El secuestro de tráfico en Orange España, el ataque al hospital infantil de Chicago y la suplantación de identidad a usuarios de Apple, entre los principales
En el contexto del Día de Internet Segura, que se celebra este 11 de febrero, se reveló que América Latina lidera en el volumen de datos expuestos en Internet con más de 137 Terabytes, lo que representa aproximadamente el 53% del total mundial, de acuerdo con el informe de Amenazas de Tenable 2022.
Un análisis de los ciberataques más relevantes de 2024 deja al descubierto muchas brechas por no aplicar principios básicos de prevención y respuesta frente a los ataques.
El director de Seguridad de WatchGuard Technologies, Corey Nachreiner, sostuvo que «la no aplicación de principios básicos de ciberseguridad, como la protección de accesos o la gestión de vulnerabilidades, sigue estando detrás de muchas de estas brechas».
Y que «a medida que evolucionan las tecnologías y las tácticas de los actores maliciosos, la única forma de mitigar los riesgos y reducir el impacto de estos incidentes es asegurarse de que se sientan unas bases de ciberseguridad sólidas«, señaló.
Al repasar los ciberataques más destacados de 2024 brindó información valiosa sobre cómo crecen y cambian estas amenazas.
Los incidentes más relevantes fueron estos:
Secuestro de tráfico en Orange España: a principios de año, Orange España sufrió un ataque de secuestro de tráfico BGP (Border Gateway Protocol), en el que los ciberdelincuentes redirigieron parte del tráfico de Internet de los clientes de la teleco a servidores no autorizados. Este incidente provocó una importante interrupción del servicio.
El ransomware del Hospital Infantil: el grupo de ransomware Rhysida atacó el Hospital Infantil Lurie de Chicago, robando 600 GB de datos confidenciales, incluidos datos de pacientes, y exigiendo un rescate de 60 bitcoins, equivalentes a unos 6 millones de dólares en ese momento. Como resultado, los servicios médicos se vieron interrumpidos, poniendo de manifiesto la vulnerabilidad del sector sanitario ante las ciberamenazas.
Suplantación de identidad a gran escala de usuarios de Apple: en marzo, una sofisticada campaña de phishing se dirigió a los propietarios de dispositivos Apple. Los hackers emplearon un ataque de fatiga MFA, bombardeando a los usuarios con solicitudes falsas de restablecimiento de contraseña para abrumarlos y confundirlos y obtener acceso. También se hicieron pasar por el servicio técnico de Apple con llamadas fraudulentas, presionando a las víctimas para que revelaran información sensible.
Backdoor en XZ Utils: en marzo de 2024, se descubrió una puerta trasera en las versiones 5.6.0 y 5.6.1 de XZ Utils, una herramienta de compresión de datos ampliamente utilizada en sistemas Linux. Esta vulnerabilidad permitía a actores maliciosos armados con una clave privada específica obtener acceso remoto no autorizado a los sistemas afectados. Afortunadamente, la versión comprometida no se había desplegado ampliamente en sistemas de producción. El incidente subraya la importancia de la seguridad de la cadena de suministro de software y la necesidad de verificar la integridad de las actualizaciones antes de su despliegue.
Actividad de fuerza bruta a gran escala dirigida a VPN y servicios SSH con credenciales de inicio de sesión de uso común: una campaña de un año de duración se hizo más prominente en abril, cuando Cisco Talos supervisó activamente un aumento global de los ataques de fuerza bruta contra una variedad de objetivos, incluidos los servicios de redes privadas virtuales (VPN). Los intentos de fuerza bruta utilizan nombres de usuario genéricos y nombres de usuario válidos para organizaciones específicas. El objetivo de estos ataques parece ser indiscriminado y no dirigido a una región o industria en particular.
Empleados vulnerables en la BBC: en mayo, la BBC, el servicio público de radiodifusión británico, informó de que los ciberdelincuentes violaron su servicio de almacenamiento en la nube, accediendo a los datos del plan de pensiones de más de 25.000 empleados. Aunque se expuso información personal, no se comprometieron datos financieros ni contraseñas. La causa del incidente sigue bajo investigación.
