Brechas de datos: Universidades, portales de empleo y más

Las brechas de datos no dejan de hacer noticia, poniendo en jaque variada información. Como es de costumbre te traemos un resumen de los últimos acontecimientos relacionados con este tema, y en esta ocasión incluye a universidades, motores de búsqueda de empleos y más.

Por Gabriela Sepúlveda B.

Universidades

Durante estos últimos meses se ha visto que varias universidades, en todo el mundo, han sido víctimas de diversos ciberataques en donde podemos destacar los ataques de tipo Phishing a través del correo electrónico. Estos ataques conllevaron a la pérdida de información tanto personal como financiera de miembros de la universidad, estudiantes e incluso de sus padres.

Entre las principales afectadas podemos nombrar:

  • University of Chicago Medicine
  • Australian National University
  • Shanghai Jiao Tong University
  • Oregon State University
  • Graceland University
  • Missouri Southern State University

Relacionado a la Australian National University podemos destacar que el incidente no se produjo por una campaña de phishing como en las otras. En este caso el ciberdelincuente realizó un ataque sofisticado en el que logró entrar al sistema para así robar datos del personal y estudiantes. Entre la información a la que se accedió se encuentran  nombres, direcciones, fechas de nacimiento, números de teléfono, direcciones de correo electrónico personales, detalles de contacto de emergencia, números de archivo de impuestos, información de nómina, detalles de cuentas bancarias, detalles de pasaportes y registros académicos de estudiantes.

Por otra parte, en lo relacionado al “Data Breach” de la University of Chicago, en su facultad de Medicina, se destaca la exposición de una gran base de datos, a la que se podía acceder por el motor de búsqueda Shodan, el cual indexaba un cluster de 34 GB llamado ‘data-ucnbsd2’, y básicamente cualquier persona que supiera cómo y dónde buscar podía acceder a él. En la base de datos se encontraban 1.679.993 registros con información diversa como: nombre completo, fecha de nacimiento, dirección completa, números de teléfono, direcciones de correos electrónico, estado civil, Información financiera y estado actual, notas de comunicación, etc.

El peligro finalmente recae en que el atacante busca la instalación de algún tipo de malware, que le permita tomar control de los servidores. La configuración pública permite a los ciberdelincuentes administrar todo el sistema con todos los privilegios administrativos. Por tanto, una vez que el malware está en su lugar, los delincuentes pueden acceder de forma remota a los recursos del servidor e incluso iniciar una ejecución de código para robar o destruir por completo cualquier dato guardado que contenga el servidor.

Un punto importante que consideran algunos expertos, es que las distintas universidades están siendo víctimas -cada vez más- de estos ataques, y no con el objetivo de llegar a los estudiantes, sino que buscan llegar a personas importantes que imparten clases en este tipo de instituciones.

Portales de Trabajo

El sitio web Talanton, que corresponde a una plataforma de búsqueda y publicación de empleos con sede en India y especializada en vacantes profesionales de tecnología (que además forma parte de la red de búsquedas de empleo jobyiee); fue víctima de un ataque en donde uno de sus servidores, que contenía 3 GB de datos con más de 1,6 millones de usuarios afectados, quedó expuesto.

Según los investigadores, es difícil distinguir de qué forma las personas que figuran en la base de datos se han agregado. A menos que haya información específica sobre salario esperado, o similar, no hay forma de distinguir si los profesionales fueron agregados sin su conocimiento, o por haber participado activamente en las búsquedas de empleo.

Profesionales de muchos países fueron víctimas de esta fuga de información personal, incluido EE. UU., India, Israel, Reino Unido, Francia, Australia, Emiratos Árabes Unidos, Singapur y Hong Kong, por nombrar algunos. También se filtraron los números directos y los correos electrónicos de los CISO (directores de seguridad de la información), directores generales y empleados gubernamentales de alto rango, incluido el CTO del gobierno australiano.

