En lo que va de 2024, hemos sido testigos de serios ciberataques a través de los cuales se ha extraído un enorme volumen de datos críticos, afectando a organizaciones de distintas industrias.
Ante este panorama, es necesario hacer un balance de los primero siete meses del año, destacando los incidentes más relevantes, sus objetivos, y secuelas. Sorprendentemente, se ha observado un cambio en las tendencias de los ataques, con un enfoque creciente hacia las empresas de la cadena de suministro, las cuales deberían también estar altamente preparadas en términos de ciberseguridad, pero que en el mundo real han demostrado lo contrario.
Enero: Trello y la exposición de datos sensibles
Trello, una popular aplicación de gestión de proyectos, sufrió una significativa violación de seguridad. Información sensible de sus usuarios, incluyendo correos electrónicos y nombres completos, fue filtrada en foros en línea. Esta filtración no solo afectó la reputación de Trello, sino que también dejó a sus usuarios vulnerables a ataques de phishing y robo de identidad.
Además, Trello tuvo que enfrentarse a multas por no proteger adecuadamente la privacidad de los datos filtrados, los cuales se sospecha fueron vendidos en foros de la Dark Web, afectando a más de 15,000 usuarios. Este incidente destaca la importancia de que tanto las empresas como los usuarios finales adopten mejores prácticas de seguridad, como el uso de contraseñas únicas y autenticación de múltiples factores.
Febrero: AnyDesk, robo de código fuente
Este mes, AnyDesk, una aplicación de acceso remoto, fue víctima de un ataque que comprometió su código fuente y las claves de firma de código privadas. Aunque la compañía aseguró que los dispositivos de los usuarios finales no fueron afectados, este incidente resalta los riesgos de utilizar soluciones de bajo costo para acceso remoto.
AnyDesk respondió al incidente realizando una auditoría de seguridad en colaboración con CrowdStrike. Esta acción ayudó a mitigar el impacto, pero el incidente puso en evidencia las vulnerabilidades de las organizaciones que dependen de aplicaciones de acceso remoto sin suficientes medidas de protección. La empresa también revisó sus protocolos de seguridad y mejoró su infraestructura para prevenir futuros ataques.
Marzo: France Travail y Nissan Oceanía en la mira
Marzo fue un mes crítico con dos incidentes destacados. France Travail, la agencia nacional de empleo francesa, sufrió una brecha masiva que expuso los datos personales de 43 millones de personas. Este ataque, vinculado al grupo de ransomware Clop, expuso a los individuos a riesgos de suplantación de identidad y phishing.
Aunque no se comprometieron datos bancarios ni contraseñas, la magnitud de la información expuesta fue suficiente para generar una gran preocupación entre los afectados. La agencia tuvo que implementar medidas adicionales de seguridad y ofrecer servicios de monitoreo de crédito a los afectados para ayudar a mitigar el riesgo de fraude.
En paralelo, Nissan Oceanía confirmó una filtración de datos que afectó a más de 100,000 personas, revelando la incapacidad de detectar y reportar estas violaciones de manera oportuna. Este incidente se remontaba a finales de 2023, pero no fue revelado hasta marzo de 2024, mostrando una preocupante demora en la respuesta.
Los datos comprometidos incluían información de empleados, concesionarios y clientes, tanto actuales como anteriores. Esta situación puso de manifiesto la importancia de una rápida detección y notificación de brechas de seguridad, y Nissan tuvo que trabajar arduamente para restaurar la confianza de sus clientes y socios comerciales.
Abril: Mitre, vulnerabilidades de día cero
Mitre, una organización de ciberseguridad, fue atacada a través de vulnerabilidades de día cero en dispositivos Invanti Connect Secure. Los atacantes se movieron lateralmente dentro de la red, comprometiendo la infraestructura VMware y desplegando puertas traseras. Este incidente destaca los peligros de los ataques a la cadena de suministro y la sofisticación creciente de las amenazas.
Mitre se vio obligado a revisar y reforzar sus propios sistemas de seguridad. La organización también trabajó en estrecha colaboración con sus socios para identificar y mitigar cualquier riesgo adicional derivado del ataque.
