En materia de eventos de ciberseguridad, el 2024 fue un año muy intenso. Desde ataques de ransomware y paralización de operaciones, hasta la filtración de datos altamente confidenciales, la evolución de tecnologías como la inteligencia artificial (IA) aplicada a la seguridad y la creación de amenazas altamente peligrosas, estos casos no sólo captaron los titulares, sino que también generaron cambios significativos en las regulaciones y estrategias de protección.
Si bien muchos de las historias de ciberseguridad ocurrieron en países específicos, como Estados Unidos y Hong Kong, tuvieron una repercusión global, dejando lecciones que cambiarán el rumbo de cómo las organizaciones y gobiernos enfrentan las amenazas cibernéticas. A continuación, una revisión de las siete historias que más han destacado a lo largo del año que acaba de concluir.
Change Healthcare, el devastador ataque de ransomware
Change Healthcare, la unidad de servicios de TI de UnitedHealth Group (UHG) sufrió un ataque de ransomware perpetrado por el grupo criminal ALPHAV/BlackCat, conocido por ofrecer servicios de Ransomware as a Service (RaaS). Los atacantes accedieron a los sistemas de Change Healthcare mediante credenciales robadas que se filtraron y estaban disponibles en la Dark Web y la Deep Web. La falta de múltiple factor de autenticación en las cuentas críticas de Citrix fue el talón de Aquiles que permitió el acceso de los ciberdelincuentes.
Durante el ataque se extrajeron datos sensibles de 112 millones de personas, incluyendo información médica, financiera y personal, y paralizó los sistemas de la compañía. Esto dejó sin servicios a millones de usuarios y afectó operaciones clave como el aprovisionamiento de medicamentos y el procesamiento de pagos electrónicos.
UHG enfrentó costos masivos para mitigar los daños, incluyendo el desembolso de $2,000 millones de dólares en apoyo a afectados y proveedores, además de un rescate de $22 millones de dólares en bitcoins para evitar la divulgación de datos.
Este incidente impulsó a las autoridades estadounidenses a endurecer las normativas de ciberseguridad en el sector salud, destacando la necesidad de medidas como la autenticación multifactorial y protocolos más robustos para prevenir futuros ataques.
CrowdStrike, una falla con impacto global
Una actualización defectuosa de una de las soluciones de seguridad de CrowdStrike causó una grave interrupción en millones de sistemas Windows en todo el mundo. La falla, atribuida a una configuración errónea, generó un desbordamiento de memoria en los dispositivos afectados, provocando reinicios continuos de servidores y PCs.
Este incidente impactó a aproximadamente 8 millones de equipos en sectores críticos como aviación, alimentos y bebidas, finanzas, energía, gas y salud, entre otros, dejando a varias organizaciones paralizadas durante días debido a la imposibilidad de iniciar correctamente los sistemas.
Si bien CrowdStrike reaccionó rápidamente retirando la actualización, el daño ya estaba hecho. A raíz de este episodio, la compañía reforzó sus procesos de pruebas, implementó controles más estrictos en el desarrollo de software y subrayó la necesidad de realizar pruebas robustas y mecanismos de seguridad avanzados en los entornos de TI.
Por su parte, Microsoft inició una evaluación sobre el acceso de proveedores de seguridad al nivel del kernel de Windows, buscando determinar si era esencial para un análisis más eficaz y la prevención de malware en su sistema operativo.
El incidente puso de manifiesto la vulnerabilidad de los ecosistemas tecnológicos y la imperiosa necesidad de reforzar la calidad y la seguridad en el desarrollo y la implementación de software crítico.
SnowFlake: hackeo de cuentas, una advertencia para la seguridad en la nube
En un incidente que dejó al descubierto las vulnerabilidades en la seguridad de las implementaciones en la nube, SnowFlake, proveedor de almacenamiento de datos cloud, fue señalado tras el compromiso de datos de empresas como AT&T y Ticketmaster. Aunque la plataforma de SnowFlake no fue hackeada directamente, los ciberdelincuentes aprovecharon la falta de autenticación de múltiple factor en las cuentas de algunos clientes, lo que permitió el acceso y la extracción de información confidencial.
