Las brechas de datos son noticia semanal y ya suman más de 1500 millones de datos filtrados publicados en lo que va del año. En febrero, el costo medio de una brecha había ascendido a 4,88 millones de dólares, un 10% más que el promedio estimado en 2023, y se convirtió en el más alto registrado desde 2020, según el Cost of Data Breach, un estudio de IBM en base a datos recabados por Ponemon Intitute, que analiza 604 organizaciones que sufrieron brechas entre marzo 2023 y febrero 2024. El informe citado destaca que el 56% de las filtraciones involucraron al almacenamiento en la nube.
Con el correr de estos primeros meses de 2024, fuimos testigos de brechas de miles de millones de registros en ataques a varias empresas en el mundo. Aunque pudiera pensarse que toda política de seguridad sigue los lineamientos básicos, una de las brechas más importantes se debió a que más de 165 empresas usaban el servicio en la nube de Snowflake sin activar un segundo factor de autenticación o autenticación multifactor. Lo mismo ocurrió, en la filtración de UnitedHealth en los Estados Unidos, afectando a un tercio de la población.
A continuación, un repaso por los principales incidentes ocurridos en 2024 seleccionados según el volumen de datos filtrados y personas afectadas, y por la relevancia de las empresas puestas bajo la mira. Ejemplos que llaman a recordar la importancia de revisar las políticas de seguridad, adoptar tecnologías robustas, pero sin olvidar la educación y el fortalecimiento del factor humano para prevenir formas de acceso más frecuentes usadas por los cibercriminales: campañas de phishing, distribución de malware como spyware y ransomware.
Change Healthcare
Un ciberataque ocurrido en febrero, dejó a más de un tercio de la información médica de los estadounidenses expuesta, según confirmó el CEO de la empresa, el 17 de mayo en una audiencia frente al comité de energía y comercio del Congreso estadounidense.
El ataque dejó sin servicio a esta empresa encargada del procesamiento de pagos médicos, coordinación entre profesionales, y análisis de datos, afectando a numerosos consultorios y entidades de Salud. Fue atribuido a Optum, un aliado, o subsidiario del grupo de ransomware BlackCat —grupo que había sido desmantelado por el FBI en diciembre 2023.
El acceso inicial, según el informe, el ataque ocurrió porque UnitedHealth, la empresa madre de ChangeHealth, no contaba con factor de autenticación múltiple (MFA, según sus siglas en inglés) para asegurar sus sistemas críticos.
National Public Data
El robo de miles de millones de registros de la empresa National Public Data (NPD), una compañía que vende datos personales para verificaciones de antecedentes ha puesto en alerta a los ciudadanos estadounidenses, luego de que se diera a conocer que más de 277 GB comprimidos de información fueron puestos a la venta en el sitio BreachedForum. Esta información contendría un total de 2700 millones de registros.
En un comunicado, la empresa aclaró que la brecha pudo haber involucrado datos de entre abril y julio de 2024, posiblemente vinculados a un intento de hackeo en diciembre de 2023. La información filtrada incluía direcciones postales, correos electrónicos, nombres, números de teléfono y números de seguro social.
TicketMaster
Una de las fugas de información más grandes en lo que va del año que se estima afectó a más de 560 millones de personas que utilizaron el servicio de TicketMaster. Todo comenzó con al menos tres incidentes en los que cibercriminales accedieron a la base de datos de la empresa, tercerizada en la proveedora de servicios en la nube Snowflake. Según reportaron en julio, en la notificación que enviaron a los consumidores, la información filtrada incluyó nombres, datos de contacto, y “alguna información extra”.
El grupo que se atribuyó el ataque, Shinyhunters, había utilizado credenciales de TicketMaster comprometidas que no tenían activado la autenticación multifactor, lo que les permitió acceder a la cuenta de Snowflake.
ShinyHunters aseguraba contar con 1,3 TB de información, que incluía, entre otras, información sobre tarjetas de crédito, según publica el sitio bleepingcomputer. Ese medio comprobó, en muestras del set de datos que ofrecía el grupo cibercriminal, que se podía acceder a nombres completes, direcciones de correo electrónico, números de teléfono y direcciones, además de información parcial de tarjetas y montos de pagos hechos con ellas.
AT&T
19 de abril de 2024, la empresa tomó conocimiento de que un actor de amenazas irrumpió en los registros de llamadas, según la empresa supo luego, fue a través de un espacio de trabajo alojado en un servidor de Snowflake, entre el 14 y el 25 de abril, utilizando credenciales comprometidas, según confirmó AT&T al medio Bleeping computer.
Los registros exfiltrados contenían un detalle de cerca de 51 millones de interacciones entre clientes, tanto por mensajes de texto como por teléfono, de un lapso de mayo y octubre 2022 y enero 2023 y aclararon que ningún otro dato, ni el contenido de las comunicaciones fueron filtrados.
Pero, aunque no se tenga un nombre asociado a los teléfonos, es posible hacerlo utilizando herramientas online y públicas, en una búsqueda por números.
Casos en América Latina
Según el último ESET Security Report, el 30% de las empresas en Latinoamérica sufrieron algún incidente de seguridad durante el 2023, y una 1 cada 5 consideraron que no cuentan con la tecnología suficiente para saberlo. Considerando que la región se encuentra en la mira de los ciberdelincuentes y los ataques a entidades en Latinoamérica en auge, es importante tomar medidas adicionales.
En Brasil, el CIRT (Centro de Prevención, Tratamiento y Respuesta a Ciberincidentes) en su relevamiento de incidentes 2024, da cuenta de que las filtraciones de datos ya ocupan el primer lugar entre los ciberincidentes. Según el relevamiento que realiza, en 2023 se habían registrado cerca de 906 filtraciones de datos y en 2024 ya se multiplicó hasta los 4 mil en lo que va el año, pasando a ser uno de los incidentes más relevantes.
Si bien no se cuentan con estadísticas generales de la región, durante 2024 hubo brechas de datos y filtraciones que pueden servir de ejemplo y llamado de atención. En Uruguay, solo en los primeros meses las filtraciones de datos contabilizadas por el sitio mefiltraron.com daban cuenta de que ya se habían duplicado la cantidad de correos electrónicos filtrados respecto al total de 2023. En Argentina, por su parte, un mismo actor de amenazas se atribuyó el robo de registros del Estado y expuso la información de más de 5 millones de ciudadanos.
Conclusión
En 2024, las filtraciones de datos siguen en aumento y ya se cuenta de a miles de millones, faltando algunos meses para que termine el año. La mayoría de los ataques aprovecharon brechas en los sistemas de seguridad, con el phishing y el uso indebido de credenciales como tácticas predominantes para acceder a información sensible. La falta de implementación de medidas clave, como la autenticación multifactor y la educación en buenas prácticas, continúan siendo factores críticos que pueden abrir las puertas para estas filtraciones.