Comparte este artículo
En la era digital actual, la ciberdelincuencia va en aumento, y el número de infracciones que sufren las empresas y los particulares no hace más que crecer. Este año, hemos superado el número de infracciones observadas en 2020. Aunque no hemos alcanzado los altos números de 2017 y sus 1.529 violaciones de datos, no tenemos nada que celebrar.
A medida que las empresas y organizaciones dependen más de la tecnología, se vuelven más vulnerables a los ciberataques. Los piratas informáticos están encontrando formas nuevas e innovadoras de acceder a los datos, y es más importante que nunca que las empresas dispongan de medidas de ciberseguridad sólidas.
Factores de Riesgo para la Seguridad en 2021
Los factores de riesgo parecen haber cambiado este año, ya que el ransomware, los fallos de terceros, los ataques de phishing y las brechas de seguridad no detectadas han suplantado al error humano como causa principal de las violaciones de datos; sin embargo, los usuarios finales involuntarios desempeñan un papel muy importante en este tipo de ataques, incluso si el vector de ataque en sí no cae explícitamente en un “error humano”.
Ransomware
El ransomware es un software malicioso que bloquea el acceso a los dispositivos o a los datos hasta que se paga una demanda específica (a menudo un rescate económico). Este tipo de ataque consiste en que los hackers cifran o bloquean los archivos del sistema de la víctima hasta que consiguen lo que quieren. Este tipo de ataques ha ido en aumento en los últimos años, y 2021 no fue una excepción. El ransomware fue responsable de la mayoría de las violaciones de datos en 2021.
Vulnerabilidades de Terceros
Los proveedores de terceros suelen ser un eslabón débil en las defensas de ciberseguridad de una organización. Es posible que no cuenten con las medidas y prácticas de seguridad adecuadas y, como resultado, pueden dejar expuestos los datos críticos de una organización.
Lagunas de Seguridad no Detectadas
Sin las medidas de seguridad adecuadas en los puntos finales –como ordenadores portátiles, dispositivos móviles, etc.– un ciberataque importante puede ser inevitable. La falta de seguridad en los puntos finales podría dar rienda suelta a los hackers para realizar ataques que incluyan ransomware o el robo de información de los clientes.
En este artículo, examinaremos las 5 principales violaciones de seguridad de 2021 y detallaremos las principales conclusiones para los profesionales de las tecnologías de la información.
1. Marzo – El Software de Microsoft Provocó una Filtración de Datos
El grupo de hackers chino conocido como Hafnium atacó a Microsoft en marzo de 2021. El ataque afectó a más de 30.000 organizaciones en todo Estados Unidos, incluyendo gobiernos locales, agencias gubernamentales y empresas.
Aunque el ataque no estaba dirigido específicamente a Microsoft, el grupo “se dirige principalmente a entidades de Estados Unidos con el fin de exfiltrar información de varios sectores industriales”, según la notificación de Microsoft a sus clientes.
¿Qué Fue lo Que Pasó?
El ataque comenzó cuando los piratas informáticos utilizaron contraseñas robadas combinadas con vulnerabilidades no detectadas previamente en servidores que ejecutaban el software Microsoft Exchange. La vulnerabilidad permitía que cualquier usuario que tuviera acceso físico o virtual en el momento de iniciar la sesión obtuviera derechos administrativos completos. Una vez que esto ocurría, los atacantes se conectaban e instalaban un malware que creaba proxies de comando y control para su uso.
Resolviendo el Problema
Para ayudar a protegerse contra este tipo de ataques, Microsoft explicó que sus clientes deberían instalar inmediatamente todos los parches de software para sus sistemas. En este caso, las vulnerabilidades se habían descubierto y los parches habían sido publicados por Microsoft en 2020, pero muchos clientes no habían actualizado sus sistemas.
2. Abril – Violación de Datos de Facebook
Una filtración de datos de Facebook expuso la información personal de más de 533 millones de personas a los hackers. Esto incluía el nombre del usuario, su fecha de nacimiento, su ciudad actual y las publicaciones realizadas en su muro. La vulnerabilidad fue descubierta en 2021 por un grupo de seguridad de sombrero blanco y existía desde 2019.
¿Qué Fue lo Que Pasó?
