Corey Nachreiner, director de Seguridad del proveedor de seguridad unificada WatchGuard Technologies, realizó un análisis de los ciberataques más importantes del año pasado en el mundo buscando generar una reflexión sobre cómo sucedieron, para evitar que se repitan. Las filtraciones de datos siguen siendo una amenaza persistente para las grandes empresas y los organismos públicos, acotó, y generan tanto consecuencias económicas como graves repercusiones reputacionales y legales, poniendo en riesgo la estabilidad de las empresas.
La no aplicación de principios básicos de ciberseguridad, añadió Nachreiner, como la protección de accesos o la gestión de vulnerabilidades, sigue estando detrás de muchas de estas brechas que aprovechan los criminales para atacar. A medida que evolucionan las tecnologías y las tácticas, la única forma de mitigar los riesgos y reducir el impacto de estos incidentes es asegurarse de que se sientan unas bases de ciberseguridad sólidas.
El especialista de WatchGuard Technologies destacó que se observaron patrones comunes en los ataques, como el uso recurrente de ransomware para extorsionar la explotación de vulnerabilidades en la cadena de suministro de software y tácticas de ingeniería social como el phishing y los ataques de fatiga. Además, hubo brechas relacionadas con el acceso indebido a datos en servicios de almacenamiento en la nube y plataformas críticas.
«La adopción de un enfoque integral de ciberseguridad es crucial para hacer frente a estas amenazas», remarcó luego de explicar que se necesita combina herramientas avanzadas con una estrategia centrada en la prevención, la supervisión continua y la capacidad de respuesta rápida. Priorizar estas medidas, dijo, no solo reducen los riesgos, sino que también refuerzan su resiliencia en un entorno cada vez más complejo.
Entre los ciberataques con más repercusión del 2024, según Corey Nachreiner, están:
- Secuestro de tráfico en Orange España: a principios de año, Orange España sufrió un ataque de secuestro de tráfico BGP (Border Gateway Protocol), en el que los ciberdelincuentes redirigieron parte del tráfico de Internet de los clientes a servidores no autorizados. Este incidente provocó una importante interrupción del servicio.
- El ransomware del Hospital Infantil: el grupo de ransomware Rhysida atacó el Hospital Infantil Lurie de Chicago, robando 600 GB de datos confidenciales, incluidos datos de pacientes, y exigiendo un rescate de 60 bitcoins, equivalentes a unos US$6 millones en ese momento. Los servicios médicos se vieron interrumpidos.
- Suplantación de identidad a gran escala de usuarios de Apple: en marzo, una sofisticada campaña de phishing se dirigió a los propietarios de dispositivos Apple. Los hackers emplearon un ataque de fatiga MFA, bombardeando a los usuarios con solicitudes falsas de restablecimiento de contraseña para abrumarlos y confundirlos y obtener acceso. También se hicieron pasar por el servicio técnico de Apple con llamadas fraudulentas, presionando a las víctimas para que revelaran información sensible.
- Backdoor en XZ Utils: en marzo de 2024, se descubrió una puerta trasera en las versiones 5.6.0 y 5.6.1 de XZ Utils, una herramienta de compresión de datos ampliamente utilizada en sistemas Linux. Esta vulnerabilidad permitía a actores maliciosos armados con una clave privada específica obtener acceso remoto no autorizado a los sistemas afectados. El incidente subraya la importancia de la seguridad de la cadena de suministro de software y la necesidad de verificar la integridad de las actualizaciones antes de su despliegue.
- Actividad de fuerza bruta a gran escala dirigida a VPN y servicios SSH con credenciales de inicio de sesión de uso común: una campaña de un año de duración se hizo más prominente en abril, cuando Cisco Talos supervisó activamente un aumento global de los ataques de fuerza bruta contra una variedad de objetivos, incluidos los servicios de redes privadas virtuales (VPN). Los intentos de fuerza bruta utilizan nombres de usuario genéricos y nombres de usuario válidos para organizaciones específicas. El objetivo de estos ataques parece ser indiscriminado y no dirigido a una región o industria en particular.
- Empleados vulnerables en la BBC: en mayo, la BBC informó de que los ciberdelincuentes violaron su servicio de almacenamiento en la nube, accediendo a los datos del plan de pensiones de más de 25,000 empleados. Aunque se expuso información personal, no se comprometieron datos financieros ni contraseñas. La causa del incidente sigue bajo investigación.
- Graves consecuencias para la reputación de la FBCS: en junio, la agencia estadounidense de cobro de deudas FBCS notificó una importante filtración de datos que expuso información muy sensible, como nombres, números de la Seguridad Social o documentos de identidad de más de 3 millones de personas. El retraso en notificar la amenaza generó críticas y sembró dudas sobre los protocolos de seguridad de la agencia.
- Ciberataque a Transport for London (TfL): en setiembre de 2024, TfL sufrió un ciberataque que afectó a servicios clave como los pagos contactless y las tarjetas Oyster. Sin embargo, el impacto en los autobuses y los servicios ferroviarios del metro fue limitado. Los datos de 5,000 personas, incluida información bancaria, se vieron comprometidos. El incidente costó a TfL cinco millones de libras en respuesta y medidas de seguridad. Posteriormente, un joven de 17 años fue detenido en relación con el incidente.
- Ransomware en Casio: en octubre de 2024, Casio fue víctima de un ataque de ransomware por parte del grupo cibercriminal Underground. El ataque robó datos personales pertenecientes a empleados, candidatos y clientes, incluyendo detalles financieros y documentos legales. Aunque algunos servicios se vieron interrumpidos, la empresa aseguró que no se expuso ninguna información de pago.
- Ransomware en la HACLA: en noviembre de 2024, el grupo de ransomware Cactus hackeó la Autoridad de Vivienda de Los Ángeles (HACLA), robando 891 GB de datos, incluidos documentos financieros, copias de seguridad y datos personales de clientes y empleados. Este incidente expuso una gran cantidad de información confidencial, aumentando la preocupación por la seguridad del sector público.
- Ataque a Finastra: en noviembre de 2024, Finastra, un gigante de la tecnología financiera, sufrió una brecha en su plataforma de transferencia de archivos (SFTP). Un actor maligno utilizó credenciales comprometidas para acceder y robar 400 GB de datos, que luego se vendieron en foros de la dark web. La empresa aisló el sistema afectado y sigue investigando el incidente.
Sepa más: El Día del Internet Seguro es una jornada conmemorativa que se celebra el segundo martes de febrero desde 2004. Fue establecido por la Comisión Europea.