Graves consecuencias para la reputación de la FBCS: en junio, la agencia estadounidense de cobro de deudas FBCS notificó una importante filtración de datos que expuso información muy sensible, como nombres, números de la Seguridad Social o documentos de identidad de más de 3 millones de personas. El retraso en notificar la amenaza generó críticas y sembró dudas sobre los protocolos de seguridad de la agencia.
Ciberataque a Transport for London (TfL): en septiembre de 2024, TfL sufrió un ciberataque que afectó a servicios clave como los pagos contactless y las tarjetas Oyster. Sin embargo, el impacto en los autobuses y los servicios ferroviarios del metro fue limitado. Los datos de 5.000 personas, incluida información bancaria, se vieron comprometidos. El incidente costó a TfL 5 millones de libras en respuesta y medidas de seguridad. Posteriormente, un joven de 17 años fue detenido en relación con el incidente.
Ransomware en Casio: en octubre de 2024, Casio fue víctima de un ataque de ransomware por parte del grupo cibercriminal Underground. El ataque robó datos personales pertenecientes a empleados, candidatos y clientes, incluyendo detalles financieros y documentos legales. Aunque algunos servicios se vieron interrumpidos, la empresa aseguró que no se expuso ninguna información de pago, como tarjetas de crédito.
Ransomware en la HACLA: en noviembre de 2024, el grupo de ransomware Cactus hackeó la Autoridad de Vivienda de Los Ángeles (HACLA), robando 891 GB de datos, incluidos documentos financieros, copias de seguridad y datos personales de clientes y empleados. Este incidente expuso una gran cantidad de información confidencial, aumentando la preocupación por la seguridad del sector público.
Ataque a Finastra: en noviembre de 2024, Finastra, un gigante de la tecnología financiera, sufrió una brecha en su plataforma de transferencia de archivos (SFTP). Un actor maligno utilizó credenciales comprometidas para acceder y robar 400 GB de datos, que luego se vendieron en foros de la dark web. La empresa aisló el sistema afectado y sigue investigando el incidente con expertos en ciberseguridad.
GenAI
La Inteligencia Artificial Generativa (GenAI) añadió una capa adicional de preocupación, según explicó Alejandro Dutto, director de Ingeniería de Seguridad para Tenable América Latina y Caribe.
«La GenAI, que utiliza grandes conjuntos de datos para generar contenido, plantea riesgos significativos para la privacidad y la seguridad«, sostuvo.
Y añadió que «es nuestra responsabilidad colectiva proteger nuestra información digital frente a estos desafíos emergentes, asegurando así un entorno en línea seguro para todos», continúa.
Mónica Díaz, Vice President of Engineering at WatchGuard Technologies, hizo hincapié al respecto en que «pese a su popularización del uso de la IA, debido en gran parte, precisamente, a la irrupción de la IA generativa, en este campo lleva más de 20 años siendo utilizada como una herramienta adicional y clave en la gestión proactiva de amenazas y eficiencia operativa«.
En este marco, agregó, la IA juega un papel clave en la protección de la información sensible de las empresas, facilitando la gestión proactiva de amenazas y la eficiencia operativa.
Contrariamente a lo que podría pensarse, la IA en ciberseguridad lleva más de 20 años en desarrollo, recalcó.
De las redes corporativas al usuario
Puso de relieve la ejecutiva de WatchGuard que «tradicionalmente se interpretaba como un ´perímetro´, protegiendo las redes corporativas desde dentro hacia afuera. Sin embargo, con el paso de los años, este perímetro se ha diluido».
Y subrayó que «los dispositivos de los usuarios se han convertido en la primera línea de defensa, y es ahí donde hemos adaptado la IA para perfeccionar sus capacidades y aprovecharla en la protección de nuestros clientes.