Este año, 2023, fue un año increíble para las violaciones de datos, muy parecido al año anterior (y al año anterior a ese, etc.). Durante los últimos 12 meses, hemos visto a los piratas informáticos intensificar su explotación de errores en herramientas populares de transferencia de archivos para comprometer a miles de organizaciones; las bandas de ransomware adoptan nuevas tácticas agresivas destinadas a extorsionar a sus víctimas; y los atacantes continúan apuntando a organizaciones con pocos recursos, como hospitales, para extraer datos altamente confidenciales, como información de atención médica de los pacientes y detalles del seguro.
De hecho, según datos de octubre del Departamento de Salud y Servicios Humanos de EE. UU. (HHS), las violaciones de la atención sanitaria afectaron a más de 88 millones de personas, un 60 % más que el año pasado. Y eso sin contar los dos últimos meses del año.
Hemos reunido las filtraciones de datos más devastadoras de 2023. Esperamos no tener que actualizar esta lista antes de que termine el año…
Fortra GoAnywhere
Apenas unas semanas después de 2023, los piratas informáticos explotaron una vulnerabilidad de día cero que afectaba al software de transferencia de archivos administrado GoAnywhere de Fortra, lo que permitió el pirateo masivo de más de 130 empresas. Esta vulnerabilidad, rastreada como CVE-2023-0669, se conocía como día cero porque fue explotada activamente antes de que Fortra tuviera tiempo de lanzar un parche.
Los ataques masivos que explotaban esta falla crítica de inyección remota fueron rápidamente reclamados por el famoso ransomware y banda de extorsión Clop, que robó datos de más de 130 organizaciones víctimas. Algunos de los afectados incluyeron NationBenefits, una empresa de tecnología con sede en Florida que ofrece beneficios complementarios a sus más de 20 millones de miembros en todo Estados Unidos; Brightline, un proveedor de terapia y entrenamiento virtual para niños; el gigante financiero canadiense Investissement Québec; Hitachi Energy, con sede en Suiza; y la ciudad de Toronto, por nombrar sólo algunos.
Como reveló TechCrunch en marzo, dos meses después de que salieran a la luz las noticias de los ataques masivos, algunas organizaciones víctimas solo se enteraron de que se habían extraído datos de sus sistemas GoAnywhere después de que cada una de ellas recibiera una demanda de rescate. Fortra, la empresa que desarrolló la herramienta GoAnywhere, les dijo anteriormente a estas organizaciones que sus datos no se vieron afectados por el incidente.
correo Real
Enero fue un mes muy ocupado en cuanto a ciberataques, ya que también vio al gigante postal británico Royal Mail confirmar que había sido víctima de un ataque de ransomware.
Este ciberataque, confirmado por primera vez por Royal Mail el 17 de enero, provocó meses de perturbaciones, dejando al gigante postal británico incapaz de procesar o enviar cartas o paquetes a destinos fuera del Reino Unido. El incidente, que fue reivindicado por la banda de ransomware LockBit vinculada a Rusia, también vio el robo de datos confidenciales, que el grupo de hackers publicó en su sitio de filtración en la web oscura. Estos datos incluían información técnica, registros disciplinarios de recursos humanos y del personal, detalles de salarios y pagos de horas extras, e incluso los registros de vacunación Covid-19 de un miembro del personal.
Aún se desconoce la magnitud total de la violación de datos.
3CX
El fabricante de sistemas telefónicos basados en software 3CX es utilizado por más de 600.000 organizaciones en todo el mundo con más de 12 millones de usuarios activos diarios. Pero en marzo, la compañía se vio comprometida por piratas informáticos que buscaban atacar a sus clientes intermedios al colocar malware en el software del cliente 3CX mientras estaba en desarrollo. Esta intrusión se atribuyó a Labyrinth Chollima, una subunidad del notorio Grupo Lazarus, la unidad de piratería del gobierno de Corea del Norte conocida por sus ataques sigilosos dirigidos a intercambios de criptomonedas.
Hasta el día de hoy, se desconoce cuántos clientes de 3CX fueron el objetivo de este descarado ataque a la cadena de suministro. Sin embargo, sí sabemos que otro ataque a la cadena de suministro provocó la infracción. Según Mandiant, propiedad de Google Cloud, los atacantes comprometieron 3CX mediante una versión contaminada con malware del software financiero X_Trader encontrada en la computadora portátil de un empleado de 3CX.
capitana
En abril, los piratas informáticos comprometieron al gigante británico de subcontratación Capita, entre cuyos clientes se incluyen el Servicio Nacional de Salud y el Departamento de Trabajo y Pensiones del Reino Unido. Las consecuencias de este ataque se extendieron durante meses a medida que más clientes de Capita se enteraron de que se habían robado datos confidenciales, muchas semanas después de que se produjera el compromiso por primera vez. El Universities Superannuation Scheme, el mayor proveedor privado de pensiones del Reino Unido, se encontraba entre los afectados, y confirmó en mayo que probablemente se accedió a los datos personales de 470.000 miembros.
