Tendencias de data breaches en 2018

Avatar

Hablar de incidentes de seguridad durante 2018 significa abrir una ventana cual nos podría mostrar infinidades de formas y métodos de sustraer información personal, bancaria e institucional. Los sistemas de información pasaron de ser una herramienta de conexión novedosa al ser, desgraciadamente, la puerta trasera a la información de cualquiera.

Los principales blancos de los ataques, como es habitual, son las redes sociales, bancos de reconocida reputación, operadoras de telecomunicaciones, operadores del sector salud (clínicas y hospitales) y especialmente el sector de alojamiento y vuelos (travel providers).

2018, el año del Skimming virtual

Una de las principales causas de las brechas de seguridad que afectaron a las organizaciones y a los consumidores, se basó en que los piratas informáticos inyectaron secuencias de comandos en la configuración de las pasarelas de pago, dando como resultado el robo de miles de datos de pago de los clientes.

Entre los casos que causaron más revuelo por este tipo de ataque se encuentran British Airways, Ticketmaster, y las tiendas Newegg. En el caso de ésta última, la organización Magecart asumió la responsabilidad de estas acciones. Como ya va siendo una tendencia en los últimos años, la ciberdelincuencia no es sólo cosa de individuos, existen también grupos organizados de personas que dedican su actividad a realizar este tipo de ataque, siempre que se puedan lucrar con ello.

data breach ticketmaster british airways newegg

La vulnerabilidad de las API’s

Inyecciones de código, API’s sin una autenticación robusta y datos no encriptados formaron parte de un cóctel de vulnerabilidades que dio pie a la ruptura del equilibrio entre el negocio y los desarrolladores que comúnmente apuntan al aprovechamiento de los mercados emergentes.

El principal ejemplo de fallo de seguridad dejó en evidencia a una de las redes sociales más relevantes, Facebook, cual expuso los datos de 50 millones de sus usuarios. En este caso, los atacantes pudieron explotar una vulnerabilidad en una función conocida como «View As» para obtener el control de cualquier cuenta de usuario de la plataforma.

data breach facebook

Quizás esa necesidad de que el negocio sea únicamente rentable y de tener la máxima información personal posible ayudan a que puedan quedar cabos sueltos, que siempre saben aprovechar los cibercriminales.

Viajes y Alojamientos (Travel Provider)

El sector turístico es uno de los sectores que ha sufrido el mayor número de ataques y de los más relevantes del 2018, independientemente de cuál ha sido el tipo de fallo o la vulnerabilidad aprovechada. Entre los afectados se cuentan grandes multinacionales de este sector que se vieron involucrados. Aunque la lista es considerable, citamos los casos más relevantes en nuestra opinión:

  • Marriott “Starwood” – 500 millones de cuentas comprometidas

data breach Marriott

Según informaron, un atacante no identificado habría copiado y encriptado información sensible de negocio, y a continuación, con los privilegios obtenidos habría procedido a eliminarla según indicaron en un comunicado oficial. La compañía pudo descifrar la información el 19 de noviembre y descubrió que el contenido era la base de datos de reservas de Starwood.

  • Radisson – Programa de clientes preferenciales

data breach Radisson

El ataque ocurrió el 11 de septiembre de 2018, pero no fue detectado por la cadena de hoteles hasta el 1 de octubre. Los miembros afectados pertenecían a Radisson Rewards, el programa de recompensas a usuarios de la compañía, que fueron informados varias semanas después.

  • Cathay Pacific y British Airways

En el caso de British Airways, se filtró la información personal y financiera de 380 mil clientes que hicieron reservas en su sitio web y en su aplicación móvil. Dada la naturaleza de la información sustraída, la línea aérea tuvo que contactar con cada uno de sus clientes para indicarles que se pusieran en contacto con sus bancos o proveedores de tarjetas de crédito.

data breach british airways

Para el caso de Cathay Pacific, la información de 9.4 millones de usuarios pudo quedar accesible cuando se detectó actividad sospechosa en su red durante el mes de marzo y que luego, tras las investigaciones, se confirmó el acceso no autorizado a principios de mayo.

El gran responsable de la mayoría de los ataques cibernéticos

Como se ha adelantado anteriormente, cada día existen más organizaciones de cibercriminales, que normalmente son las que se encuentran detrás de los incidentes de seguridad más relevantes.

Concretamente, el grupo conocido como Magecart, que lleva activo desde finales de 2014, ha reconocido la mayoría de los ataques de piratería relevantes de 2018. Este grupo, que se ha dedicado especialmente a tiendas en línea, ha ido evolucionando en su forma de atacar.

¿Cómo actúa Magecart?

Lo que en principio pudo ser tratado como un malware muy sofisticado, realmente es un fichero .JS (JavaScript) que los ciberdelincuentes inyectan en el código del sitio web objetivo, una vez que lo hayan comprometido.

La parte complicada de la codificación de tal “malware” podría haber sido la identificación de la página web de pago y si son vulnerables para este tipo de inyección de código. Tan pronto Magecart detecta que una página web está abierta, inyecta su JavaScript malicioso, que por lo general lleva consigo un keylogger (programa malicioso que detecta y almacena todas las pulsaciones de teclado de la víctima) para registrar y enviar todos los datos a los servidores de los atacantes. Este keylogger se carga en el navegador del cliente entre la multitud de JavaScripts legítimos que contienen las páginas web de hoy en día y los envían directamente a sus propios servidores. De esta forma tan sencilla y transparente se hacen con los datos del cliente, obviando otras medidas de seguridad que se puedan aplicar en el servidor web al que conecta el usuario o el uso de HTTPS en la transmisión.

 

En conclusión, podemos decir que el año 2018, en gran parte gracias a la implementación de la GDPR, que fuerza a reportar a los afectados cualquier brecha de seguridad que afecte a datos personales, nos dejó con un mínimo de una publicación semanal de algún data breach de alto perfil lo cual puso en alerta a las demás organizaciones.

Sin embargo, los ciberdelincuentes se mantienen un paso por delante. Es importante disponer de personal cualificado en las organizaciones para adaptar las defensas a los continuos cambios, si no es así, siempre se puede contar con tu security partner de confianza para que te ayude.

Ponte en contacto con A2SECURE y sepa qué podemos hacer por tu empresa.

__

Autor: Marco Ramírez

Leave a Comment

A2SECURE amplia su licencia QSA PCI-DSSNetNTLM hashes