Mayo: Dropbox y BBC de Londres, confianza cuestionada
En mayo, Dropbox enfrentó un ataque que comprometió su plataforma de firma electrónica, afectando la seguridad de tokens de autenticación y claves de múltiple factor de autenticación (MFA). La compañía tomó medidas para mitigar el impacto, incluyendo el restablecimiento de contraseñas y el cierre de sesiones en Dropbox Sign.
Este incidente planteó preguntas sobre la eficacia de los controles de autenticación de Dropbox y la seguridad general de las plataformas de almacenamiento en la nube. Dropbox también implementó nuevas medidas de seguridad y ofreció capacitación adicional a sus empleados para prevenir futuros incidentes.
También en mayo, la BBC de Londres sufrió una filtración de datos que expuso la información personal de más de 25,000 empleados. Esta violación incluyó datos de periodistas, reporteros, personal de producción y trabajadores pensionados, generando una gran preocupación entre los afectados. La BBC, como organización europea, enfrentó multas significativas debido a las estrictas regulaciones de protección de datos en Europa. La cadena de televisión tuvo que implementar medidas de seguridad adicionales y trabajar para restaurar la confianza entre sus empleados y el público.
Julio: TeamViewer y Snowflake bajo ataque
TeamViewer detectó una brecha en su entorno corporativo. Los atacantes utilizaron una cuenta pirateada de un empleado para desviar archivos confidenciales. Aunque los datos de los clientes no fueron afectados, el incidente resalta la necesidad de reforzar los métodos de autenticación y la importancia de proteger las cuentas internas de los empleados.
TeamViewer respondió mejorando sus protocolos de seguridad y reforzando sus sistemas de autenticación, trabajando también en la reconstrucción de su entorno informático para prevenir futuros ataques.
Asimismo, Snowflake, una plataforma de análisis de datos en la nube, sufrió un ataque que expuso 2.3 millones de datos personales de varias empresas, incluyendo AT&T, Ticketmaster, y Santander. Los atacantes utilizaron malware de robo de información para obtener credenciales, lo que demuestra la necesidad crítica de implementar autenticación multifactor y otros controles de seguridad robustos.
Snowflake tomó medidas inmediatas para asegurar sus sistemas y ofrecer apoyo a las empresas afectadas, pero el incidente subraya cómo los ataques a proveedores de servicios pueden tener un efecto cascada en grandes organizaciones.
No podemos dejar de mencionar el caso de CrowdStrike, aunque no fue un ataque propiamente dicho, sí tuvo un impacto significativo debido a malas prácticas en el desarrollo y despliegue de actualizaciones necesarias para mantener al día las firmas de comportamientos de antivirus de siguiente generación.
Este incidente resultó en el apagón más grande a nivel global registrado en la historia de TI, afectando a grandes empresas como American Airlines, minoristas, cadenas de comida rápida y empresas de comercio electrónico, entre muchas otras. Este evento demostró la necesidad de tener capacidades de resiliencia y manejo de crisis bien establecidas para minimizar el impacto y el tiempo de recuperación en caso de una interrupción significativa.
La resiliencia es clave
Estos incidentes de ciberseguridad demuestran la importancia de tener mecanismos de continuidad de operaciones y de negocio altamente resilientes. Las organizaciones deben realizar simulacros de posibles ataques y mejorar sus estrategias de continuidad de negocio.
Los CISOs deben adoptar una visión estratégica que vaya más allá de la protección tecnológica, enfocándose en la resiliencia y en la capacidad de respuesta ante crisis, para minimizar el impacto de las filtraciones de datos y reducir significativamente el tiempo de recuperación tras un incidente.
Además, es crucial que las empresas inviertan en tecnologías avanzadas de ciberseguridad y en la formación continua de sus empleados para reconocer y responder adecuadamente a las amenazas. La colaboración con expertos en ciberseguridad y la implementación de prácticas de seguridad robustas pueden marcar una diferencia significativa en la protección de datos sensibles.
