Las brechas de seguridad son una amenaza constante con la que tienen que lidiar todo tipo de empresas. Muchos de esos incidentes de seguridad no son noticia y solo los usuarios afectados por los mismos son informados sobre ellos si sus datos personales se han visto afectados. Sin embargo, hay brechas de seguridad que sí han llegado a las noticias, por la empresa afectada, por el número de usuarios afectados, por las técnicas empleadas, etc. En este artículo vamos a repasar las brechas de seguridad más recientes e impactantes.
En este artículo hablamos de:
- Las brechas de seguridad, un problema que no cesa
- Las 9 brechas de seguridad más recientes e impactantes
- Cash App, el ejemplo de la amenaza interna
- LastPass, la cuenta de desarrollador comprometida
- Norton LifeLock, el uso de credenciales filtradas
- El robo en Crypto.com
- Twitter, explotación de vulnerabilidad
- T-Mobile, acceso mediante manipulación de API
- Mailchimp y el uso de la ingeniería social
- Facebook, 533 millones de usuarios afectados
- PlayStation Network y un sistema de seguridad obsoleto
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
Las brechas de seguridad, un problema que no cesa
Con cada vez más información digital, en internet o en entornos digitales conectados a la Red, y el valor que puede tener dicha información para empresas y particulares, no solo por ser información confidencial, sino por lo que se puede llegar a hacer y ganar con ella, los intentos de robo de dicha información han aumentado en los últimos años y seguirán aumentando en los próximos.
Los incidentes o brechas de seguridad son ejemplos de una de las amenazas más incesantes para las empresas y las entidades públicas; la fuga de datos es un problema que más tarde o más temprano cualquier empresa acaba enfrentando, el cómo le haga frente, lo gestione y lo solucione, sin que se produzca un robo de datos personales masivo, dependerá enteramente de las medidas de seguridad que haya adoptado, así como del protocolo de respuesta ante incidentes de seguridad y el plan de recuperación ante desastres.
Las brechas de seguridad son, además, uno de los problemas que mayores costes pueden producirles a las empresas, tanto por las pérdidas que, por ejemplo, un ataque de ransomware les puede ocasionar (por el parón de la actividad y la posible pérdida de información crítica), como las sanciones que les pueden imponer las autoridades de control si los datos filtrados son datos personales que no estaban debidamente protegidos (no es lo mismo que una brecha de seguridad afecte a una base de datos de clientes cifrada, que a una que lo esté sin cifrar).
Las 9 brechas de seguridad más recientes e impactantes
Las brechas de seguridad y el robo de datos informáticos está, como hemos dicho, a la orden del día, tanto es así, que a continuación vamos a ver varios ejemplos de brechas de seguridad recientes (ocurridas entre 2021 y 2023) e impactantes, junto a otras brechas de seguridad menos recientes, pero que, aun así, supusieron una filtración de datos que afectó a miles de usuarios en su momento.
Cash App, el ejemplo de la amenaza interna
Las causas detrás de una brecha de seguridad pueden ser varias, entre ellas y no precisamente poco habituales, están las amenazas internas, esas que provienen de los propios miembros de la empresa. En el caso que nos ocupa, fue un exempleado descontento y una falta de cuidado las que dejaron al descubierto los datos de 8 millones de usuarios de Cash App.
Cash App es una aplicación para la transferencia de dinero, que se usa sobre todo en EE. UU. y Reino Unido. Un antiguo empleado accedió a las cuentas de usuarios de la app, para exponer sus datos públicamente (nombres completos, números de cuenta, carteras y actividades de trading).
Lo más grave es que ni siquiera tuvo que llevar a cabo un ciberataque elaborado, le bastó con usar sus antiguas credenciales, que seguían activas y en su poder, un fallo evidente del protocolo de seguridad de la empresa, que debería haber desactivado esas credenciales con la salida del empleado.
LastPass, la cuenta de desarrollador comprometida
LastPass, el gestor de contraseñas en la nube, informaba en diciembre de 2022 a sus usuarios sobre una brecha de seguridad sufrida, en la que un ciberatacante, gracias al uso de una cuenta de desarrollador comprometida, habría accedido y duplicado una copia de seguridad que contenía información de clientes (direcciones de correo electrónico y de facturación, números de teléfono, direcciones IP y nombres de usuario final).
Esa información robada estaría cifrada, pero el ciberatacante podría haberse hecho también con las claves de cifrado de esa copia de seguridad. Dado que los usuarios de LastPass utilizan este servicio para gestionar sus contraseñas seguras, esta brecha de seguridad sufrida podría poner en riesgo las cuentas a las que dan acceso esas contraseñas.
Norton LifeLock, el uso de credenciales filtradas
A principios de 2023, Norton LifeLock, otro administrador de contraseñas online, notificaba a 6450 de sus usuarios que sus datos podrían haberse visto comprometidos por una brecha de seguridad.
En este caso, se cree que el compromiso de estas cuentas se debió a un ataque de relleno de credenciales, utilizando para ello cuentas que habrían quedado expuestas en un incidente de seguridad anterior (recordemos que el relleno de credenciales consiste en introducir de forma automatizada pares de nombre de usuario o correo electrónico y contraseña en diferentes sitios, hasta conseguir acceso).
