Siguiendo el hilo del anterior artículo “En un mes cualquiera”, https://ciberseguridadtotal.com/en-un-mes-cualquiera/, no está de más pararnos un segundo y tratar de echar un vistazo alrededor para ver cómo están las cosas ahora mismo.
Porque además como comentamos entonces, los medios de comunicación generalistas suelen obviar todo lo relacionado al ámbito de ciberseguridad, de modo que es posible que aunque nadie lo dé bombo y platillo, en este momento, mientras lees esta parrafada tranquilamente, otra persona con malas intenciones, trate de hacerte daño, y para ello dispondrá de un simple pero eficaz csv con datos personales tuyos de distinta índole, como DNI, nombre y apellidos, dirección, número de teléfono, e-mail e incluso detalles curiosos como el número de mascotas que tienes en casa.
Recientemente hablamos por ejemplo de las 533 millones de cuentas de Facebook (10 millones sólo en España) que deambulaban por la red: https://ciberseguridadtotal.com/se-filtran-los-datos-personales-de-533-millones-de-personas-en-facebook/, también de cómo tratar de detectar si nuestros datos andan sueltos por ahí con herramientas como Have i been pwned?: https://haveibeenpwned.com/
Pero el problema es que lo anterior no es una rara avis, sino todo lo contrario, cada mes podemos encontrar filtraciones, robos de datos, incidencias, ataques de ransomware, como para poner los pelos de punta, y ya no se trata de que sea nuestra empresa la afectada, hablamos también de que nosotros como personas, nos encontremos en medio de todo esto.
De modo que sin comerlo ni beberlo, es posible que por haber viajado con una compañía aérea que ha sufrido una brecha de seguridad, nuestra información personal esté bailando bien ordenadita en un csv en la red, o que por un fallo de Facebook cualquiera pueda acceder a nuestro perfil, o que un ataque a una compañía de comida de animales, revele que tenemos mascotas en casa, o que por el mero hecho de que la empresa donde trabajamos haya tenido un problema de seguridad, nuestros datos bancarios y de nómina sean públicos, y así una tras otra… Y el problema es que no hay compañía que se salve, y entre tanto nuestros datos están cada día más expuestos en diferentes nubes, que sin duda NO se han demostrado inexpugnables ante ataques externos.
Y sin liarnos más, vamos al lío con algunos de los frentes de actualidad más destacados:
Phonehouse:
Resumiendo el caso, Phonehouse: https://www.phonehouse.es recibió un ataque con el ransomware Babuk, hace aproximadamente 1 semana, los responsables del ransomware anunciaron en la dark web el éxito del ataque y mostraron pruebas de ello. A partir de ahí, solicitaron a Phonehouse un rescate a la compañía, que no cayó en el chantaje, y denunció el caso a los organismos pertinentes.
Consecuencias inmediatas para Phonehouse, la reputación de la empresa, el caos en su negocio por el daño de tener sus sistemas informáticos encriptados por el ransomware, y las explicaciones a la Agencia Española de Protección de Datos (AEPD).
Consecuencias para los clientes de la compañía, al no ceder al chantaje, los atacantes terminaron publicando los datos secuestrados, primero sacaron a la luz una hoja excel con los datos de 1 millón de clientes, o lo que es lo mismo, un csv de casi 6 GB con datos personales. Pero es que además poco después terminaron publicando 100 GB de datos más, distribuidos en 10 bases de datos oracle, con la información de más de 13 millones de personas, clientes de Phonehouse. Entre estos datos hay nombres, apellidos, DNI, IMEI del telefono, dirección, ciudades, números de teléfono móvil y fijo, etc.
QNAP:
Este caso merece especial atención, por cómo ha sido concebido el ataque, donde el usuario final termina siendo directamente el protagonista.
Resumiendo, QNAP https://www.qnap.com/ es una reputada empresa que entre otras cosas fabrica dispositivos NAS de distinto tipo, además de la rama más profesional, posee equipos para almacenaje de datos orientados al hogar.
En todo caso, la situación es la siguiente, desde el pasado día 19, propietarios de este tipo de dispositivos han encontrado al encender sus equipos un mensaje del tipo “Todos tus archivos han sido cifrados”, así como una cuenta de Bitcoin dónde transferir 500€ si quieren recuperar la información: https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/.
A parecer el origen de este suceso, es una serie de vulnerabilidades en los equipos QNAP, a través de las cuales los atacantes han podido acceder a la información de estos equipos personales, y han terminado cifrándola con el ransomware Qlocker.
Quanta:
Quanta es una enorme compañía taiwanesa, incluida en Fortune 500, y dedicada especialmente a la fabricación de equipos portátiles, entre ellos los de la marca Apple, Dell, Lenovo, Microsoft o HP.
La historia es la de siempre, un grupo de ciberdelincuentes, REVil, ha conseguido poner en jaque a la empresa a través de un ransomware, y se habla que solicita un rescate de 50 millones de dólares: https://www.bleepingcomputer.com/news/security/revil-gang-tries-to-extort-apple-threatens-to-sell-stolen-blueprints/
En este caso no sólo se trata sólo de un chantaje con la información personal de clientes y empleados de la empresa, REVil publicó filtró algunos planos y diseños secretos de los nuevos dispositivos de Apple para presionar aún más En este caso además se da un condicionante geopolítico, la conexión de REVil con el gobierno ruso, y el daño a empresas estadounidenses de manera indirecta en el ataque.