La información disponible en las bases de datos incluía números de teléfono directos, ubicaciones, títulos, empleadores actuales, expectativas salariales, direcciones de correo electrónico personales, género, nacionalidad, estado de búsqueda de empleo y otra información similar, a menudo privada. También se incluyeron las contraseñas cifradas de más de 50,000 registros de usuarios.

¿Que podría pasar ahora? ¿Recuerdan el artículo sobre el nuevo nicho de phishing por redes sociales? Pues poseer información tan específica como salario esperado o tipo de empleo buscado, permitiría a los atacantes elaborar ataques dirigidos, por ejemplo, a través de Linkedin; y así efectuar un ataque mayor como una secuestro por ransomware.

Información de Pacientes

Diversos fueron los casos en distintas entidades médicas que dejaron al descubierto los datos de millones de pacientes por uno u otro motivo. En el caso del Quest Diagnostics, un laboratorio clínico estadounidense, la filtración se produjo desde una empresa de cobranza. La agencia en cuestión, AMCA, informó que un ‘usuario no autorizado’ accedió a su sistema, el cual contenía información personal de cerca de 11,9 millones de pacientes, incluidos los del Quest.

La información filtrada incluye datos personales como nombre, dirección, teléfono, e incluso ciertos datos financieros, números de seguro social e información médica; pero no resultados de pruebas de laboratorio.

El laboratorio clínico está tomando las medidas necesarias garantizando que los pacientes reciban una notificación adecuado de acuerdo con las leyes norteamericanas.

En otro ataque, el Centro de Salud Colchester East Hants de Nueva Escocia, fue víctima del phishing, en donde quedaron expuestos los datos de 2.841 pacientes quirúrgicos. En esta ocasión los ciberdelincuentes, a través de un correo electrónico, simularon ser del Departamento de Tecnologías del centro médico, y así lograron engañar a los empleados obligándoles a ‘verificar su correo’ si no querían que su cuenta fuera suspendida.

De esta manera lograron entrar al correo electrónico de uno de los empleados, en cuya bandeja de entrada se encontraba un gran número de correos con información de salud de pacientes que estaban programados para cirugía.

Las autoridades del centro de salud mencionaron que están haciendo un esfuerzo para educar al personal sobre los riesgos y peligros existentes actualmente, sobre todo en lo que respecta a los ataques vía phishing.

Finalmente cabe destacar lo sucedido en el Centro Médico Ellwood City de Pensilvania, quienes lograron frustrar un ciberataque, pero aún sigue en investigación una posible fuga de información. En esta ocasión fue un virus el que comenzó a infectar a los empleados del centro médico, que fue rápidamente contenido. Sin embargo, no se detallaron detalles cómo el vector por el que los empleados fueron infectados, o qué sistemas se vieron afectados.

El CEO del hospital aseguró que hasta el momento no se ha determinado si la información de los pacientes ha sido expuesta, pero que las investigaciones continúan siendo exhaustivas para determinar aquello.

Prevenir, la clave

Como siempre hemos mencionado, la prevención se torna una tarea principal en todo tipo de organizaciones. Se hace fundamental contar con políticas enfocadas en la ciberseguridad, y concientizar a los empleados sobre los peligros existentes.

Por otra parte, como no podemos controlar la seguridad que proporcionan todas las entidades en las que exponemos nuestros datos, podemos seguir las siguientes recomendaciones:

  • Sé precavido en la información proporcionada. Esto implica asegurarse que sea un sitio web seguro y sólo otorgar la información mínima posible.
  • Utiliza contraseñas robustas, y por ningún motivo contraseñas que se encuentren en los listados de las más utilizadas.
  • No utilices la misma contraseña para todas tus cuentas, sobre todo en las más importantes como la de tu correo electrónico y la de tu banco.
  • Evita redes Wifi públicas.
  • No hagas click en los enlaces de correo electrónico. Asegúrate que el emisor sea legalmente quien representa.