La filtración de datos de Facebook de 2021 aún está fresca en la memoria de muchos. Fue sacada a la luz por la empresa de ciberseguridad Symantec. La base de datos expuesta contenía la información personal de millones de personas, incluyendo números de teléfono, identificaciones de Facebook, nombres, cumpleaños e incluso algunas direcciones de correo electrónico.
Esta brecha en particular se produjo cuando los ciberdelincuentes extrajeron datos de los servidores de Facebook utilizando una configuración errónea en su importador de contactos. Como resultado, pudieron acceder a la información personal de millones de personas.
Aunque no está claro qué planean hacer los delincuentes con toda esta información, podría utilizarse para realizar ataques de ingeniería social a gran escala en el futuro.
Resolviendo el Problema
Facebook identificó esto como un ataque externo, pero la causa de esta brecha u otras similares provienen de un escenario común: errores de configuración. Lo peligroso de estas brechas es lo rápido que pueden escalar.
Facebook no es el único con problemas de seguridad causados por una mala configuración. Muchas empresas de seguridad señalan un preocupante aumento de este tipo de vulnerabilidades, sobre todo con el dominio de la computación en la cloud.
3. Mayo – Colonial Pipeline
En mayo, la empresa estadounidense Colonial Pipeline fue víctima de un ataque de ransomware. La empresa opera un gran oleoducto que transporta gasolina y otros productos petrolíferos desde Texas hasta Nueva Jersey y por todo el Medio Oeste.
¿Qué Fue lo Que Pasó?
Los atacantes penetraron en la empresa a través de una cuenta VPN con una única contraseña comprometida y obtuvieron acceso a su red el 29 de abril. Aunque los sistemas tecnológicos operativos no se vieron afectados, este incidente hizo que la empresa detuviera el flujo de combustible en su línea principal como medida de precaución (y para cerrar las fugas).
Esto provocó una escasez de combustible en las regiones del sureste, el medio oeste y el noreste del país y un aumento de los precios del combustible, lo que generó que los conductores compraran en los surtidores por el miedo a la suba de precios.
Los atacantes también amenazaron con realizar más ciberataques a menos que Colonial les pagara 5 millones de dólares en bitcoin, una cantidad que en ese momento equivalía a más de 3 veces sus ganancias anuales.
Lo que hace que este ataque sea tan preocupante es la facilidad con la que los piratas informáticos pudieron acceder al sistema –desde que ocurrió eso, se ha revelado que la empresa no utilizó la autenticación multi-factor.
Resolviendo el Problema
Según la empresa, tras una parada de seis días, el reinicio de las operaciones del oleoducto se reanudó el 12 de mayo, y todos los sistemas y procesos volvieron a la normalidad el 15 de mayo.
El FBI comenzó su investigación tres días después de que surgieran los primeros informes en las redes sociales. Es posible que una persona con información privilegiada fuera la responsable de rebajar los controles de seguridad compartiendo las credenciales del VPN; sin embargo, aún no está claro cómo accedieron los atacantes a esas credenciales.
Este ataque es un ejemplo perfecto de por qué es tan crucial para las empresas –especialmente las que manejan datos sensibles como los oleoductos– contar con medidas de ciberseguridad sólidas. La autenticación multifactor (MFA) es una de esas medidas, y es algo que cada vez más empresas están empezando a adoptar.Aunque Colonial Pipeline optó por pagar la demanda de rescate de 4,4 millones de dólares, en junio habían recuperado cerca del 50% de los fondos.
4. Mayo – Ataque de Ransomware de JBS
En mayo, JBS, el tercer procesador de carne del mundo, sufrió un ataque de ransomware. Uno de los principales efectos del ataque fue el tiempo de inactividad de cientos de plantas de procesamiento de carne y aves de corral en cuatro continentes. Tras darse cuenta de que perderían toda su base de datos si no pagaban el rescate de 11 millones de dólares, JBS realizó un pago en bitcoin a los ciberdelincuentes.
JBS descubrió la incursión cuando el equipo informático detectó irregularidades en algunos de sus servidores internos. Tras ponerse en contacto con el FBI y con expertos en seguridad, comenzaron a apagar los sistemas para frenar el impacto del ataque. Esta táctica resultó infructuosa, ya que tardaron dos semanas en recuperar el control total de sus sistemas mediante copias de seguridad.