Apple:
Este mes no ha sido del todo bueno para Apple, al problema anterior relacionado a su socio Quanta, se suma una vulnerabilidad en AirDrop, detectada por investigadores del Technische Universitat Darmstadt alemán: https://www.informatik.tu-darmstadt.de/fb20/ueber_uns_details_231616.en.jsp
AirDrop se utiliza para compartir y recibir de un modo muy sencillo fotos y documentos entre dispositivos de Apple. Conociendo el nº de teléfono o e-mail de otra persona registrada en AirDrop, es muy sencillo intercambiar información a través de este medio.
El problema de seguridad al parecer se encuentra en la opción “sólo contactos” de AirDrop, para que la aplicación compruebe que la otra persona está en la agenda, se referencia al número de teléfono y e-mail, y esta información aunque encriptada es relativamente fácil de descifrar por fuerza bruta. Lo peor de todo, es que se habla que es posible que Apple conociera el problema desde el año 2019, y no hiciese nada por resolverlo.
Tik tok:
Desgraciadamente la multitudinaria red social orientada videos Tik Tok: https://www.tiktok.com/, es asidua a salir a la palestra por un uso sucio de los datos privados recopilados en la plataforma.
Hace un par de años se enfrentaron a una multa millonaria de la Comisión Federal de Comercio de los EEUU, por violar la ley de privacidad de los niños, y ahora es Anna Longfield, la antigua comisaria para la infancia en el Reino Unido, la que ha demandado a la compañía por incumplir la normativa europea de protección de datos.
La demanda trata de representar a más de 3,5 millones de personas menores de 13 años, cuyos datos personales fueron recopilados por Tik tok de manera ilegal, tal y como se refleja en la nueva GDPR de la Unión Europea.
Anna Longfield: https://www.dailymail.co.uk/news/article-9494619/Former-childrens-commissioner-launches-billion-pound-legal-battle-against-TikTok.html, destacada en general además, el abusivo y opaco uso de datos personales por parte de la plataforma china, que recopila gustos, intereses, hábitos, geolocalizaciones… y otra información personal, bastante alejada de la funcionalidad básica de compartición de videos.
Universidad de Castilla la Mancha:
La UCLM: https://www.uclm.es/ sufrió un ataque ransomware el pasado día 19: https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad/uclm-ha-sido-victima-del-ransomware-ryuk.
En concreto el ransomware en cuestión Kyuk, fue el que afectó recientemente al SEPE, y fue dirigido a la infraestructura crítica de la institución.
Por poner de relieve la dificultad de reponerse de un golpe así, se prevé que hoy 27 de abril, 8 días después del ataque, puedan recuperar la totalidad de sistemas y volver a cierta normalidad. Seguramente han sido 8 días infernales para las personas que han trabajado sin descanso en la recuperación de los sistemas.
SEPE:
Hablar del ransomware Ryuk en el punto anterior, da lugar a mencionar al ataque recibido el pasado mes de marzo por el SEPE, el Servicio de Empleo Público del estado español.
El ataque seguramente vino a través del típico correo de phishing, y el daño fue más que considerable. Más de 2 semanas tardaron en recuperar cierta normalidad en los servicios, y lo más importante, se produjo un retraso considerable en el abono de prestaciones: https://www.xataka.com/empresas-y-economia/sepe-empieza-a-recuperarse-dos-semanas-despues-como-ha-afectado-ciberataque-que-retrasos-se-esperan-prestaciones
Tal fue la magnitud e impacto, que se requirió la ayuda del CNN-CERT (Centro Criptológico Nacional) para adoptar las medidas necesarias para la recuperación de los sistemas.
INE, Ministerios de Justicia, Economía y Educación:
El pasado día 23, un ciberataque tumbó los portales web del INE (Instituto Nacional de Estadística) y varios Ministerios de España. El primero de los casos, estuvo caído más de 12 horas.
El CNN-Cert se hizo cargo de la situación de estos ataques, que tenían como objetivo principal la Sede electrónica y Red SARA.
Ubiquiti:
Ubiquiti: https://www.ui.com/ es una empresa orientada a dispositivos de Red e IoT, que recientemente detectó el acceso no autorizado a sus sistemas, alojados en Amazon AWS.
Inicialmente se informó de un acceso indebido a la información de los clientes de Ubiquiti (nombres, direcciones de correo, hashes de contraseñas, números de teléfono…), y la empresa obligó a sus clientes a cambiar sus contraseñas de acceso y habilitar la autenticación de doble factor.
Sin embargo, el experto en seguridad Brian Krebs: https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/, da a entender que el problema ha sido muchísimo peor de lo que la compañía ha contado oficialmente, todo ello orientado a proteger el valor de las acciones de la empresa.
Es más que posible que la brecha de seguridad, haya permitido a los atacantes, el acceso remoto a más de 85 millones de dispositivos Ubiquiti repartidos a clientes de todo el mundo.
