Ciberataques: qué tendencias se observaron en 2019

In Blogfest, IT Operations by Baufest

Analizar las tendencias de los ciberataques permite entender cómo se movieron los ciberdelincuentes últimamente, y qué se puede esperar en el corto plazo.

martes 19 - mayo - 2020
Baufest
Ciberataques en 2019

Esto no va a resolver las pérdidas ya generadas, pero servirá para desarrollar políticas proactivas que permitan evitar futuros incidentes de ciberseguridad. Con este espíritu, desde Baufest elaboramos un informe para resaltar qué ciberataques se observaron mes a mes durante el 2019. Pues bien: la dinámica de los incidentes evidenció que la información es un activo cada vez más codiciado y valioso. De allí el claro protagonismo de la fuga de información, secundada por ataques de malware, criptominería e incidentes de indisponibilidad de servicios.

A nivel de estrategias concretas se observaron 3 clases de ciberataques:

Ataques a la cadena de suministro de software: en lugar de atacar directamente a las empresas, los piratas informáticos comprometen el software de terceros que es utilizado por ellas. Generalmente instalan código malicioso en software legítimo, modifi­cando e infectando alguna de los componentes básicos en los que se basa.

√ Estafas por e-mail: un correo electrónico no solicitado ofrece una ganga (o algo por nada). Algunos de estos mensajes de estafa proponen negocios; otros invitan a las víctimas a un sitio web con una presentación detallada.

Ataques contra entornos Cloud: la confi­guración incorrecta de los entornos de Nube fue una de las principales causas de incidentes de robo de datos.

Mes a mes

En enero de 2019 el principal padecimiento a nivel de ciberseguridad fue la fuga de información. Más de 770 millones de direcciones de e-mail y 21 millones de contraseñas únicas fueron expuestas en un foro de piratería popular después de ser alojados en el servicio en la Nube MEGA. Fue la colección más grande de credenciales personales violadas en la historia, por lo que se la denominó “Colección #1″. Más adelante se descubrió que era una porción menor de una fuga de datos mucho más grande. Se filtraron datos personales de 100 políticos, celebridades y periodistas alemanes, incluida Angela Merkel, que al parecer fueron recopilados de sus smartphones. Además, Airbus fue objeto de una violación a la ciberseguridad que expuso datos de sus empleados. Y se reveló la existencia de una base de datos en línea que contiene registros de 202 millones de ciudadanos chinos; aparentemente fueron recopilados de CVs de varios sitios web, utilizando una herramienta de raspado («data-import»).

En febrero de 2019 continuó la fuga de información, y se agregaron ciberataques de malware. Se robaron 620 millones de detalles de cuentas de 16 sitios web pirateados, y se pusieron a la venta en el popular mercado Dark Web, Dream Market. Más tarde, el mismo ciberdelincuente puso a la venta otro “tesoro” de 127 millones de cuentas de otros 8 sitios web. Asimismo el proveedor de energía estatal sudafricano Eskom experimentó dos ciberataques –uno de ellos mediante el troyano AZORult-. Y la estatal india LPG Gas Company padeció una filtración de datos de 7 millones de clientes y distribuidores debido a vulnerabilidades en sus aplicaciones iOS.

En marzo la fuga de información volvió a ser protagonista estelar. La empresa de validación de correo electrónico Verifications.io fue víctima de una importante violación debido a una base MongoDB desprotegida, lo que expuso datos de más de 800 millones de cuentas de e-mail.

