Las filtraciones de datos más grandes de 2021 y lo que aprendimos de ellas
Publicado: 2021-09-162021 fue un mal año para la ciberseguridad.
Con la incertidumbre sobre la pandemia, una fuerza laboral recientemente remota y una clara falta de protecciones adecuadas para miles de empresas en todo el país, teníamos un entorno que estaba listo para ser aprovechado por actores malintencionados.
Y los ciberdelincuentes hicieron exactamente eso. Aprovechándose de los miedos y ansiedades de las personas, los ataques de phishing, el ransomware y otros vectores de ataque que dependían de la ingeniería social aumentaron significativamente, además de otros vectores como inyección SQL, exploits de día cero y ataques de denegación de servicio (DDoS).
Si bien son los grandes ataques los que obtienen más cobertura, las PYMES están siendo atacadas con la misma frecuencia, y ninguna empresa es demasiado pequeña para ser víctima del ciberdelito en el entorno de ciberseguridad actual.
Según un informe de 2020, el 55 % de las pymes han sufrido un ciberataque.
Hoy vamos a echar un vistazo a algunas de las filtraciones de datos más grandes del año, qué las causó y qué podemos aprender de ellas.
Publicación relacionada: Los ataques cibernéticos pandémicos están impulsando la adopción de tecnología
Las buenas noticias
Sería negligente no reconocer que las violaciones de datos en realidad han disminuido en 2021 en comparación con 2020, en un 24 %.
Sin embargo, esto no significa que se haya realizado una mejora suficiente para mantenerse a salvo de los ataques.
Los empleados que regresan a la oficina y un aumento en la inversión en seguridad cibernética son las fuerzas impulsoras detrás de esta mejora, pero las empresas deben permanecer alerta, y aquellas que no han invertido en sus protecciones de seguridad deben considerar seriamente implementar una estrategia, ya sea a través de un equipo de la casa o usando un MSSP.
En la primera mitad de 2021, hubo 1767 infracciones denunciadas públicamente, lo que expuso un total de 18 800 millones de registros.
Ahora, sin más preámbulos, ¡saltemos!
T-Mobile
¿Qué sucedió?
El 17 de agosto, el gigante de las telecomunicaciones T-Mobile fue objeto de un ataque cibernético que comprometió los datos confidenciales de más de 54 millones de personas, incluidos SSN, nombres, direcciones, fechas de nacimiento y licencia de conducir y números de identificación, así como números IMEI e IMSI.
T-Mobile reaccionó rápidamente a la violación, cerró sus servidores y lanzó una investigación a gran escala.
¿Como paso?
El pirata informático que se atribuyó la responsabilidad del ataque, John Binns, de 21 años, le dijo al Wall Street Journal que había obtenido acceso a la infraestructura interna de T-Mobile a través de un enrutador no seguro y describió la seguridad de la empresa como "horrible".
¿Qué aprendimos?
Esta no es la primera vez que T-Mobile ha sido objeto de una violación de datos, ya que anteriormente fue pirateado en 2018, 2019 y 2020 además de este año.
La última infracción es la quinta en cuatro años.
Si el relato de Binns sobre la piratería de un enrutador no seguro es cierto, este es solo otro ejemplo de una empresa que no logra identificar y proteger adecuadamente todos sus dispositivos con protección de punto final.
Las organizaciones deben asegurarse de monitorear y aprovisionar cada dispositivo conectado a su red, o de lo contrario arriesgarse a dejar una puerta abierta para que los piratas informáticos exploten como lo hizo T-Mobile.
Arcas sociales
¿Qué sucedió?
SocialArks es una plataforma con sede en China que se utiliza para administrar campañas y datos de redes sociales.
En 2021, sufrió una violación masiva de datos: se robaron más de 300 millones de registros de cuentas de redes sociales de plataformas como Facebook, Instagram y LinkedIn.
Se comprometió un total de 400 GB de datos de cuentas privadas pertenecientes a más de 200 millones de usuarios de redes sociales en todo el mundo.
¿Como paso?
