A medida que 2023 llega a su fin, la pregunta es: ¿Qué podemos aprender desde la perspectiva de la ciberseguridad?
Cuando el polvo del año se asiente y surjan los números, normalmente en el primer trimestre del año siguiente, es probable que se demuestre que las tendencias conocidas continúan. Si sigues leyendo, documentamos los ataques cibernéticos más grandes y conocidos de 2023 a medida que ocurren. Ofrecemos algunos análisis técnicos, perspectivas y, cuando sea posible, examinamos las lecciones que se pueden aprender de ellos.
Las 3 lecciones que podemos aprender de los ataques cibernéticos de este año (especialmente para empresas):
1.La auditoría de proveedores de software o servicios debería ser una prioridad y un proceso continuo.
2.La revisión de los protocolos de la empresa para manejar no solo un simple incidente de seguridad, sino también un ataque de ransomware a gran escala, debería ser una prioridad. Los procedimientos para informar o divulgar, involucrar a las aseguradoras, y establecer instalaciones de respuesta de emergencia para la evaluación o investigaciones forenses completas deberían estar documentados y ser comprendidos por los empleados de primera línea.
3.Como en cualquier emergencia, la rapidez y la comprensión de qué medidas tomar de inmediato – y cuáles no – pueden marcar la diferencia entre un incidente rápidamente contenido y una prolongada lucha con consecuencias impredecibles, tanto financieras como de reputación.
Como sabemos, los ciberdelincuentes siempre buscan nuevas oportunidades de ataque. El phishing y otros medios de robo de credenciales siguen siendo populares, pero los ataques a la cadena de suministro, donde la debilidad identificada es una parte periférica de la actividad principal de la organización, pueden ser engañosos y extremadamente efectivos.
¿Qué es más atractivo para un ciberdelincuente que el software que gestiona la transferencia segura de archivos? Comenzamos con la brecha de datos que nos ocupó la mitad de este año:
Número uno: Move IT
Una ola de ciberataques y filtraciones de datos comenzó en mayo de 2023, después de que se descubriera una vulnerabilidad en MOVEit, un software de gestión de transferencia de archivos.
Una vulnerabilidad en MOVEit permite a los atacantes robar archivos de organizaciones mediante inyección SQL en servidores accesibles públicamente. La banda de ransomware Clop comenzó a explotar un día cero de la herramienta de transferencia de archivos de terceros MOVEit de Progress Software.
El ataque resultó en el robo de datos de organizaciones gubernamentales, públicas y comerciales en todo el mundo, incluido el sistema escolar público de la ciudad de Nueva York, una empresa británica de soluciones de recursos humanos y nómina con clientes como British Airways y la BBC, entre otros.
Según el recuento en curso de Emsisoft, más de 2.000 organizaciones reportaron ataques, con el robo de datos afectando a más de 62 millones de personas, principalmente en los EE. UU. Esto incluye a Sony, Microsoft, y la parte más aterradora es cuánta información sobre la salud de personas en todo el mundo se vio comprometida.
Por ejemplo, BORN Ontario, que fue atacado en junio, reveló que datos de bebés recién nacidos y pacientes embarazadas en Ontario desde enero de 2010 hasta mayo de 2023, que afectaban a aproximadamente 3,4 millones de personas, fueron robados.
Preocupaciones sobre la privacidad de los datos:
Los datos de salud son muy personales y a menudo contienen detalles sensibles sobre el historial médico, enfermedades, tratamientos y medicamentos de una persona. La divulgación de dicha información puede violar la privacidad de una persona.
Además, los datos de salud robados pueden ser utilizados para el robo de identidad y el fraude de seguros. Los delincuentes pueden utilizar la información para crear identidades falsas, reclamar seguros falsos o recibir servicios médicos en nombre de otra persona.
Número dos: Kid Security:
Y las preocupaciones a continuación son las razones por las que lo elegimos como el número 2 de los ciberataques en 2023:
La aplicación de control parental Kid Security, ampliamente utilizada y diseñada para que los padres monitoreen y controlen la seguridad en línea de sus hijos, expuso accidentalmente registros de actividades de usuarios en internet durante más de un mes, debido a instancias de Elasticsearch y Logstash mal configuradas.
Más de 300 millones de registros de datos fueron comprometidos, incluyendo 21,000 números de teléfono y 31,000 direcciones de correo electrónico. También se expusieron algunos datos de tarjetas de pago. Los datos fueron recuperados; el bot Readme “destruyó parcialmente” la instancia abierta insertando una nota de extorsión con una dirección de billetera de Bitcoin para enviar un pago a cambio de los archivos.