¿Qué Fue lo Que Pasó?
¿Cómo accedieron los atacantes a los servidores de JBS? Según una investigación interna, el malware se inyectó en uno de los servidores de JBS a través de correos electrónicos de phishing (impersonadores). Los mensajes contenían virus troyanos que podían aprovechar los puntos débiles de su sistema informático y obtener acceso completo tras engañar a los empleados de la empresa para que los abrieran.
Una vez que los atacantes tenían un punto de apoyo, podían moverse lateralmente y apoderarse de otros sistemas, incluidos los servidores de respaldo. Esto dificultó que JBS recuperara el control de sus redes, ya que los atacantes tenían pleno acceso a todos los datos y sistemas.
Resolviendo el Problema
A diferencia de Colonial Pipeline, JBS fue sincera sobre el ataque. Se emitieron comunicados de prensa con regularidad para mantener a los consumidores y al público informados de la evolución del incidente. El impacto general fue limitado debido a los rápidos tiempos de respuesta y a la falta de pánico generalizado.
La petición del USDA a otros productores de carne para que ayudaran a garantizar un suministro adecuado demostró su buen criterio. A medida que más empresas estadounidenses se vean afectadas por ataques ciber terroristas, aumentará sin duda la necesidad de asistencia a la red industrial.
Entrada Extra – Actividad de Explotación de Log4Shell en Todo el Mundo
A finales de noviembre se reveló una vulnerabilidad crítica que afectaba a la popular biblioteca de registro de Java, Log4j. Esta vulnerabilidad, documentada aquí, es una vulnerabilidad de ejecución remota de código que puede dar a un atacante el control total de un sistema. Poco después de que se revelara la vulnerabilidad, se produjo una avalancha masiva de escaneos e intentos de explotación en Internet por parte de actores maliciosos de todo el mundo.
¿Qué Fue lo Que Pasó?
A menudo, cuando los hackers de sombrero blanco descubren vulnerabilidades en la naturaleza, trabajan con el fabricante de la aplicación o servicio en cuestión para desarrollar un parche para el problema antes de que se divulgue públicamente. En este caso, Log4j es un proyecto de código abierto, por lo que el proceso de identificación del CVE hasta el desarrollo de la corrección fue más público de lo habitual. Aunque se han registrado intentos de explotación desde el 1 de diciembre, la actividad se intensificó cuando se publicó un análisis más amplio del problema.
En resumen, la vulnerabilidad de Log4Shell afecta a la funcionalidad que analiza y registra los datos controlados por el usuario. Los atacantes pueden enviar una cadena con un formato especial que, cuando es consumida por una instancia vulnerable de Log4j, la obliga a conectarse a un servidor LDAP malicioso que luego emitirá una carga maliciosa al servidor víctima.
A diferencia de muchas de las principales infracciones mencionadas anteriormente, que tenían como objetivo una sola entidad, esta vulnerabilidad forma parte de una biblioteca extremadamente popular y ampliamente utilizada, lo que hace que su presencia (y su potencial para causar daños) sea omnipresente. Por un lado, esto significa que todas las organizaciones que la utilizan para supervisar su infraestructura de forma remota están en riesgo, lo que hace que las pérdidas de esta explotación sean incalculables.
Por otro lado, la gran visibilidad de esta explotación, y el potencial de daño que tiene, ha impulsado a organizaciones de todo el mundo a actuar rápidamente para resolver la vulnerabilidad. Dado que se trata de una historia aún en curso, el verdadero impacto no se conocerá durante algún tiempo.
Resolviendo el problema
LunaSec ha publicado un recurso muy útil para entender sus opciones de solución, que identifica varios caminos para ayudar a resolver este problema. La medida más simple y efectiva es actualizar su Log4j a la versión 2.16+. Sin embargo, esto no siempre es una opción para las organizaciones (ya sea para actualizar rápidamente o en absoluto), por lo que se pueden tomar otras medidas para mitigar el potencial de violación.
