Mientras nos preparamos para pasar la página del calendario a otro año, es hora de reflexionar sobre este pasado los incidentes y ataques de ciberseguridad más notables del año. Si algo es seguro es que los incidentes ocurren con más frecuencia y se vuelven cada vez más sofisticados. En pocas palabras, la piratería informática y los delitos cibernéticos no muestran signos de desaceleración. Para 2025, el ciberdelito desviará aproximadamente 10,5 billones de dólares de la economía mundial. Esto representa un aumento del 15% año tras año, lo que demuestra claramente la velocidad a la que estos ataques están dañando empresas en todo el mundo.
Seamos muy claros. No examinamos estos eventos para avergonzar a las organizaciones, o simplemente para señalar y reír al estilo Nelson de Los Simpson. Lo hacemos de la misma manera que los atletas de élite miran, vuelven a mirar y examinan películas de juegos. La intención es comprender mejor qué sucedió, dónde salieron mal las cosas y, lo más importante, cómo podemos aprender y mejorar en el futuro. Echemos un vistazo a algunos de los trucos más notables de 2023 para ver dónde podemos mejorar en el nuevo año.
Robo de Datos de T-Mobile en Enero de 2023: En enero, T-Mobile anunció el descubrimiento de hackers logrando acceso a sus servidores a través de una API vulnerable, lo que resultó en el robo de datos de más de 37 millones de clientes. Los hackers informáticos obtuvieron información privada, incluidos cumpleaños, direcciones de correo electrónico y nombres completos. Si está interesado, hay una línea de tiempo actualizada de cómo se desarrolla esto casi en tiempo real. Consulta Firewall Times para ver jugada por jugada.
Norton: A principios de enero, Norton dijo que más de 6.000 clientes fueron víctimas de un ataque de credential stuffing. Un ataque de credential stuffing ocurre cuando los hackers informáticos usan contraseñas comprometidas e información de inicio de sesión para obtener acceso a otras cuentas de los usuarios que puede compartir la misma contraseña. Norton alertó a todas las cuentas pirateadas. También alentaron a todos sus usuarios a habilitar la función autenticación de dos factores para ayudar a evitar futuros intentos de piratería. Un grupo de hackers informáticos llamado BlackCat Ransomware se atribuyó la responsabilidad del ataque a Norton Healthcare y filtró archivos como prueba. Norton no dice mucho sobre el caso mientras el FBI investiga.
Reddit: Reddit ha confirmado que la empresa sufrió una ataque de datos en febrero. El CTO Christopher Slowe explicó en un comunicado: “Como en la mayoría de las campañas de phishing, el atacante envió mensajes que parecían plausibles dirigiendo a los empleados a un sitio web que clonaba el comportamiento de nuestra puerta de enlace de intranet, en un intento de robar credenciales y tokens de segundo factor. Después Al obtener con éxito las credenciales de un solo empleado, el atacante obtuvo acceso a algunos documentos y códigos internos, así como a algunos paneles internos y sistemas comerciales.”
¿Qué aprendimos aquí? El phishing sigue siendo un PROBLEMA REAL. Elimine las contraseñas y explore MFA resistente al phishing para evitar ataques de phishing.
MOVEit: El hackeo masivo de la herramienta de transferencia de archivos, MOVEit, ha impactado a más de 200 organizaciones y hasta 17,5 millones de personas. Entre las afectadas se encuentran varias agencias federales, incluido el Departamento de Energía, el Departamento de Agricultura y el Departamento de Salud y Servicios Humanos. Se cree ampliamente que la gran mayoría de las escuelas en los EE. UU. también han sido blanco del ataque. A medida que siguen surgiendo las implicaciones del ataque, se han confirmado más ataques en Shell, Siemens Energy, Schneider Electric, First Merchants Bank, City National Bank y muchos, muchos más. El ataque se originó con una vulnerabilidad de seguridad en el software de MOVEit. La falla fue reparada cuando se identificó, pero los hackers informáticos ya habían obtenido acceso a datos confidenciales. Clop, un grupo de ransomware vinculado a Rusia, se atribuye la responsabilidad de las infracciones y ha amenazado con publicar información robada en la web oscura. Esto se ha llamado “El mayor hackeo de 2023”, y cada vez es más grande…
¿Qué aprendimos aquí? Eres tan fuerte como tu eslabón más débil. La mayoría de estas organizaciones probablemente no tenían idea de que sus usuarios participaban en el intercambio de archivos en la plataforma y los ponían en riesgo. Se recomiendan políticas más estrictas sobre herramientas apropiadas para compartir chicas. También asegúrese de explorar su cadena de suministro de software para asegurarse de que no haya vulnerabilidades.
MGM: Una conocida banda de ransomware llamada Scattered Spider se atribuyó el mérito del hackeo de septiembre de 2023 que afectó el sitio web, los casinos y los sistemas de MGM (incluso las llaves de las habitaciones). Scattered Spider utilizó ingeniería social para engañar a los empleados de la mesa de ayuda de MGM para que restablecieran las contraseñas y los códigos de autenticación multifactor (MFA) de los empleados de alto valor de MGM. Esto les dio acceso a las cuentas de redes sociales de estos empleados. Pudieron obtener acceso al servicio de TI administrado de MGM, Okta, para instalar un proveedor de identidad para crear SSO (inicio de sesión único) para ellos mismos. El entorno de nube de Microsoft Azure también se vio comprometido, poniendo en peligro no sólo las aplicaciones administradas, sino también todos los activos almacenados en la nube digital. Esto resultó en múltiples vulnerabilidades del sistema, exposición de datos de clientes y más acceso a los activos críticos de MGM. En total, se estima que el hack costó alrededor de $100 millones.
Okta: En lo que parece ser el año de mayor impacto financiero de 2023, Okta también fue pirateado. Según los informes, el hack ha acabado con $2 MIL MILLONES en la capitalización de mercado de la organización. En este escenario, los actores de amenazas aprovecharon las credenciales robadas para acceder al sistema de gestión de casos de soporte. “El actor de amenazas pudo ver archivos cargados por ciertos clientes de Okta como parte de casos de soporte recientes”, dijo David Bradbury, [director de seguridad de Okta] (https://sec.okta.com/harfiles). “Cabe señalar que el sistema de gestión de casos de soporte de Okta está separado del servicio de producción de Okta, que está en pleno funcionamiento y no se ha visto afectado”.
¿Qué aprendimos aquí? Los principios de Zero Trust aplicados por Okta probablemente impidieron un impacto más significativo. Al haber separado sus instancias de producción de servicios de Support Case Management y Okta, se ahorraron mucho tiempo y dinero.
A medida que reflexionamos sobre los hacks más notables de 2023, queda cada vez más claro que las credenciales robadas son un problema real. Estos incidentes sirven como claros recordatorios de la importancia de aprender de los errores de nuestros pares en la industria. Para protegerse contra los riesgos de robo de credenciales, es imperativo considerar la eliminación del vector de ataque más susceptible: las contraseñas. Considere explorar soluciones de infraestructura de clave pública (PKI) de terceros como EZCA y EZCMS de Keytos. Mientras nos preparamos para iniciar el nuevo año, demos prioridad al fortalecimiento de nuestras respectivas posturas de ciberseguridad. Hacerlo seguramente nos ahorrará tiempo, dinero y muy probablemente algún que otro dolor de cabeza. Recuerde, ¡las lecciones del pasado son los planos para un futuro más seguro!