El método empleado por los atacantes consistió en utilizar credenciales robadas para acceder a las instancias de SnowFlake de los clientes. Una vez dentro, extrajeron datos confidenciales, que posteriormente fueron empleados para extorsionar o vendidos en la Deep Web y Dark Web.
En julio de 2024, AT&T admitió que se habían robado metadatos de más de 110 millones de usuarios, incluidos registros de mensajes de texto y detalles de teléfonos. Sin embargo, aclararon que no se comprometieron datos identificables de los clientes, lo que mitigó parcialmente el impacto.
Las investigaciones revelaron que los ataques persistentes se remontaban a 2020 y que varias filtraciones habían pasado inadvertidas debido a la falta de alertas. En total, 165 organizaciones fueron notificadas como potencialmente afectadas.
SnowFlake reconoció haber pagado $377,000 dólares a los atacantes para garantizar la eliminación de los registros robados. Además, ofreció orientación a sus clientes sobre cómo detectar y prevenir este tipo de ataques, así como sobre la implementación y fortalecimiento de la autenticación multifactor.
A raíz del incidente, gigantes tecnológicos como AWS y Microsoft Azure implementaron políticas más estrictas, haciendo obligatoria la autenticación multifactor para todos sus clientes.
LockBit, la caída de una red de ransomware y las amenazas del futuro
En 2024, una operación policial internacional conocida como Operación Cronos logró desmantelar a LockBit, una de las bandas de ciberdelincuentes más peligrosas del mundo dedicadas al ransomware como servicio (RaaS). La operación resultó en el decomiso de servidores, el cierre de dominios web utilizados por la organización, la cancelación de cuentas fraudulentas y la detención de sospechosos en Ucrania y Polonia.
A pesar del golpe contundente, nuevas variantes del ransomware LockBit y grupos emergentes han intentado reactivar las operaciones. Se calcula que, entre enero de 2020 y junio de 2023, LockBit generó más de $90 millones de dólares en ganancias sólo en Estados Unidos. Este monto podría ser significativamente mayor si se consideran las víctimas de otros países, especialmente en regiones donde las empresas no están obligadas a reportar ataques de ransomware.
El ransomware continúa evolucionando como una de las herramientas de extorsión más lucrativas para los ciberdelincuentes. Con la integración de la inteligencia artificial, los ataques están ganando en sofisticación y alcance, lo que permite a los hackers propagar malware con mayor rapidez y precisión.
De cara al futuro, se espera que las organizaciones refuercen sus protocolos de seguridad y adapten sus manuales de manejo de ransomware para enfrentar estas amenazas emergentes. Sin embargo, sigue siendo un tema de debate global si las empresas deben ceder a las demandas de rescate o resistirse y arriesgarse a mayores daños operativos y reputacionales.
Deep Fakes, la nueva arma del cibercrimen que desafía a las empresas globales
En 2024, la empresa de ingeniería Arup, con sede en Londres, sufrió una sofisticada estafa a través de Deep Fakes, lo que resultó en la pérdida de $25 millones de dólares. El ataque ocurrió en su subsidiaria de Hong Kong, donde un empleado del área de finanzas fue engañado después de una videoconferencia. Los estafadores utilizaron tecnología de inteligencia artificial para simular la voz y apariencia del director financiero (CFO) del Reino Unido, logrando así que se autorizara una transferencia fraudulenta.
Los Deep Fakes, creados mediante inteligencia artificial avanzada, son capaces de emular voces, rostros, videos y mensajes con gran precisión.
Además de su uso en fraudes corporativos, los Deep Fakes se han convertido en una estrategia de ciberespionaje internacional. Por ejemplo, en Corea del Norte, se han empleado para suplantar identidades de expertos en TI y obtener empleos remotos en empresas occidentales. Una vez contratados, los estafadores acceden a información confidencial y roban propiedad intelectual, canalizando los salarios obtenidos hacia el financiamiento de las iniciativas de ciberguerra del gobierno norcoreano.