Mejores Prácticas para Hacer Frente a las Brechas de Seguridad
Lamentablemente, no existe un enfoque único para detener las brechas de seguridad o incluso para manejarlas cuando ocurren. Sin embargo, hay algunas prácticas recomendadas que deben tenerse en cuenta para minimizar la exposición a los hackers.
Cifrar y Hacer Copias de Seguridad Periódicas de los Datos
La primera línea de defensa es el cifrado, que codifica la información sensible y la hace inutilizable en caso de robo. Evite enviar contraseñas por correo electrónico o mensaje de texto. Si el pirata informático no puede descifrar los datos, serán inútiles. De este modo, se evita el acceso no autorizado.
La siguiente línea de defensa es tener buenas copias de seguridad. Lo ideal sería tener copias de seguridad regulares almacenadas fuera de línea para protegerlas aún más de los hackers. Ten también más de una copia de seguridad. Si le ocurre algo al archivo original en su ordenador o servidor, tendrá otra copia que podrá restaurar rápidamente.
Imponer la Autenticación Multi-factor
La autenticación multi-factor o multifactorial (MFA) debe exigirse siempre que sea posible. La MFA funciona exigiendo al usuario que proporcione al menos dos métodos de identificación, como algo que sabe (normalmente una contraseña o un PIN) y algo que tiene (otro factor de verificación), lo que proporciona una seguridad significativamente mayor que las contraseñas por sí solas.
Mantener el Software y los Sistemas Actualizados
Mantener el software parcheado y actualizado cerrará las puertas traseras de los hackers a su sistema y reducirá las posibilidades de un ataque de día a cero. De paso, automatice y programe la aplicación de parches y las actualizaciones para que los hackers no tengan la oportunidad de explotar su sistema cuando se identifiquen las vulnerabilidades.
Fomentar la Conciencia del Usuario Final
Su equipo debe ser consciente de los riesgos y de la importancia de la ciberseguridad para mantener su empresa a salvo. También deben ser conscientes de las distintas formas en que los hackers pueden intentar acceder a sus sistemas, de modo que puedan estar atentos a cualquier actividad sospechosa, especialmente al phishing. Puede organizar sesiones de formación o enviar periódicamente correos electrónicos con actualizaciones sobre las últimas amenazas.
Implementar una Arquitectura de Confianza Cero
En el futuro hacia el que nos dirigimos rápidamente, el concepto de “no confiar en nada, verificar todo” será vital para evitar que los ciberataques se propaguen rápidamente por una organización. Una estrategia de seguridad de “confianza cero” parte del supuesto de que todo es una amenaza potencial y, por lo tanto, todo debe ser verificado exhaustivamente. Las redes de TI descentralizadas de hoy en día, el trabajo remoto generalizado y la adopción de la política de “traiga su propio dispositivo” (BYOD por sus siglas en inglés) apuntan a la arquitectura de confianza cero como el camino a seguir para asegurar los recursos de la empresa de forma eficaz.
Cómo la Plataforma de Directorio JumpCloud Ayuda a Proteger Contra las Infracciones
Las empresas de todos los tamaños deben estar atentas para protegerse de las violaciones de datos. La aplicación de las medidas de seguridad adecuadas, como la formación de los empleados, las configuraciones y políticas de seguridad actualizadas y las soluciones tecnológicas efectivas, pueden ayudar a reducir el riesgo de verse comprometidas.
La Plataforma de Directorio JumpCloud es una de esas soluciones que permite a los administradores TI reforzar su postura de seguridad de forma sencilla y eficaz. Con nuestra plataforma de directorio en la cloud, los administradores de TI pueden:
- Utilizar MFA por capas en todas partes, incluyendo aplicaciones, redes, dispositivos y más
- Supervisar, desplegar y automatizar los parches en entornos de múltiples sistemas operativos
- Aplicar políticas de seguridad, como el cifrado de discos, en dispositivos Windows, Mac y Linux
- Implementar un modelo de seguridad de confianza cero para asegurar el acceso de los usuarios a prácticamente todos los recursos informáticos
Asegurar los recursos de la empresa no tiene por qué ser complicado. Regístrese hoy mismo en JumpCloud Free para ver cómo puede reforzar su ciberseguridad para 2022 y reducir el riesgo de una filtración de datos.