La violación de SocialArks ocurrió porque la base de datos de ElasticSearch que poseían estaba mal configurada.
Los datos confidenciales en la base de datos habían sido "raspados" de los sitios de redes sociales y el servidor en el que se alojaban los datos carecía de los protocolos de seguridad adecuados, según verificaciones posteriores de direcciones IP.
El acceso al servidor carecía incluso de protección con contraseña, lo que significaba que prácticamente cualquier persona podía acceder a las enormes cantidades de datos personales, que es como se robaron.
¿Qué aprendimos?
Muchas organizaciones que almacenan datos de consumidores lo hacen en ubicaciones no seguras.
Desde el punto de vista del consumidor, deben tener mucho cuidado con quién comparten y permiten el acceso a su información personal.
Para las empresas, es importante reconocer que proteger los datos de los clientes de manera responsable es esencial hoy en día: las personas perderán la confianza muy rápidamente si les roban sus datos no seguros.
Debido a esto, es una buena idea asegurarse de que los centros de datos que se utilizan sean altamente seguros y tengan niveles aceptables de redundancia, como los centros de datos con clasificación Tier III y Tier IV.
volkswagen
¿Qué sucedió?
Una filtración de datos en un proveedor de Volkswagen afectó a más de 3,3 millones de clientes en América del Norte y salió a la luz en mayo de 2021.
Más de 90,000 clientes en los EE. UU. y Canadá tenían datos más confidenciales comprometidos, incluida la información sobre la elegibilidad del préstamo, así como los registros de fecha de nacimiento y los números de Seguro Social.
El hacker, identificado con el alias “000”, escribió que buscaban vender el contenido de la base de datos por alrededor de $5,000.
¿Como paso?
Un proveedor de Volkswagen, no identificado por la empresa, dejó desprotegidos los datos de los clientes entre 2014 y 2019.
El proveedor recopiló información de los clientes en nombre de Volkswagen para ayudar en sus iniciativas de ventas y marketing.
Hasta ahora, Volkswagen se ha negado a comentar cómo fue pirateado exactamente el proveedor, diciendo que solo se debió a que "los datos electrónicos quedaron sin protección en algún momento entre agosto de 2019 y mayo de 2021".
Desde entonces, se han iniciado múltiples investigaciones y Volkswagen es objeto de una demanda colectiva presentada en junio de 2021.
¿Qué aprendimos?
Muchas empresas subcontratan varios aspectos de sus operaciones, incluidos los servicios de marketing.
Antes de asociarse con un proveedor, las organizaciones deben estar seguras de que protegerán los datos que se les confían, especialmente si se trata de información de identificación personal (PII) del cliente.
Las empresas que operan en industrias con estrictas normas de cumplimiento, como la atención médica, deben tener el doble de cuidado con las personas con las que se asocian para los servicios.
Kaseya
¿Qué sucedió?
En julio de 2021, la empresa de software Kaseya descubrió que varios proveedores de servicios administrados y sus clientes estaban siendo atacados con ransomware que afectaba la solución de administración y monitoreo remoto (RMM) de Kaseya.
Kaseya declaró que entre 800 y 1500 empresas que usaban su software se vieron afectadas en el ataque, y los piratas informáticos exigieron un rescate de $ 70 millones para que los datos cifrados se devolvieran a los MSP.
Kaseya respondió apagando los sistemas antes de proporcionar a los usuarios una herramienta de detección de compromisos, ayudándolos a determinar si se habían visto afectados.
Afirmaron que no se había pagado ningún rescate a los piratas informáticos.
¿Como paso?
Los piratas informáticos utilizaron un exploit de día cero para eludir los protocolos de autenticación y ejecutar la ejecución de comandos arbitrarios en el producto de monitoreo remoto VSA de Kaseya.
Esto les permitió enviar actualizaciones que contenían malware a los clientes de MSP de Kaseya, infectándolos con ransomware.
¿Qué aprendimos?
Los exploits de día cero, que se refieren a aprovechar nuevas vulnerabilidades antes de que se parcheen y actualicen, continúan siendo un problema en la ciberseguridad.