Este tipo de incidentes pone sobre la mesa la necesidad de regular el uso de la inteligencia artificial y reforzar las políticas de seguridad en las organizaciones. Sin embargo, investigar antecedentes y realizar controles rigurosos en la contratación, especialmente para trabajadores remotos, plantea retos significativos. En algunos mercados, estas prácticas pueden ser interpretadas como discriminatorias, complicando aún más su implementación.
Las empresas deben priorizar la implementación de herramientas avanzadas de verificación de identidad y autenticación multifactorial, especialmente en roles sensibles como finanzas y gestión de datos.
National Public Data, exposición de información personal provocan su bancarrota
A principios de 2024, National Public Data, un reconocido servicio en línea especializado en verificación de antecedentes y prevención de fraudes, enfrentó una de las mayores violaciones de datos en la historia reciente. Este incidente comprometió hasta 2,900 millones de registros que contenían información personal altamente sensible de aproximadamente 170 millones de personas en los Estados Unidos, el Reino Unido y Canadá.
En octubre del mismo año, la compañía enfrentó una serie de demandas legales debido a la magnitud de la filtración. Se estima que los datos robados, equivalentes a 4 terabytes de información, fueron difundidos en foros de ciberdelincuencia, dejando expuestos a un sinnúmero de individuos a posibles riesgos de fraude y robo de identidad.
A pesar de los esfuerzos iniciales por controlar la situación, National Public Data no logró superar el impacto financiero y reputacional del ataque. Sin detallar públicamente cómo se llevó a cabo la brecha de seguridad, la empresa se declaró en quiebra en los meses posteriores. En diciembre de 2024, National Public Data cerró sus operaciones definitivamente.
Salt Typhoon pone en jaque a la seguridad global
Salt Typhoon es un actor de amenazas persistentes avanzadas (APT) operado por el gobierno chino, conocido por sus campañas de ciberespionaje. Este grupo ha centrado sus esfuerzos en objetivos de contrainteligencia en los Estados Unidos, aunque también ha infiltrado organizaciones en decenas de países.
Activo desde 2020, Salt Typhoon se ha especializado en el robo masivo de datos, con un interés particular en capturar tráfico de red. Su impacto ha sido especialmente significativo en el sector de las telecomunicaciones. Las filtraciones incluyeron registros de llamadas telefónicas y mensajes de texto de funcionarios gubernamentales de alto nivel en los Estados Unidos y en países aliados, accediendo a información confidencial relacionada con juicios, investigaciones y otros temas críticos.
Un punto crítico es la existencia de backdoors en las redes de telecomunicaciones, diseñadas originalmente para rastrear y grabar conversaciones. Estas herramientas han sido aprovechadas por cibercriminales para obtener información confidencial, subrayando la necesidad de reforzar controles y estándares en el sector.
¿Qué aprendimos de estas historias?
Estos y otros eventos ocurridos durante 2024 dejan importantes lecciones para la industria de ciberseguridad. La primera es que no es posible desarrollar estrategias efectivas sin considerar el impacto en el negocio y la cadena de suministro, que incluye proveedores, clientes y socios.
Además, quedó claro que las normativas deben ser más robustas y aplicarse de manera masiva para garantizar la protección de datos y sistemas críticos. La colaboración entre gobiernos, empresas y expertos será clave para enfrentar las amenazas futuras.
Por su parte, la inteligencia artificial ha jugado un papel dual, como una herramienta tanto para los atacantes como para los defensores; tendencia que seguirá en 2025. Esto exigirá que las empresas inviertan en innovación y formación continua para mantenerse un paso adelante.
También es crucial reforzar la cultura de ciberseguridad en las organizaciones. Desde la adopción de autenticación multifactorial hasta la implementación de planes de respuesta ante incidentes, cada paso cuenta para mitigar riesgos.
Por último, el 2024 nos recordó que la ciberseguridad no es solo un problema tecnológico, sino un desafío estratégico que afecta la confianza, reputación y sostenibilidad de las organizaciones.
