En término de ciberseguridad, los actores de las amenazas prosperaron en un contexto de continua incertidumbre macroeconómica y geopolítica, utilizando todas las herramientas e ingenio a su disposición para abrirse paso a través de las defensas corporativas. Según el Data Breach Investigations Report (DBIR) de Verizon, los agentes externos son responsables de la gran mayoría (83%) de las filtraciones, y el beneficio económico es responsable de casi todas (95%). ESET analiza los 10 de los mayores incidentes de seguridad de 2023.
“La mayoría de los incidentes que aparecen en esta lista se deben al ransomware o a extorsionadores que roban datos. Pero no siempre es así. En ocasiones, la causa puede ser un error humano o un intruso malintencionado. Y a veces los ataques tienen un impacto desmesurado, aunque el número de víctimas sea relativamente pequeño.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de ESET Latinoamérica.
La selección de los 10 mayores ataques de 2023, según ESET Latinoamérica
- 1. MOVEit: el modus operandi de este ataque es sencillo: utilizar una vulnerabilidad de día cero en un producto de software popular para acceder a los entornos de los clientes y, a continuación, filtrar tantos datos como sea posible para pedir un rescate. No está claro cuántos datos se han sustraído ni cuántas víctimas hay. Pero algunas estimaciones apuntan a más de 2,600 organizaciones y más de 83 millones de personas. El hecho de que muchas de estas organizaciones fueran, a su vez, proveedores o prestadores de servicios de otras agravó el impacto.
- 2. La Comisión Electoral del Reino Unido: el regulador independiente del Reino Unido para la financiación de partidos y elecciones reveló en agosto que ciberdelincuentes habían robado información personal de unos 40 millones de votantes del censo electoral. Afirmó que el responsable había sido un ciberataque “complejo”, pero los informes han sugerido desde entonces que su postura de seguridad era deficiente, ya que la organización no había superado una auditoría de seguridad básica de Cyber Essentials. La culpa podría haber sido de un servidor Microsoft Exchange sin parches, aunque no está claro por qué la comisión tardó 10 meses en notificarlo al público. También afirmó que agentes de amenazas podrían haber estado sondeando su red desde agosto de 2021.
- 3. El Servicio de Policía de Irlanda del Norte (PSNI): se trata de un incidente que entra en la categoría tanto de violación de información privilegiada, como de un incidente con un número relativamente pequeño de víctimas que pueden sufrir un impacto desproporcionado. El PSNI anunció en agosto que un empleado había publicado accidentalmente datos internos sensibles en el sitio web WhatDoTheyKnow en respuesta a una solicitud de libertad de información (FOI). La información incluía los nombres, rango y departamento de unos 10.000 oficiales y personal civil, incluidos quienes trabajan en vigilancia e inteligencia. Aunque solo estuvo disponible durante dos horas antes de ser retirada, ese tiempo fue suficiente para que la información circulara entre los disidentes republicanos irlandeses, que la difundieron aún más. Dos hombres quedaron en libertad bajo fianza tras ser detenidos por delitos de terrorismo.
- 4. DarkBeam: la mayor filtración de datos del año fue la de 3,800 millones de registros expuestos por la plataforma de riesgo digital DarkBeam después de desconfigurar una interfaz de visualización de datos Elasticsearch y Kibana. Un investigador de seguridad se percató del error y lo notificó a la empresa, que corrigió el problema rápidamente. Sin embargo, no está claro durante cuánto tiempo habían estado expuestos los datos ni si alguien había accedido a ellos previamente con malas intenciones. Irónicamente, el botín de datos contenía correos electrónicos y contraseñas procedentes tanto de filtraciones de datos notificadas anteriormente como de otras no notificadas. Es otro ejemplo de la necesidad de vigilar de cerca y continuamente los sistemas para detectar errores de configuración.
