2015: el año de las fugas de datos

Fuga de agua en un grifo
2015 se está caracterizando por ser el de las fugas de datos masivas y mediáticas. A pesar de haberse documentado hasta ahora un número de incidencias menor respecto a 2014 estas se han caracterizado por su volumen y sensibilidad

El año en el que estamos, pese a que todavía le queda algo menos de dos meses para finalizar, hay quien ya lo considera como El año de las fugas de datos, continuando sin duda la tónica de 2014, que terminó fuerte con el hackeo de Sony Pictures. No en vano, hasta el 27 de octubre hay noticia de 629 brechas de seguridad y una estimación de algo más de 175 millones de registros comprometidos.

Hablamos de incursiones en diferentes sistemas y servicios del que se han extraído millones de cuentas de usuario y, en no pocos casos, sus datos personales. Especial protagonismo han tenido los casos de Ashley Madison o Adult Friend Finder, pero más destacables si cabe son las que han afectado a plataformas que almacenaban historiales médicos o a las que han llegado incluso a poner en peligro datos tan sensibles como números de la seguridad social.

¿Cómo se han distribuido las grandes fugas de datos de 2015?

Los datos recopilados por la ITRC (Interestate Techonology & Regulatory Council) señalan el sector médico como el más afectado de todos con más de dos tercios de los registros afectados sobre el total. Sin embargo es el de los negocios de otra índole el que (por poco) es el objetivo preferido de ciberdelincuentes.

Sector Incidencias Registros expuestos
Negocios 237 (39,1%)  +16 millones (9,2%)
Médico / Salud 216 (35,6%)  +119 millones (68,3%)
Financiero 58 (9,6%)  +5 millones (2,9%)
Gubernamental / Militar 46 (7,6%) + 33 millones (19,3%)
Educativo 49 (8,1%)  +750.000 (0,4%)

Sin embargo los datos cuantificados de este informe sólo hacen referencia a aquellos casos en los que con certeza se conoce el volumen de registros violados. Gran parte de los 629 que lo componen no están cuantificados por lo que la estimación de 175 millones se incrementará a medida que se conozca más información.

Aquí van los casos más destacados e impactantes de este año pero recordemos: 2015 todavía no ha terminado.

Anthem

La segunda compañía estadounidense de seguros médicos en importancia ha sido la víctima del ataque que más usuarios ha comprometido. Aproximadamente los datos de un total de 80 millones de clientes han sido expuestos.

Éste es el máximo exponente del suculento objetivo que representa el negocio de la salud en el país norteamericano para los ciberdelincuentes. Recordemos que se trata de un país en el que la gran mayoría dispone de seguro y plan de pensiones privado por lo que sus datos fiscales pueden resultar interesantes. Otras compañías de seguros médicos como Premera o la aseguradora de salud de la UCLA también han sido víctimas de estos ataques.

Los datos comprometidos en este ciberataque exponen números de Seguridad Social, direcciones, información financiera e historiales médicos.

Ashley Madison

Sin duda el más mediático de todos por el tipo de web a la que ha ido dirigido el ataque: la red social para infieles. Éste es uno de los que no ha dejado a nadie indiferente, puesto que todo el mundo se ha posicionado bien a favor de los hackers porque las víctimas se lo merecen, bien en contra de ellos por considerar que nadie tiene derecho a juzgar a los demás por lo que hacen con su vida privada.

La autoría se la atribuyó un grupo llamado The Impact Team que amenazó a Avid Media Life, propietaria de Ashley Madison, con la publicación de los datos de los 37 millones de usuarios que esta web decía tener si no se cerraba la web de contactos (sin embargo hay controversia respecto a este número y podrían haber sido 30 los millones. La ITRC no la lista en su informe).

Finalmente los datos fueron liberados en el mes de agosto y actualmente Ashley Madison continúa en funcionamiento.
La información que expuso los registros comprometidos (no en todos los casos) contenían direcciones, fechas de nacimiento, correos electrónicos, género del usuario, nombres, contraseñas, historiales de pagos, datos bancarios, números de teléfono, preferencias sexuales, preguntas de seguridad, direcciones IP, nombres de usuario y/o actividad en la web.

Una última filtración reveló correspondencia personal de su CEO Noel Biderman, que le comprometía en planos legales y morales.

Oficina de gestión de personal del gobierno de Estados Unidos

Los datos de 25,7 millones de trabajadores públicos de Estados Unidos fueron expuestos en un ataque sin precedentes contra el gobierno. Fueron dos ataques los que tuvieron lugar: uno en abril con 4,2 millones de registros publicados y otro en junio con 21,5.