Imagina que utilizas Kid Security para proteger las actividades en línea de tus hijos, pero al mismo tiempo es la misma causa para exponer su identidad digital.
Número tres: 23andMe:
Esta es una compañía de genética y investigación para consumidores con sede en California, EE.UU.
Es significativo que el sitio web 23andMe contenga cantidades considerables de datos de ADN sobre judíos asquenazíes, millones de ciudadanos alemanes e ingleses, así como cientos de miles de chinos.
A principios de octubre de 2023, el actor de amenazas afirma poseer 20 millones de registros de 23andMe, indicando más filtraciones de datos.
Quien sea responsable de la recopilación de los datos ha comenzado a intentar venderlos en línea. Solicitan entre 1 y 10 dólares estadounidenses por cuenta, que contiene datos como nombres, género, año de nacimiento y algunos detalles de historia genética. No parece que se hayan filtrado datos brutos de ADN.
Aunque esta última filtración de datos es significativa, ya que sugiere que las empresas que almacenan datos sensibles como perfiles de ADN podrían ser más atacadas en el futuro, recuerda esto: en el futuro, donde incluso abrirás las puertas del supermercado con tu iris o huellas dactilares, tu identidad digital dependerá de esta información.
Escaneo de iris por dinero: ¿Lo harías?
Desde hace un tiempo, ha surgido un fenómeno en plazas y lugares públicos en Argentina y otras ciudades latinoamericanas: largas filas de personas esperando para que les escaneen el iris con una esfera plateada sobre un trípode.
Se trata del proyecto Worldcoin, una iniciativa de Sam Altman, el propietario de OpenAI, la empresa que desarrolló ChatGPT, que paga (criptomonedas o dólares) a cambio de que te escanees el ojo.
Número Cuatro: DarkBeam
DarkBeam ocupa el tercer lugar porque es curioso y preocupante que una empresa de protección contra riesgos cibernéticos esté expuesta al riesgo de divulgar tus datos.
El 18 de septiembre, el CEO Bob Diachenko de SecurityDiscovery descubrió que la empresa de Protección de Riesgos Digitales DarkBeam “había dejado una interfaz Elasticsearch y Kibana sin protección, lo que reveló registros con correos electrónicos de usuarios y contraseñas de brechas de datos reportadas y no reportadas anteriormente.”
Diachenko informó a DarkBeam, que solucionó la vulnerabilidad de inmediato.
Aunque la mayoría de los 3,8 mil millones de registros expuestos provienen de infracciones anteriores recopiladas por DarkBeam para informar a los clientes, la información organizada significa que cualquiera que acceda a ella podría crear campañas de phishing plausibles.
Si utilizas esta empresa, recuerda verificar tus credenciales en haveibeenpwned.com y tomar precauciones, como cambiar contraseñas reutilizadas e implementar la autenticación multifactor.
Número cinco: Twitter
Este año, Twitter enfrentó varias crisis de relaciones públicas, y una de ellas se debe al hacker criminal ‘Ryushi’, quien publicó sobre 220 millones de direcciones de correo electrónico de usuarios.
El estafador inicialmente exigió 200,000 dólares para liberar o borrar la información robada. Una semana después, después de que Twitter probablemente lo rechazó, el hacker puso los datos a la venta en el foro de hacking Breached.
Aunque parece que no se comprometieron datos personales más allá de las direcciones de correo electrónico, el incidente plantea importantes riesgos de privacidad, especialmente para personas que pueden ser identificadas fácilmente a través de sus direcciones de correo electrónico, como celebridades y figuras públicas.
Mientras Twitter habla de libertad de expresión, expertos en ciberseguridad como Alon Gal de Hudson Rocks creen que esta base de datos será utilizada por hackers, hacktivistas políticos y gobiernos para dañar aún más nuestra privacidad.
Resumen
En resumen, los cinco ciberataques más importantes de 2023 subrayan las amenazas continuas y en evolución en el panorama digital. Estos incidentes revelan vulnerabilidades en varios sectores, desde aplicaciones de control parental hasta empresas de investigación genética, firmas de protección contra riesgos digitales, gigantes de las redes sociales, y herramientas críticas de transferencia de archivos empresariales. Las violaciones no solo han comprometido enormes cantidades de información personal y sensible, sino que también han expuesto debilidades sistémicas en la infraestructura de ciberseguridad.
Estos ataques resaltan la urgencia de que las organizaciones prioricen medidas de ciberseguridad robustas, incluidas revisiones regulares, correcciones oportunas de vulnerabilidades y capacitación para los empleados. Además, los individuos deben permanecer vigilantes y practicar la gestión segura de contraseñas, autenticación multifactor y revisiones regulares para detectar posibles compromisos.