- 5. Consejo Indio de Investigación Médica (ICMR): otra mega brecha, una de las mayores de la India, salió a la luz en octubre después de que un actor de amenazas pusiera a la venta información personal de 815 millones de residentes. Al parecer, los datos se extrajeron de la base de datos de pruebas COVID del ICMR, e incluían nombre, edad, sexo, dirección, número de pasaporte y Aadhaar (número de identificación del gobierno). Esto podría dar a los ciberdelincuentes todo lo que necesitan para intentar una serie de ataques de fraude de identidad. Aadhaar puede utilizarse en la India como identificación digital y para el pago de facturas y las comprobaciones de “Conozca a su cliente”.
- 6. 23andMe: un actor de amenazas afirmó haber robado hasta 20 millones de datos de la empresa estadounidense de genética e investigación. Al parecer, primero utilizaron técnicas de relleno de credenciales para acceder a las cuentas de los usuarios, básicamente utilizando credenciales previamente violadas que estos usuarios habían reciclado en 23andMe. En el caso de los usuarios que habían optado por el servicio DNA Relatives del sitio web, la amenaza pudo acceder a muchos más datos de posibles familiares. Entre la información que aparecía en el volcado de datos estaban la foto de perfil, el sexo, el año de nacimiento, la ubicación y los resultados de ascendencia genética.
- 7. Ataques DDoS de restablecimiento rápido: otro caso inusual es el de una vulnerabilidad de día cero en el protocolo HTTP/2 revelada en octubre, que permitió a cibercriminales lanzar algunos de los mayores ataques DDoS jamás vistos. Según Google, estos alcanzaron un pico de 398 millones de peticiones por segundo (rps), frente a la mayor tasa anterior de 46 millones de rps. La buena noticia es que gigantes de Internet como Google y Cloudflare han parcheado la vulnerabilidad, pero se ha instado a las empresas que gestionan su propia presencia en Internet a que sigan el ejemplo inmediatamente.
- 8. T-Mobile: la empresa de telecomunicaciones estadounidense ha sufrido muchas brechas de seguridad en los últimos años, pero la que reveló en enero es una de las mayores hasta la fecha. Afectó a 37 millones de clientes, cuyas direcciones, números de teléfono y fechas de nacimiento fueron robados. Un segundo incidente revelado en abril afectó a unos 800 clientes, pero incluyó muchos más datos, como los PIN de las cuentas de T-Mobile, números de la seguridad social, datos de identificación del gobierno, fechas de nacimiento y códigos internos que la empresa utiliza para dar servicio a las cuentas de los clientes.
- 9. MGM International/Cesars: dos de los nombres más importantes de Las Vegas fueron atacados con pocos días de diferencia por el mismo ransomware afiliado a ALPHV/BlackCat conocido como Scattered Spider. En el caso de MGM, consiguieron acceder a la red simplemente a través de una investigación en LinkedIn y, a continuación, mediante un ataque de vishing en el que se hicieron pasar por el departamento de TI y le pidieron sus credenciales. Sin embargo, el ataque tuvo un importante costo económico para la empresa. Se vio obligada a cerrar importantes sistemas informáticos, lo que interrumpió el funcionamiento de las máquinas tragamonedas, los sistemas de gestión de restaurantes e incluso las tarjetas de acceso a las habitaciones durante días. La empresa calculó un costo de 100 millones de dólares. El costo para Cesars no está claro, aunque la empresa admitió haber pagado a sus extorsionadores 15 millones de dólares.
- 10. Las filtraciones del Pentágono: el último incidente afectó al ejército estadounidense y sirve de ejemplo para cualquier gran organización preocupada por los intrusos malintencionados. Jack Teixeira, de 21 años, miembro del ala de inteligencia de la Guardia Nacional Aérea de Massachusetts, filtró documentos militares muy delicados para presumir ante su comunidad de Discord. Posteriormente, estos documentos fueron compartidos en otras plataformas y reenviados por los rusos que seguían la guerra en Ucrania. Estos documentos proporcionaron a Rusia un tesoro de inteligencia militar para su guerra en Ucrania y socavaron la relación de Estados Unidos con sus aliados. Teixeira pudo imprimir y llevarse a casa documentos de alto secreto para fotografiarlos y subirlos posteriormente a Internet.