Como consecuencia de este ataque, podrían haber quedado expuestos nombres completos, direcciones y números de teléfono de usuarios, así como las contraseñas almacenadas en el administrador de contraseñas de Norton, lo que supondrían un riesgo mayor para los usuarios afectados.
El robo en Crypto.com
A principios de 2022, Crypto.com, una conocida plataforma de criptomonedas, vio cómo unos cibercriminales le robaban en torno a 34 millones de dólares en bitcoin, ethereum y otras criptomonedas de las carteras de sus clientes.
Para llevar a cabo el ataque, parece ser que los cibercriminales consiguieron explotar alguna vulnerabilidad en el sistema de autenticación en dos pasos que utilizaba Crypto.com y acceder así a las cuentas y carteras de los usuarios de la plataforma.
Aunque el robo se llevó a cabo, Crypto.com reembolsó el dinero sustraído a sus clientes.
Twitter, explotación de vulnerabilidad
En 2021, un grupo de cibercriminales aprovechó una vulnerabilidad en la API de Twitter creada tras una actualización, para introducir correos electrónicos y revelar y asociar a través de ellos números de teléfono y nombres de usuarios de la red social. Esa información fue publicada en la dark web antes de que la vulnerabilidad fuera solucionada.
El principal riesgo de esta brecha de seguridad estaba para los usuarios de Twitter que emplean seudónimos, puesto que exponía su identidad real, así como exponer a los usuarios afectados a posibles ataques de spear phishing, suplantación de identidad e incluso ataques de doxxing.
T-Mobile, acceso mediante manipulación de API
T-Mobile vio cómo en noviembre de 2022 volvía a producirse una brecha de seguridad que dejaba expuesta la información personal de 37 millones de usuarios, consecuencia de la manipulación de una de las API de la compañía. Decimos «volvemos», porque menos de un año antes, en agosto de 2021, esta empresa de telefonía ya sufrió otra brecha de seguridad que también expuso datos personales de sus clientes, lo que derivó en una demanda colectiva y una cuantiosa inversión en ciberseguridad, que, aparentemente no sirvió para mucho.
La información que se vio afecta contenía nombres, direcciones de email, números de cuenta, fechas de nacimiento, direcciones de facturación y números de teléfono; todo lo que un cibercriminal necesita para llevar a cabo ataques de phishing personalizados, suplantación de identidad y/o SIM swapping (duplicado de la tarjeta SIM).
Mailchimp sufrió en el espacio de seis meses dos ataques donde las técnicas de ingeniería social fueron clave para obtener acceso a cuentas de empleados y, a través de ellas, acceder a 214 y 133 cuentas de clientes de la compañía en cada uno de los ataques, entre ellas, WooCommerce, una de las principales plataformas de tiendas online.
Aunque la información robada no parece contener datos confidenciales, como podrían ser los números de las tarjetas de crédito, esta podría usar para ataques de phishing de los clientes de las empresas afectadas.
Facebook, 533 millones de usuarios afectados
En 2021 supimos que la información de 533 millones de usuarios de Facebook se hizo pública y se expuso online de manera gratuita y al alcance de cualquiera.
Esta brecha de seguridad de la red social, que se produjo por la explotación de una vulnerabilidad de sus sistemas, expuso nombres, números de teléfono, ubicaciones, fechas de nacimiento y direcciones de correo, datos que pueden usarse para campañas masivas de spam y phishing (si a partir de un día notasteis un aumento significativo en el spam que llega a vuestra bandeja de correo, la causa puede ser fácilmente esta filtración).
PlayStation Network y un sistema de seguridad obsoleto
Cerramos con una brecha de seguridad que, si bien no es reciente, sí que fue una de las más impactantes en su momento. Nos remontamos a abril de 2011, cuando debido a errores de Sony en la seguridad encargada de proteger los datos confidenciales de los usuarios de PlayStation Network, fueron robados los datos de 77 millones de suscriptores de esta plataforma.
Esta brecha de seguridad supuso la exposición de dichos datos en la dark web y fueron usados para envíos de spam y ataques de phishing, para suplantación de identidad, robo de tarjetas de crédito y cuentas de usuarios de PlayStation Network.
La causa fue una un sistema de seguridad obsoleto y personal sin la formación y experiencia necesaria para garantizar la seguridad de la información. De acuerdo a los cálculos de Sony, el incidente les produjo unas pérdidas de 171 millones de dólares.
Estas son solo las brechas de seguridad más recientes e impactantes, por el volumen de datos personales y usuarios que se vieron afectados y que ponen de manifiesto que cualquier empresa, incluso las más grandes y tecnológicas, no están exentas de sufrir un ciberataque que produzca una importante brecha de seguridad, con todas las consecuencias, económicas y reputacionales, que conlleva.
Por ello es fundamental tomarse en serio la seguridad de la información, identificar y analizar los riesgos y aplicar medidas de seguridad técnicas y organizativas que garanticen la protección de datos personales. El riesgo cero no existe, pero se pueden adoptar medidas que minimicen el impacto de este tipo de brechas de seguridad.