Brechas de datos: Millones de personas han visto vulnerados sus datos este primer semestre

Los datos se convirtieron rápidamente en uno de los activos más valiosos del mundo moderno, por lo que las brechas de datos se están convirtiendo en uno de las problemáticas más recurrentes para empresas que ven vulnerada su seguridad. Acá dejamos las diez principales fugas de información de este año.

Una fuga de datos es un incidente de seguridad en el que la información personal se expone públicamente, o se accede a ella sin autorización. Revisa este artículo donde definimos paso a paso una brecha de datos.

Hay casos muy conocidos, como las famosas filtraciones de Yahoo, o de Facebook, y que han recibido una atención generalizada por el impacto de estos incidentes de exposición. De hecho, algo que se nos viene a la cabeza al hablar de esto es la Collection #1, la masiva colección de usuarios/contraseñas que fue recopilada y filtrada al público en la internet hace un tiempo atrás.

Son difíciles de identificar, costosas de abordar y causan daños a la reputación. Algunas empresas nunca se recuperan. Sin embargo, dado el valor de los datos y la inevitabilidad del riesgo cibernético, lo mejor que las empresas pueden hacer para mitigar los efectos de una brecha es
implementar una práctica exhaustiva de gestión de riesgos para la detección, contención y comunicación a raíz de una violación de datos. 

Según IBM, las compañías que contuvieron una fuga en menos de 30 días, ahorraron más de $ 1 millón en comparación con las que tomaron más de 30 días.

Por lo demás, y sumado a lo anterior, la ciber resiliencia se hace un elemento primordial en las organizaciones y empresas, pues mientras más rápido puedan sobreponerse de un ataque o incidente en sus servicios e información, la gravedad del daño será menor.

Las mayores fugas de datos de este primer semestre

Cada una de estas violaciones de datos tuvo un impacto en millones de personas y proporciona diferentes ejemplos de cómo una empresa puede verse comprometida o dejar expuesta una cantidad extraordinaria de registros.

15 mil millones- Auditoría de la Dark Web, julio de 2020

El equipo de Digital Shadows Photon Research pasó 18 meses auditando foros criminales y de mercados en la web oscura y descubrió que el número de nombres de usuario y contraseñas robados en circulación ha aumentado en un 300% desde 2018. Ahora hay más de 15 mil millones de estas credenciales robadas, de 100.000 violaciones de datos.

Con un 25% de todos los anuncios de credenciales de cuenta robadas, el precio promedio de las cuentas bancarias en línea y otros servicios financieros fue de USD$ 70.91 (£ 56.65) cada uno. Digital Shadows vio algunas credenciales de cuentas bancarias vendidas por hasta USD$500 (£ 399) dependiendo de los fondos disponibles.

Más de 2 mil millones – BlueKai, 19 de junio de 2020

El gigante tecnológico estadounidense Oracle posee BlueKai, una compañía que tiene uno de los mayores bancos de datos de seguimiento web fuera del gobierno federal de USA. La empresa utiliza cookies del sitio web y otras tecnologías de seguimiento para seguir sus actividades en la web y luego vende esos datos a empresas y empresas de marketing.

Durante un período de tiempo desconocido, todos esos datos de seguimiento web quedaron expuestos en un servidor sin contraseña. Miles de millones de registros no estaban asegurados para que cualquiera los encontrara. Los datos expuestos incluían nombres, domicilios, direcciones de correo electrónico y otros datos identificables, incluida la actividad de navegación web.

Más de 8 millones – Postbank, 14 de junio de 2020

El Postbank en Sudáfrica tuvo que reemplazar más de 12 millones de tarjetas bancarias después de que los empleados robaron una clave maestra sin cifrar. La clave maestra otorgó a cualquier persona acceso completo a los sistemas del banco y la capacidad de cambiar la información de cualquiera de las 12 millones de tarjetas del banco. La violación afectó específicamente a entre 8 y 10 millones de beneficiarios que reciben subvenciones sociales cada mes.

47.5 millones – Truecaller, 27 de mayo de 2020

Los datos personales de 47.5 millones de indios se encontraron a la venta en la web oscura por US$1,000, y se afirma que se originó a partir de la popular aplicación de identificación de llamadas y bloqueo de spam Truecaller. Se puso a disposición información personal como números de teléfono, proveedores de servicios, nombres, géneros y más.

25 Million – Mathway, 25 de mayo de 2020

Un sitio web popular para ayudar a estudiantes y niños a aprender matemáticas sufrió una violación de datos, lo que resultó en la exposición de más de 25 millones de registros. La violación solo se descubrió cuando los registros se vendieron en la web oscura a principios de mayo. Hasta ahora, se cree que solo se expusieron correos electrónicos y contraseñas
hash.

