El año pasado fue, de nuevo, un año récord en ciberataques, en el que las ciberamenazas crecieron exponencialmente suponiendo un importante riesgo para empresas, instituciones y personas. De los miles de ataques del 2023, la firma de soluciones de ciberseguridad ESET destacó los más relevantes. Este es el top 10:
1. MOVEit: Este ataque emplea una vulnerabilidad de día cero en un producto de software popular para tener acceso a los entornos de empresas y usuarios y filtrar tantos datos como sea posible para pedir un rescate. ESET detalla que no está claro cuántos datos y víctimas ha tenido, pero asegura que algunas estimaciones apuntan a 2.600 organizaciones y 83 millones de personas atacadas.
2. La Comisión Electoral del Reino Unido: En agosto, este regulador dio a conocer que los ciberdelincuentes habían robado información personal de unos 40 millones de votantes del censo electoral en un ataque que consideró “complejo”. Según ESET, no obstante, existen informes que sugieren que la postura de seguridad de esta comisión era deficiente y que esta no había pasado una auditoría de seguridad básica de Cyber Essentials.
“La culpa podría haber sido de un servidor Microsoft Exchange sin parches, aunque no está claro por qué la comisión tardó 10 meses en notificarlo al público. También afirmó que agentes de amenazas podrían haber estado sondeando su red desde agosto de 2021”, explica la firma especialista en ciberseguridad.
3. El Servicio de Policía de Irlanda del Norte (PSNI): También en agosto, este servicio detalló que uno de sus empleados había publicado accidentalmente datos internos sensibles en el sitio web WhatDoTheyKnow en respuesta a una solicitud de libertad de información (FOI). Se trata concretamente de nombres, rango y departamento de unos 10.000 oficiales y personal civil, incluidos quienes trabajan en vigilancia e inteligencia y que fueron difundidos después por disidentes republicanos irlandeses. Dos hombres quedaron en libertad bajo fianza tras ser detenidos por delitos de terrorismo.
4. DarkBeam: 3.800 millones de registros fueron expuestos por la plataforma de riesgo digital DarkBeam después de desconfigurar una interfaz de visualización de datos Elasticsearch y Kibana, según se pudo conocer después de que un investigador de seguridad se percatase del error y lo notificara a la empresa. Según ESET se trata de la mayor filtración de datos del año y se desconoce cuánto tiempo estuvieron expuestos estos datos. “El botín de datos contenía correos electrónicos y contraseñas procedentes tanto de filtraciones de datos notificadas anteriormente como de otras no notificadas. Es otro ejemplo de la necesidad de vigilar de cerca y continuamente los sistemas para detectar errores de configuración”, comenta ESET.
5. Consejo Indio de Investigación Médica (ICMR): Un ciberatacante puso a la venta información personal de 815 millones de indios, obtenida de la base de datos de pruebas COVID de este consejo, que incluía nombre, edad, sexo, dirección, número de pasaporte y Aadhaar (número de identificación del gobierno. El caso se conoció en octubre. Es otra de las megabrechas del año y abrió la puerta a los ciberatacantes para llevar a cabo ataques de fraude de identidad.
6. 23andMe: En este caso un ciberatacante aseguró haber robado 20 millones de datos de la compañía de genética e investigación de Estados Unidos a través de técnicas de relleno de credenciales para acceder a las cuentas de los usuarios. Entre la información que aparecía en el volcado de datos figuraron la foto de perfil, el sexo, el año de nacimiento, la ubicación y los resultados de ascendencia genética.
7. Ataques DDoS de restablecimiento rápido: En 2023, según ESET, se llevaron a cabo algunos de los ataques de denegación de servicio (DDoS) jamás vistos. Según Google, estos alcanzaron un pico de 398 millones de peticiones por segundo (rps), frente a la mayor tasa anterior de 46 millones de rps. “La buena noticia es que gigantes de Internet como Google y Cloudflare han parcheado el fallo, pero se ha instado a las empresas que gestionan su propia presencia en Internet a que sigan el ejemplo inmediatamente”, dice la compañía de seguridad.
8. T-Mobile: En enero del año pasado la empresa de telecomunicaciones estadounidense sugrió una brecha de seguridad que afectó a 37 millones de clientes, que implicó el robo de direcciones, números de teléfono y fechas de nacimiento. En abril, otro ciberataque impactó en 800 clientes y supuso la sustracción de otros datos, como el PIN de las cuentas, los números de seguridad social y datos de identificación del gobierno.
9. MGM International/Cesars: Estos dos hoteles icónicos de Las Vegas fueron atacados por un ransomware afiliado a ALPHV/BlackCat conocido como Scattered Spider con unos días de diferencia. En el MGM el ataque fue no menor y estuvo estimado en 100 millones de dólares. Y es que a través de una investigación en LinkedIn los ciberatacantes accedieron a su red y mediante un ataque de vishing se hicieron pasar por el departamento de TI y le pidieron sus credenciales. El hotel tuvo que cerrar importantes sistemas informáticos, lo que interrumpió el funcionamiento de sus máquinas tragamonedas, sus sistemas de gestión de restaurantes e incluso las tarjetas de acceso a las habitaciones durante días.
En el caso del Cesars, la empresa aseguró haber pagado a sus extorsionadores 15 millones de dólares.
10. Las filtraciones del Pentágono: Jack Teixeira, de 21 años, miembro del ala de inteligencia de la Guardia Nacional Aérea de Massachusetts, filtró documentos militares muy delicados para presumir ante su comunidad de Discord y estos fueron compartidos en otras plataformas y fueron reenviados por los rusos que seguían la guerra en Ucrania. “Estos documentos proporcionaron a Rusia un tesoro de inteligencia militar para su guerra en Ucrania y socavaron la relación de Estados Unidos con sus aliados. Teixeira pudo imprimir y llevarse a casa documentos de alto secreto para fotografiarlos y subirlos posteriormente a Internet”, explica ESET.