraleja para el ejército estadounidense, y para cualquier gran organización preocupada por los intrusos malintencionados. Jack Teixeira, de 21 años, miembro del ala de inteligencia de la Guardia Nacional Aérea de Massachusetts, filtró documentos militares muy delicados para presumir ante su comunidad de Discord. Posteriormente, estos documentos fueron compartidos en otras plataformas y reenviados por los rusos que seguían la guerra en Ucrania. Estos documentos proporcionaron a Rusia un tesoro de inteligencia militar para su guerra en Ucrania y socavaron la relación de Estados Unidos con sus aliados. Por increíble que parezca, Teixeira pudo imprimir y llevarse a casa documentos de alto secreto para fotografiarlos y subirlos posteriormente a Internet.
Esperemos que estas historias nos sirvan de lección. Por un 2024 más seguro.