2021 fue el año más grande registrado para la explotación de vulnerabilidades de día cero.
Los ataques de día cero representan el juego continuo de golpear un topo que los ingenieros juegan con los piratas informáticos en un esfuerzo por prevenir estas vulnerabilidades.
Las técnicas de seguridad más nuevas, en particular aquellas que utilizan patrones de comportamiento y aprendizaje automático para determinar las amenazas, serán esenciales en el futuro para detener los ataques de día cero.
Las empresas que aún no lo han hecho deberían considerar invertir en tecnologías de búsqueda de amenazas para proteger activamente sus sistemas con herramientas de ciberseguridad proactivas avanzadas.
Ubiquiti
¿Qué sucedió?
Ubiquiti es un fabricante de tecnología de consumo de alta gama, que incluye enrutadores, cámaras de seguridad y otros dispositivos de Internet de las cosas (IoT), con énfasis en la seguridad.
En enero de 2021, la empresa aconsejó a los usuarios restablecer sus contraseñas después de sufrir una infracción que involucró a un proveedor de nube externo.
Ubiquiti luego les dijo a los clientes que los nombres, las direcciones de correo electrónico, las credenciales codificadas y los números de teléfono se habían visto comprometidos, pero no dio más detalles sobre cuántos clientes se habían visto afectados.
El aparente incidente de seguridad de rutina ganó una importancia sustancial cuando un denunciante afirmó a fines de marzo de 2021 que el incidente había sido minimizado y que, de hecho, era "catastrófico".
¿Como paso?
En lugar de ser culpa de un proveedor externo, el denunciante afirmó que Ubiquiti, de hecho, alojaba los datos en la plataforma AWS de Amazon.
Aparentemente, los piratas informáticos obtuvieron acceso de administrador a las bases de datos a través de credenciales de LastPass robadas.
Después de que se robaron los datos, los piratas informáticos exigieron 50 bitcoins (BTC) (alrededor de $ 2-3 millones) de Ubiquiti, que no se comprometió con ellos.
Como resultado de la filtración y la comunicación y los mensajes confusos a los clientes, el precio de las acciones de Ubiquiti cayó un 25 % y aún no se ha recuperado.
¿Qué aprendimos?
Se deben monitorear y mantener los controles de acceso y las políticas para el software de terceros dentro de las organizaciones.
¿Quién tiene acceso a qué y por qué? Esta es una pregunta que las empresas se hacen con muy poca frecuencia y, a menudo, conduce a un mayor número de vectores de ataque para los ciberdelincuentes.
Además, en muchos de estos casos, no se empleó la autenticación multifactor; en este caso, se requería una contraseña simple a la que los piratas informáticos habían obtenido acceso.
Si también hubieran tenido que autenticarse a través del teléfono del empleado, el ataque se habría detenido en seco.
De lo contrario, la violación de Ubiquiti demuestra la necesidad de que las empresas sean completamente francas con los ataques, ya que el daño a la reputación que puede derivarse de incidentes como denunciantes que se hacen públicos puede ser devastador: siempre sea claro y revele a los clientes exactamente lo que necesitan saber; son sus datos y no se merecen menos.
Línea de fondo
Hemos echado un vistazo a varias de las mayores filtraciones de datos de 2021.
Como puede ver, las violaciones de datos pueden ocurrir debido a una amplia variedad de vectores de ataque, y cada uno de ellos es extremadamente peligroso para las operaciones comerciales.
Cada una de las infracciones que analizamos hoy se pudo prevenir y existen soluciones que pueden poner a una empresa en una excelente posición para defenderse de los ataques.
Las organizaciones que no están seguras de su perfil de ciberseguridad deberían considerar realizar una evaluación de riesgos para que puedan tener una idea clara de qué soluciones deben implementar para no ser víctimas como lo hicieron estas empresas en 2021.
Si necesita ciberseguridad pero no está seguro de por dónde empezar, considere que Impact realice una auditoría de riesgos. Póngase en contacto hoy para comenzar a asegurar su futuro.