Las brechas de datos son cada vez más frecuentes. La empresa de seguridad Gemalto estimó que, tan solo en el primer semestre de 2015, hubo 888 filtraciones, lo que resulta en 246 millones de registros afectados, mientras que una investigación de IBM indicó que el costo total consolidado de una brecha de datos promedio en 2014 alcanzó los USD 3,8 millones, lo que marcó un incremento del 23% con respecto a 2013.
2015 fue el año en que la Ingeniería Social pasó a ser el método de infección principal, donde se toma al ser humano como una "oportunidad fácil"; aunque es probable que las vulnerabilidades de software se sigan aprovechando en forma indefinida. Los estados-nación participan activamente en este ámbito y los grupos criminales organizados encuentran allí una oportunidad lucrativa. Por su parte, la amenaza interna sigue siendo tan importante como siempre.
En este artículo observaremos cinco de las brechas de datos más trascendentales (y dañinas) de 2015.
OPM
En junio, la Oficina de Administración de Personal (OPM) estadounidense anunció que había sido víctima de uno de los ataques cibernéticos más avanzados de la historia reciente. Inicialmente se informó que esta filtración dio lugar a la pérdida de cuatro millones de registros, aunque el director del FBI James Comey posteriormente elevó esta cifra a 18 millones. Ahora se cree que en total afectó a 21,5 millones de empleados públicos.
Descrito por las autoridades federales como uno de los robos de datos gubernamentales más graves en toda la historia estadounidense, la información comprometida incluyó datos de identificación personal, como nombres, fechas de nacimiento, direcciones y números de seguridad social del personal. También quedaron expuestas más de cinco millones de huellas digitales y documentación de autorizaciones de seguridad.
En un principio se culpó a China (aunque este país niega haber estado involucrado), y se cree que la Ingeniería Social fue el punto de entrada más probable. Al parecer, los atacantes obtuvieron credenciales de usuario válidas y se manejaron por la red de la OPM para infligir daños en diciembre de 2014. La OPM detectó la infracción por primera vez en abril de 2015.
Anthem
A comienzos de 2015, la compañía de seguro médico estadounidense Anthem notificó a sus clientes que había sido víctima de un ciberataque avanzado que afectó a todos los usuarios actuales y pasados, así como a varias otras marcas (Blue Cross y Blue Shield) que utilizaban los servicios de Anthem.
Alrededor de 80 millones de clientes y empleados resultaron afectados por el ataque, que había comenzado (al igual que el caso de la OPM) semanas antes de ser detectado. Se cree que los ciberdelincuentes robaron información de identificación personal de los servidores (incluyendo nombres, fechas de cumpleaños, identificaciones médicas, números de seguridad social, direcciones y datos de ingresos), tras infiltrar una base de datos y usar las credenciales de un administrador para descargar todos los detalles.
Básicamente, Anthem no estaba obligado por ley a cifrar los datos de los clientes, y ahora se enfrenta a demandas civiles por su error. Se estima que estas demandas legales podrían costarle a la empresa millones de dólares. Se cree que los ciberdelincuentes vendieron los datos del ataque en el mercado negro.
Éste fue el mayor robo de datos a instituciones sanitarias en la historia, y 2015 fue el año en que este tipo de ataques se puso de moda: Excellus Blue Cross, CareFirst y Premera Blue Cross fueron otras de las instituciones médicas atacadas, lo que afectó a decenas de millones de personas.
Ashley Madison
Se podría argumentar que el ataque a Ashley Madison fue el robo de datos más significativo (y famoso) en 2015, dado que el impacto a los usuarios no tiene precedentes (en particular, debido a la naturaleza de los servicios que ofrece la empresa).
El sitio web, que se describe como el "servicio de citas más importante a nivel mundial en encuentros discretos para gente casada", se convirtió en noticia de primera plana en todo el mundo cuando la información personal de los usuarios se filtró en Internet. El mismísimo concepto que hizo que el sitio fuera tan atractivo estaba bajo ataque, para gran consternación de sus miembros.
Aunque todo comenzó hace unos años, el ataque cobró fuerza en julio, cuando el Impact Team se infiltró en los servidores de Ashley Madison y a continuación subió datos de los usuarios a la web. El Impact Team amenazó con hacer pública la información de identificación personal si no cerraban el sitio.
En agosto se confirmó la validez de aproximadamente 60 GB de datos de usuarios y ahora se cree que la cantidad de personas afectadas ronda los 37 millones.
Reporteros y justicieros estudiaron la base de datos tras la filtración y encontraron cientos de direcciones de correo electrónico de Arabia Saudita (donde el adulterio puede ser castigado con la muerte), así como mensajes de correo electrónico de militares y oficiales del gobierno de los Estados Unidos. También hubo dos suicidios relacionados con el robo de datos.
Pero a pesar de todo lo ocurrido, Ashley Madison sigue existiendo; y la empresa sorprendentemente asegura que la membresía creció desde el ataque.
Hacking Team
Al igual que Ashley Madison, la brecha de seguridad del Hacking Team fue una gran noticia que, cuando se dio a conocer en julio, logró despertar la curiosidad de los profesionales.
La industria de seguridad de la información criticó durante mucho tiempo al Hacking Team por desarrollar herramientas de hacking para su uso ilegal por parte de las agencias gubernamentales. Algunos de sus clientes resultaron ser los gobiernos opresivos del Medio Oriente y África.
El ataque resultó en la filtración de más de un millón de correos electrónicos y 400GB de datos descargados online, que dieron a conocer relaciones supuestamente secretas del gobierno estadounidense. La controversia sigue atormentando a muchos hoy en día.
Este caso también demuestra el peligro de trabajar con empresas de software espía. Por ejemplo, en mayo, Brian Krebs reveló que mSpy también había sido víctima de un ataque. El experto en seguridad confirmó que los detalles pertenecientes a los clientes anteriores y actuales de la empresa luego aparecieron publicados en la Dark Web.
VTech
VTech, el fabricante de productos electrónicos de consumo especializado en juguetes y dispositivos tecnológicos educativos para niños, fue víctima de un robo de datos en noviembre, que afectó las cuentas de 6,4 millones de niños y 4,9 millones de clientes (padres) en todo el mundo.
El responsable del ataque accedió a la base de datos de clientes a través de la tienda de aplicaciones online Learning Lodge y de los servidores Kid Connect el 14 de noviembre, y logró evadir la seguridad con poco esfuerzo.
Los datos filtrados incluyen perfiles de niños (nombres, géneros y cumpleaños), contraseñas, direcciones IP, historial de descargas, géneros y fechas de nacimiento. Un inglés de 21 años luego fue arrestado por la intrusión, que probablemente tenga un gran impacto en las fortunas actuales de VTech.
Al hablar sobre el incidente, VTech comentó: "Lamentablemente nuestra base de datos no era tan segura como debería haberlo sido. Al descubrir la brecha de seguridad, inmediatamente realizamos una verificación completa del sitio afectado y tomamos medidas exhaustivas contra futuros ataques".
¿Recuerdan algún caso más?