Continúa la fuga de información

En abril de 2019 continuaron los problemas de fuga de información: se encontraron más de 500 millones de registros de usuarios de Facebook (FB) expuestos en servidores en la nube de Amazon sin protección, que fueron recopilados y no almacenados de forma segura por desarrolladores de aplicaciones de FB. Además, se encontraron 8 bases de datos no seguras con direcciones de e-mail de casi 60 millones de usuarios de LinkedIn. El Instituto de Tecnología de Georgia sufrió una violación de su ciberseguridad que expuso la información de 1,3 millones de estudiantes y empleados: los ciberdelincuentes explotaron una vulnerabilidad en su aplicación web. Y se expusieron datos de 100 millones de usuarios del servicio de búsqueda indio JustDial, luego de encontrarse una base de datos desprotegida en línea. Por otra parte, una base de datos Elasticsearch mal configurada en el sitio web de Tommy Hilfiger Japón provocó la exposición de información de cientos de miles de clientes.

Mayo de 2019 estuvo signado por la fuga de información, el banking malware y la criptominería. Un grupo de ciberdelincuentes rusos ofreció a la venta el acceso a redes de distintos proveedores de antivirus (McAfee, Symantec y Trend Micro) y el código fuente de su software. Además, la plataforma de intercambio de criptomonedas Binance recibió ciberataques de diferentes modalidades (phishing, virus, etc.) y los hackers lograron retirar 7.000 BTC (40 millones de dólares) que se encontraban en el monedero conectado a su red.

En junio la fuga de información volvió a ocupar el centro de la escena: la American Medical Collection Agency sufrió una importante violación que expuso información de casi 20 millones de pacientes después de que los atacantes se infiltraron en su portal de pago web. También, la compañía china de headhunting FMC Consulting fue responsable de una fuga de datos de millones de registros debido a un ElasticSearch mal configurado y de acceso público.

Malware y bloqueo de servicios

En julio de 2019 a la fuga de información se sumaron problemas de indisponibilidad de servicios y ataques de malware. Tras explotar una vulnerabilidad del firewall instalado en los servidores del banco Capital One, una ex empleada de AWS robó datos de 106 millones de clientes de EE.UU. y Canadá. También obtuvo números de seguridad social de 140 mil personas y unos 80 mil números de cuentas bancarias. Asimismo, los residentes de Johannesburgo se quedaron sin electricidad después de que la compañía City Power fuera atacada por un virus de ransomware.

En agosto de 2019 continuó la fuga de información. Fueron hackeadas las redes de la oficina de Ginebra de la ONU, afectándose servidores de oficinas de derechos humanos y de RR.HH., de donde se podrían haber descargado 400 gigas de datos.

También en septiembre se padeció una severa fuga de información: ocurrió en Ecuador como producto de una “grave falla informática» que expuso datos de casi toda la población del país. La filtración ocurrió desde un servidor en Miami que no contaba con los requisitos de ciberseguridad establecidos.

Noviembre de 2019 fue el mes de los ciberataques de malware. Everis fue víctima de un grave ataque de ransomware que explotó una vulnerabilidad de Microsoft Teams y provocó la caída de su red interna a nivel mundial. Prosegur informó de un ataque por ransomware usando el virus de origen ruso Ryuk, una evolución del poderoso Wannacry. Además, Petróleos Mexicanos fue blanco de otro ataque de ransomware: sus sistemas fueron vulnerados por un virus que tenía la capacidad de bloquear pantallas o cifrar archivos importantes predeterminados con una contraseña. Los piratas exigieron U$S 5 millones en bitcoins para que PEMEX “quedara limpia y como nueva”. Adicionalmente en Argentina la provincia de San Luis sufrió un ataque en su data center.

Ya en enero de 2020 hubo una filtración en Perú que expuso información de clientes de una cadena de cines, a partir de una base de datos no segura alojada en un servidor Microsoft Azure.

Como se ve, últimamente los ataques a la seguridad informática y a la seguridad de los datos tienen como foco principal obtener información que luego se vende en oscuros cibermercados. El hecho de conocer su objetivo y su dinámica más habitual no desterrará para siempre el flagelo de los ciberataques. Pero al menos ayudará a tomar conciencia de la dimensión del problema y de la necesidad de tomar medidas contundentes de ciberseguridad.