Este ataque es quizá el más delicado y sensible de cuantos se han llevado a cabo, porque supone un grave problema que va más allá de la intimidad de las personas de quienes cuyos datos han sido publicados, sino que se trata también de un asunto de seguridad nacional. Entre esos trabajadores se encuentran altos funcionarios y miembros de las diferentes fuerzas de seguridad de Estados Unidos. La procedencia del ataque no está concretada pero se cree que tiene origen en China.

La información filtrada del personal gubernamental contenía nombres y direcciones, números de la Seguridad Social, investigaciones de antecedentes de los funcionarios, información de seguridad y registros médicos.

Adult Friend Finder

Otro de los ataques estrella de este 2015 ha sido el sufrido por la web de contactos para adultos con clara orientación sexual, Adult Friend Finder. En mayo casi cuatro millones de registros de usuarios fueron volcados en Internet entre los que se encontraban distintos datos personales de ellos.

A este lado del Atlántico no fue particularmente llamativa esta fuga de datos en cuanto al impacto social, pero llama la atención por el tipo de web al que se ha dirigido. Aunque menor que Ashley Madison, también levantó una tormenta de moralina en Norteamérica.

Los datos comprometidos comprenden tienen que ver con datos de usuario así como con diferentes detalles pertenecientes a la intimidad de estos: nombres de usuario, fechas de nacimiento, direcciones de correo, género del usuario, localización geográfica, direcciones IP, estado civil, preferencias sexuales e idiomas hablados.

Lizard Squad

Uno de los casos más mediáticos fue el que tuvo como víctima a Lizard Squad. Este colectivo de hackers fue el protagonista de los ataques de denegación de servicio contra el servicio de juego online de Sony y Microsoft, así como también de ataques contra la infraestructura informática de Corea del Norte.

Lizard Squad creó un servicio bajo demanda de ataques DDoS a través del cual cualquiera podía contratar sus servicios para lanzar este tipo de ataques contra la web que desease, dependiendo su precio del daño que se pretendiese infligir.

Este servicio de ataque DDoS bajo pedido fue el que sufrió el ataque dejando al descubierto los datos de 13.000 usuarios que se habían registrado en él. De esta manera se pudieron conocer sus correos electrónicos, contraseñas y nombres de usuario.

LastPass

Irónico se puede considerar el hackeo de LastPass: se supone que uno se registra en un gestor de contraseñas para, además de no tener que recordarlas, estas estén almacenadas de forma segura.

No fue así y en junio un ataque de procedencia desconocida afectaba a unos 7 millones de usuarios de este servicio. Direcciones de correo, contraseñas cifradas y las frases para recordar contraseñas quedaban en manos ajenas.

Por suerte para sus usuarios, se pudo solucionar únicamente cambiando la contraseña maestra porque las que habían sido almacenadas permanecieron a salvo.

Hacking Team

En julio de este año la polémica firma de seguridad Hacking Team sufrió un ataque que expuso 400GB de sus datos online vía torrent. La cuestión es que esta empresa se dedica a vender herramientas de espionaje informático a diferentes agencias gubernamentales y a alguna empresa privada de un buen puñado de estados. No es de extrañar por tanto que se hayan granjeado muchas enemistades.

Entre sus clientes encontramos el Centro Nacional de Inteligencia español, la DEA estadounidense o la empresa petrolera mexicana PEMEX. Los datos comprometidos comprenden direcciones de correo y mensajes, los cuales detallan las diferentes tarifas y beneficios obtenidos de cada uno de ellos.

Planned Parenthood

En España no nos enteramos por los grandes medios de información generalistas del ataque de Planned Parenthood. A nivel cuantitativo se puede considerar anecdótico comparado con otros que han tenido lugar este año: 333 personas han sido las afectadas.

Es importante socialmente hablando porque tras el ataque contra esta entidad dedicada a la medicina reproductiva, se piensa que pueden haber grupos antiabortista tras la publicación de vídeos en los que se acusaba a esta organización de vender fetos.

Los hackers también habrían podido obtener información de mujeres que recurrieron a los servicios de Planned Parenthood pero hasta la fecha no la han publicado.

Kaspersky Lab

La firma de seguridad Kaspersky Lab también ha sufrido en sus carnes el ataque de ciberdelincuentes. Fue en junio y  fue bautizado como Duqu 2.0 y la empresa dice tener motivos más que suficientes para sospechar que el ataque fue patrocinado por un país.