9 millones – EasyJet – 19 de mayo de 2020

La aerolínea europea EasyJet sufrió una violación importante que comenzó en enero de 2020, pero no notificó a los clientes hasta abril y mayo de 2020. Los correos electrónicos y la información de viaje se encontraban entre la información que se violó, y se accedió a más de 2.000 clientes a sus datos de tarjeta de crédito y débito. La compañía podría enfrentar una multa importante gracias al GDPR.

5.2 Million – Marriott, 31 de marzo de 2020

Ya en 2018, se filtraron 383 millones de registros. Esta vez, los piratas informáticos obtuvieron detalles de inicio de sesión de dos empleados y entraron al sistema en enero de 2020. Marriott ha dicho que no tienen motivos para creer que se haya violado ninguna información de pago, solo datos personales de sus clientes (como nombres, direcciones y Información del contacto).

6.9 millones – El gobierno holandés, 11 de marzo de 2020

En un giro bastante extraño de los acontecimientos, el gobierno holandés admitió haber perdido dos discos duros externos que contenían los datos personales de más de 6.9 millones de donantes de órganos. Estos contenían registros de 1998 a 2010 y se colocaron en una bóveda en 2016. Cuando los funcionarios fueron a acceder a ellos este año, desaparecieron misteriosamente.

81.6 millones – Antheus Tecnologia, 11 de marzo de 2020

La empresa brasileña de soluciones biométricas Antheus Tecnologia sufrió una importante fuga de datos y otras fallas de seguridad, lo que llevó a un servidor Elasticsearch a exponer los datos biométricos que contenía. Se estima que 76,000 huellas digitales estaban en el servidor. Otros registros incluyen correos electrónicos y números de teléfono de las empresas de los empleados.

250 millones – Microsoft, 22 de enero de 2020

Microsoft ha dicho que solo se expusieron las direcciones de correo electrónico y las direcciones IP, pero los investigadores de seguridad creen que va más allá de eso. Según Microsoft, los registros no estaban disponibles públicamente, ya que se almacenaron en una base de datos interna y solo estuvieron expuestos por poco menos de un mes.

Fuga de datos en Latinoamérica

Latinoamérica no ha quedado exenta de las filtraciones de datos. En el primer periodo de este 2020 hemos visto una serie de filtraciones, las cuales las resumimos en la siguiente infografía.

En marzo de este año, en nuestro país se expusieron correos y contraseñas de funcionarios del Ministerio de Relaciones Exteriores, de acuerdo con el CSIRT los nombres de los usuarios correspondían «cuentas obsoletas» del Ministerio de Relaciones Exteriores. Además, las contraseñas serían inválidas porque no corresponden a las políticas de seguridad del ministerio.

Esta última no es la única brecha de dato que ha afectado a Chile, sin ir más lejos, el año pasado se destaparon algunas fugas de datos importantes, una perteneciente a Carabineros, otra al ejercito, y una a Correos. Todas causaron revuelo.

De acuerdo al gerente de operaciones de Nivel4, Hernán Moller, »Cada vez va a ser más común que se produzcan incidentes de seguridad en donde se comprometa información sensible, ninguna organización está ajena a esto y no existe un método infalible para evitarlo, por lo que el trabajo en seguridad debe ser continuo. Ya no basta con ejecutar un Ethical Hacking anual al portal web principal de la de la compañía, por trillado que suene sigue siendo muy cierto; los ataques evolucionan de la misma forma que las tecnologías y es necesario que tanto la organización como sus proveedores se pongan al día y también actualicen sus medidas de defensa».

»Ninguna organización está ajena a esto y no existe un método infalible para evitarlo, por lo que el trabajo en seguridad debe ser continuo»

Hernán Möller – Nivel4


»Nuestra respuesta a esta evolución son servicios continuos de Red Team. No atacamos 1 o 2 semanas un objetivo específico, si no que atacamos un mes completo de forma continua, y el scope o ámbito de este ejercicio es cualquier dispositivo interno o externo de la organización, sin restricciones de horario ni limitaciones en los vectores de ataques que podemos utilizar, porque si un grupo de ciberdelincuentes decide atacar tu organización no va a pedir permiso ni limitará sus esfuerzos», afirma Hernán.

Las brechas de datos y ataques a infraestructuras empresariales y gubernamentales aumentarán cada día más. Por ende, se torna indispensable realizar ejercicios continuos de ciberataques.