La historia de las filtraciones de datos
Las violaciones de datos han sido cada vez más comunes y dañinas durante décadas. Sin embargo, algunos se destacan como ejemplos instructivos de cómo han evolucionado las infracciones, cómo los atacantes pueden orquestar estos ataques, qué se puede robar y qué sucede con los datos una vez que se produce una infracción.
Las filtraciones de datos digitales comenzaron mucho antes del uso generalizado de Internet, pero eran similares en muchos aspectos a las filtraciones que vemos hoy. Uno de los primeros incidentes históricos ocurrió en 1984, cuando la agencia de informes crediticios TRW Information Systems (ahora Experian) se dio cuenta de que uno de los archivos de su base de datos había sido violado. El tesoro estaba protegido por un código de acceso numérico que alguien extrajo de una nota administrativa en una tienda Sears y lo publicó en un «tablón de anuncios electrónico», una especie de Google Doc rudimentario al que las personas podían acceder y modificar usando su conexión de teléfono fijo. A partir de ahí, cualquiera que supiera cómo ver el tablón de anuncios podría haber utilizado la contraseña para acceder a los datos almacenados en el archivo TRW: datos personales e historial crediticio de 90 millones de estadounidenses. La contraseña estuvo expuesta durante un mes. En ese momento, TRW dijo que cambió la contraseña de la base de datos tan pronto como se enteró de la situación. Aunque el incidente se ve eclipsado por la violación del año pasado de la agencia de informes crediticios Equifax (que se analiza a continuación), el lapso de TRW fue una advertencia para las empresas de datos en todas partes, una que muchos claramente no prestaron atención.
Las infracciones a gran escala, como el incidente de TRW, ocurrieron esporádicamente con el paso de los años y la madurez de Internet. A principios de la década de 2010, a medida que los dispositivos móviles y el Internet de las cosas ampliaron enormemente la interconectividad, el problema de las filtraciones de datos se volvió especialmente urgente. Robar pares de nombre de usuario/contraseña o números de tarjetas de crédito, incluso violar un tesoro de datos agregados de fuentes ya públicas, podría dar a los atacantes las claves de toda la vida en línea de alguien. Y ciertas infracciones en particular ayudaron a impulsar una creciente economía web oscura de datos de usuarios robados.
Uno de estos incidentes fue una violación de LinkedIn en 2012 que inicialmente pareció exponer 6,5 millones de contraseñas. Los datos se cifraron o cifraron criptográficamente como protección para que fueran ininteligibles y, por lo tanto, difíciles de reutilizar, pero los piratas informáticos rápidamente comenzaron a «descifrar» los hash para exponer las contraseñas reales de los usuarios de LinkedIn. Aunque LinkedIn mismo tomó precauciones para restablecer las contraseñas de las cuentas afectadas, los atacantes aún obtuvieron mucho provecho al encontrar otras cuentas en la web donde los usuarios habían reutilizado la misma contraseña. Esa higiene de contraseñas laxa, demasiado común, significa que una sola infracción puede perseguir a los usuarios durante años.
El hackeo de LinkedIn también resultó ser incluso peor de lo que parecía al principio. En 2016, un hacker conocido como “Peace” comenzó a vender información de cuentas, en particular direcciones de correo electrónico y contraseñas, de 117 millones de usuarios de LinkedIn. Los datos robados de la violación de LinkedIn han sido reutilizados y revendidos por delincuentes desde entonces, y los atacantes todavía tienen cierto éxito al explotar los datos hasta el día de hoy, ya que muchas personas reutilizan las mismas contraseñas en numerosas cuentas durante años.
Sin embargo, las violaciones de datos no se convirtieron realmente en alimento para la cena hasta finales de 2013 y 2014, cuando los principales minoristas Target, Neiman Marcus y Home Depot sufrieron violaciones masivas una tras otra. El ataque de Target, divulgado públicamente por primera vez en diciembre de 2013, afectó la información personal (como nombres, direcciones, números de teléfono y direcciones de correo electrónico) de 70 millones de estadounidenses y comprometió 40 millones de números de tarjetas de crédito. Solo unas semanas después, en enero de 2014, Neiman Marcus admitió que sus sistemas de puntos de venta habían sido atacados por el mismo malware que infectó a Target, exponiendo la información de alrededor de 110 millones de clientes de Neiman Marcus, junto con 1,1 millones de tarjetas de crédito y débito. números de tarjeta Luego, después de meses de consecuencias por esas dos infracciones, Home Depot anunció en septiembre de 2014 que los piratas informáticos habían robado 56 millones de números de tarjetas de crédito y débito de sus sistemas mediante la instalación de malware en las terminales de pago de la empresa.
Sin embargo, al mismo tiempo se estaba produciendo un ataque aún más devastador y siniestro. La Oficina de Administración de Personal es el departamento administrativo y de recursos humanos para los empleados del gobierno de EE. UU. El departamento administra las autorizaciones de seguridad, realiza verificaciones de antecedentes y mantiene registros de todos los empleados federales actuales y pasados. Si quieres saber qué está pasando dentro del gobierno de los EE. UU., este es el departamento que debes hackear. Así lo hizo China.
Los piratas informáticos vinculados al gobierno chino se infiltraron en la red de OPM dos veces, primero robaron los planos técnicos de la red en 2013 y luego iniciaron un segundo ataque poco después en el que obtuvieron el control del servidor administrativo que gestionaba la autenticación para todos los demás inicios de sesión del servidor. En otras palabras, cuando OPM se dio cuenta completamente de lo que había sucedido y actuó para eliminar a los intrusos en 2015, los piratas informáticos habían podido robar decenas de millones de registros detallados sobre todos los aspectos de la vida de los empleados federales, incluidos 21,5 millones de números de Seguro Social. y 5,6 millones de registros de huellas dactilares. En algunos casos, las víctimas ni siquiera eran empleados federales, sino que simplemente estaban conectados de alguna manera con trabajadores del gobierno que se habían sometido a verificaciones de antecedentes. (Esos controles incluyen todo tipo de información extremadamente específica, como mapas de la familia, amigos, socios e hijos de un sujeto).