Este fue solo el primer incidente de ciberseguridad que afectó a Capita este año. No mucho después de la enorme filtración de datos de Capita, TechCrunch se enteró de que el gigante de la subcontratación había dejado miles de archivos, con un tamaño total de 655 gigabytes, expuestos a Internet desde 2016.
Transferencia MOVEit
La explotación masiva de MOVEit Transfer, otra popular herramienta de transferencia de archivos utilizada por las empresas para compartir archivos de forma segura, sigue siendo la infracción más grande y dañina de 2023. Las consecuencias de este incidente, que continúan llegando, comenzaron en mayo cuando Progress Software reveló una vulnerabilidad de día cero con calificación crítica en MOVEit Transfer. Esta falla permitió a la pandilla Clop llevar a cabo una segunda ronda de ataques masivos este año para robar datos confidenciales de miles de clientes de MOVEit Transfer.
Según las estadísticas más actualizadas, la vulneración de MOVEit Transfer se ha cobrado hasta el momento más de 2.600 organizaciones víctimas, y los piratas informáticos han accedido a los datos personales de casi 84 millones de personas. Eso incluye el Departamento de Transporte de Oregón (3,5 millones de registros robados), el Departamento de Política y Financiamiento de la Atención Médica de Colorado (cuatro millones) y el gigante contratista de servicios gubernamentales de EE. UU. Maximus (11 millones).
microsoft
En septiembre, piratas informáticos respaldados por China obtuvieron una clave de firma de correo electrónico de Microsoft altamente confidencial, que les permitió ingresar sigilosamente en docenas de bandejas de entrada de correo electrónico, incluidas aquellas que pertenecen a varias agencias del gobierno federal. Estos piratas informáticos, que según Microsoft pertenecían a un grupo de espionaje recientemente descubierto que rastreaba Storm-0558, extrajeron datos de correo electrónico no clasificados de estas cuentas de correo electrónico, según la agencia de ciberseguridad estadounidense CISA.
En una autopsia, Microsoft dijo que todavía no tiene evidencia concreta (o quiere compartir) cómo estos atacantes irrumpieron inicialmente y permitieron a los piratas informáticos robar su clave maestra para acceder a las cuentas de correo electrónico. Desde entonces, el gigante tecnológico se ha enfrentado a un escrutinio considerable por su manejo del incidente, que se cree que es la mayor violación de datos gubernamentales no clasificados desde la campaña de espionaje rusa que pirateó SolarWinds en 2020.
CitrixBleed
Y luego llegó octubre, y fue el inicio de otra ola de ataques masivos, esta vez explotando una vulnerabilidad crítica en los sistemas Citrix NetScaler. Los investigadores de seguridad dicen que observaron a atacantes aprovechando esta falla, ahora conocida como “CitrixBleed”, para irrumpir en organizaciones de todo el mundo que abarcan el comercio minorista, la atención médica y la fabricación.
El impacto total de estos ataques masivos continúa desarrollándose. Pero LockBit, el grupo de ransomware responsable de los ataques, afirma haber comprometido a empresas de renombre al explotar la falla. El error CitrixBleed permitió a la banda vinculada a Rusia extraer información confidencial, como cookies de sesión, nombres de usuario y contraseñas, de los sistemas Citrix NetScaler afectados, otorgando a los piratas informáticos un acceso más profundo a las redes vulnerables. Esto incluye víctimas conocidas como el gigante aeroespacial Boeing; el bufete de abogados Allen & Overy; y el Banco Industrial y Comercial de China.
23yyo
En diciembre, la empresa de pruebas de ADN 23andMe confirmó que los piratas informáticos habían robado los datos de ascendencia de la mitad de sus clientes, unos 7 millones de personas. Sin embargo, esta admisión se produjo semanas después de que se revelara por primera vez en octubre que se habían tomado datos genéticos y de usuario después de que un pirata informático publicara una parte del perfil robado y la información de ADN de los usuarios de 23andMe en un conocido foro de piratería.
23andMe inicialmente dijo que los piratas informáticos habían accedido a cuentas de usuarios utilizando contraseñas de usuario robadas que ya se habían hecho públicas debido a otras violaciones de datos, pero luego admitió que la violación también había afectado a aquellos que optaron por su función DNA Relatives, que relaciona a los usuarios con sus parientes genéticos.
Después de revelar el alcance total de la violación de datos, 23andMe cambió sus términos de servicio para que a las víctimas de la violación les resulte más difícil presentar demandas legales contra la empresa. Los abogados describieron algunos de estos cambios como “cínicos” e “interesados”. Si la violación hizo algo bueno, es que impulsó a otras empresas de pruebas genéticas y de ADN a reforzar la seguridad de sus cuentas de usuario a la luz de la violación de datos de 23andMe.