Entre la información comprometida Kaspersky dice que se encuentra información sobre nuevas tecnologías e investigaciones de la organización, su sistema de prevención de fraudes o las soluciones Anti-APT entre otras cosas.

Ku Klux Klan

Uno de los casos más destacados ha tenido lugar hace unos días, a finales del mes de octubre. Un grupo que dice ser Anonymous y que ha firmado la acción como Operation KKK dice haberse hecho con datos que revelarían la identidad de 1.000 miembros de la organización ultraderechista.

La expectación en torno a este caso es grande puesto que los autores del ataque afirman que entre las identidades a las que han tenido acceso se encuentran importantes figuras de la política estadounidense. El próximo 5 de noviembre hay anunciada una acción coordinada llamada HoodsOff (capuchas fuera) que podría desvelar el nombre de esas 1.000 personas.

De todas maneras podemos ir haciendo boca con este asunto gracias a Amped Attacks, un hacker que afirma tener acceso a esos nombres y ha empezado a difundir algunos nombres entre los que se encuentran senadores y alcaldes de ciudades importantes del sudeste de Estados Unidos como Knoxville o Lexington.

Cajeros automáticos

La red de cajeros automáticos de unos 100 bancos de todo el mundo sufrieron en febrero un ataque tal y como informó Kaspersky. Los intrusos habrían penetrado en los sistemas de seguridad mediante técnicas de phishing para conseguir el acceso a recursos claves como datos de empleados, credenciales de cuentas y otros privilegios de acceso.

Lo habrían conseguido a través de un software de tipo APT llamado Carbanak y habrían conseguido robar una cantidad entre los 500 y los 1.000 millones de dólares. No sólo procedentes de bancos, también de miles de clientes privados de estos.

T-Mobile / Experian

El operador de telecomunicaciones alemán T-Mobile también ha sido víctima de un ataque. Fue a principios del mes de octubre y a través de los servidores de Experian, una empresa irlandesa dedicada a prestar servicios de marketing, crédito y análisis de consumo a otras grandes corporaciones.

Han sido 15 millones de clientes en Estados Unidos los que han quedado expuestos tras la intrusión, siendo sus nombres, direcciones y números de la Seguridad Social los comprometidos.

Uber

Éste es otro caso que no llama la atención por el volumen de información sino por quien ha sido el objetivo y las informaciones que han ido apareciendo más tarde. La polémica empresa de transporte de pasajeros veía como la identificación de 50.000 de sus conductores así como las matrículas de sus coches salía a la luz.

Lo interesante del asunto es que podríamos no estar ante un ataque de hackers al uso, sino más bien ante un posible caso de sabotaje industrial y competencia desleal ya que fuentes desde dentro de esta empresa apuntan a la responsabilidad de su competidor Lyft.

TalkTalk

Uno de los últimos ataques masivos del que hemos tenido noticias es el de TalkTalk, un servicio del Reino Unido que provee televisión de pago, red móvil e Internet. El ataque ha llevado a exponer los datos personales y financieros de más de 4 millones de sus clientes.

Este ha sido uno de los casos en los que los responsables han sido atrapados rápidamente, siendo particularmente llamativo que de los tres detenidos que hay hasta la fecha dos de ellos sean menores de edad: 15 y 16 años (el tercero tiene 27).

Sin embargo estas detenciones parecen no haber sido suficientes para abortar su plan puesto que circulan noticias apuntando a que los datos robados se estarían vendiendo.

Universidad de Harvard

El sector educativo, aunque en menor medida que los demás, también ha sido objetivo de la ciberdelincuencia, sobre todo en Estados Unidos. El caso más destacado ha sido el de la Universidad de Harvard por la reputación de esta institución aunque no se tiene muy claro qué tipo de información han podido obtener los intrusos.

De todas maneras ésta no fue la única universidad golpeada ya que la también norteamericana Penn State ha sido víctima de estos ataques así como otros centros educativos y sus aparatos administrativos.

Estos son sólo unos pocos de los casos que han acontecido en estos 10 meses que llevamos de año... como decíamos al principio son más de 600 de los que se tienen noticia y nos dejamos muchos en el tintero: Vodafone, Scottrade, Morgan Stanley, Patreon... La lista sigue, sigue y sigue, y además no parece que vaya a dejar de crecer de aquí al 31 de diciembre.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?