Con más de 1200 fugas y más de 3.4 miles de millones de archivos expuestos, 2017 está encaminado a ser el nuevo “peor año registrado” cuando se refiere a fuga de datos, según Risk Based Security.

“Las tendencias que causaron las fugas de datos en 2016 continúan sin disminuir en 2017”, dijo Inga Goddijn, Vicepresidente ejecutivo de Risk Based Security. “Hemos visto el regreso de una extensa campaña de phishing para obtener detalles de reportes W-2 (un formulario para registrar la cantidad de impuestos retenidos del salario de los empleados en una empresa en EE.UU.), grandes conjuntos de datos continúan siendo ofrecidos en venta y bases de datos desconfigurados siguen siendo un problema para los administradores de TI.”

Robar información útil para crear declaraciones de impuestos falsas no es una nueva práctica, así como tampoco lo es usar técnicas de phishing en empleados de una empresa para obtener información. Sin embargo, suplantar una entidad de confianza y pedir copias de formatos W-2 se ha convertido en una de las formas favoritas para obtener dinero estos primeros 3 meses del año.
Estafas BEC

La tendencia ganó importancia desde el año pasado, cuando más de 60 organizaciones fueron afectadas por la campaña de phising en el primer tercio de 2016. Conocido como Vulnerabilidad por Corre de Negocios, conocido en inglés como BEC, es una práctica que generalmente consiste en enviar un email haciéndose pasar por un colega confiable o un socio de negocios que solicita a la víctima información personal o una transferencia de fondos. A pesar de esta experiencia en 2016 y las advertencias del Servicio de Impuestos Internos en enero y febrero de este año, más de 200 organizaciones han sido víctimas de esta estafa en el primer trimestre de 2017.

“Lo que encontré especialmente sorprendente acerca de estas fugas es que las organizaciones no están dispuestas a revelar la cantidad de registros W-2 perdidos en el ataque de phishing”, dijo Goddijn. “Cuando se trata de datos médicos o de clientes, las probabilidades de que se reporten los archivos comprometidos son altas. Pero en el caso de datos de empleados la gravedad del asunto es ocultado.”
Venta de base de datos

Otra tendencia que continua desde el 2016 es la venta de grandes cantidades de conjuntos de datos. Un vendedor en particular fue muy activo el primer trimestre del año, al ofreció varias combinaciones de usuarios y contraseñas obtenidas de 11 organizaciones diferentes e impactando 1.5 miles de millones de archivos en total. La validez de los datos no ha sido verificada independientemente, esto levanta algunas dudas sobre la precisión de la información que se está vendiendo. Pero también no hay forma de saber si los datos fueron recolectados de otras fuentes de datos o creer que los datos son algo más que lo dicho por el vendedor. Lo que es claro es que mientras las organizaciones confíen en la autenticación mediante la combinación de usuario y contraseña, estos conjuntos de datos continuarán teniendo valor para los atacantes.

Así como es un problema el phising para proteger los datos del formulario W-2, las instalaciones de bases de datos mal configuradas y servicio Rsync continúan contribuyendo significativamente a la actividad general de la fuga de datos. Aunque los investigadores han advertido de estos problemas por años, la facilidad de encontrar y acceder a los datos ha llamado la atención de individuos con intenciones nada honorables. El año 2017 inició con una ola de extorsiones que tenían como objetivo instancias abiertas e inseguras de MongoDB.

La cantidad exacta bases de datos que fueron limpiadas, borradas, modificadas o tomadas como rehenes sigue siendo desconocida. Es claro que lo que empezó como un esfuerzo para obetener dinero rápidamente ayudó a la recolección de contenidos de las bases de datos en foros donde se comparten archivos. Organizaciones como Science Mobile (los creadores de la aplicación popular Wishbone), RankWatch y Careerlister vieron cómo sus millones de registros de MongoDB fueron tomados y publicados en Internet.

Uno de los ejemplos más sorprendentes relacionado a los problemas de configuración fue el de River City Media, LLC, una organización con una reputación cambiante. Esta compañía accidentalmente expuso 1,374,159,612 registros que contenían información personal e información sensible de negocios internos al intentar realizar un respaldo mediante Rsync. No solo es el incidente más grande de la historia relacionado con la mala configuración, sino que también es la fuga de información más importante que ocurrió en el primer trimestre de este año.

“Como estos incidentes de fuga de información no muestran señales de disminuir, se está volviendo muy importante entender lo que causa estas pérdidas de datos. Esto es especialmente cierto cuando se trata de entender los factores de riesgo que enfrentan nuestros socios de negocios. Monitorear credenciales, verificar las prácticas de seguridad y estar alerta de nuevas actividades relacionadas a las fugas se han convertido en componentes críticos del proceso de administración de riesgos”, agregó Goddijn.

Dejar respuesta

Please enter your comment!
Please enter your name here