Resumen de (in)seguridad: Hackeo de Amazon, violación de datos personales de agentes de policía de Irlanda del Norte y pseudo piratas informáticos
12.09.2023
VolverEn nuestro tradicional resumen de (in) seguridad, traemos noticias sobre filtraciones de información en el mes de agosto. La cantidad de incidentes que involucran hechos de divulgación de información confidencial es mucha. En Australia, funcionarios revelaron sin darse cuenta los datos de los participantes en una encuesta de ciberseguridad; en Irlanda del Norte, se revelaron datos personales de todos los agentes de policía, y en India, una vez más se sorprendió a un empleado revelando datos.
Un autobús escolar para un hacker
¿Qué sucedió?: Delincuentes robaron más de 6 millones de dólares pertenecientes a las escuelas de New Haven al piratear el correo electrónico de un ejecutivo del sistema escolar.
¿Cómo ocurrió?: al igual que muchos ataques BEC clásicos (Business Email Compromise, también conocido como estafa del CEO), comenzó con el ataque a una cuenta de correo electrónico legítima. Thomas Lamb, director de operaciones del sistema de escuelas públicas de New Haven, fue víctima del ataque. Lamb era el objetivo "perfecto" para los ciberdelincuentes porque era responsable de preparar el informe del presupuesto de pagos y presentarlo al departamento de finanzas de la ciudad para su aprobación final. Tras obtener el acceso a su cuenta de correo electrónico, los atacantes lograron monitorear, la correspondencia con proveedores que brindaban diversos servicios al sistema escolar entre mayo y junio. Antes de ser descubiertos, los ciberdelincuentes lograron infiltrarse con éxito en los intercambios de correo electrónico seis veces y, haciéndose pasar por Lamb y por los contratistas, realizaban transferencias a sus propias cuentas bancarias. Dos pagos de los 76.000 dólares robados correspondían al bufete de abogados Shipman & Goodwin, mientras que los otros cuatro, por un valor mayor a 5,9 millones de dólares, correspondían a pagos a First Student, un contratista que presta servicios de mantenimiento a autobuses escolares. Los funcionarios escolares descubrieron el robo recién el 23 de junio, después de que First Student preguntara por qué no había recibido las cantidades que se le debían. Hasta el momento se han podido recuperar 3,6 millones de dólares del dinero robado y esperan que el seguro cubra parte de la pérdida.
Durante las auditorías financieras y de seguridad de la información, la alcaldía destituyó a un empleado del departamento de finanzas y suspendió todos los pagos electrónicos al sistema escolar, excepto las transferencias de salario. Esta última medida permitió evitar una séptima transacción fraudulenta a principios de julio.
Oficiales de la Policía, sin protección
¿Qué pasó?: Los datos personales de todos los agentes y empleados civiles del Servicio de Policía de Irlanda del Norte se publicaron accidentalmente.
¿Cómo ocurrió?: al responder a una solicitud de información pública, se divulgó por error un expediente que contenía datos personales de todos los empleados actuales del Servicio de Policía de Irlanda del Norte (unas 10.000 personas): nombre e iniciales, rango, ubicación y unidad, incluidos datos confidenciales como vigilancia y recopilación de datos de inteligencia.
El 3 de agosto, la policía recibió una solicitud de un ciudadano que preguntaba: “¿Podría darme el número de agentes en cada rango y el número de empleados en cada puesto?” Por descuido, al enviar la respuesta al ciudadano, en lugar de brindar datos resumidos, enviaron una hoja de cálculo con el listado completo de datos de todos los agentes del departamento de seguridad pública. Cinco días después de enviar la respuesta, toda la información, así como la hoja de cálculo, fueron publicadas con libre acceso al público, en el sitio web What Do They Know, especializado en difundir información proporcionada en respuesta a las solicitudes de los ciudadanos. El documento estuvo en línea durante 2 horas y media en total; una hora y media después de su publicación, se informó del error al subjefe del servicio de policía y se tardó otra hora en borrar todo el archivo.
"No fui yo, fueron los hackers".
¿Qué pasó?: Una administradora municipal canadiense intentó encubrir el robo de más de 500.000 dólares con un ciberataque ficticio y documentos falsos.
¿Cómo sucedió?: Amber Fisher había trabajado para el municipio de Gilbert Plains, Manitoba, desde 2018, primero como administradora principal y luego como administradora en jefe. Entre septiembre de 2020 y junio de 2021, realizó 33 transferencias desde la cuenta bancaria del municipio a su cuenta personal, por un total de más de 500.000 dólares canadienses. El incidente se descubrió en el verano de 2021 después de que la cooperativa de crédito notificara a la ciudad sobre una transferencia de una suma significativa a una cuenta registrada a nombre de Fisher. Posteriormente, la empleada fue suspendida de sus funciones.
Sin embargo, Fisher dijo haber sido víctima de un ciberataque, afirmó que el asunto ya estaba siendo investigado y, una semana después de su suspensión, regresó a su lugar de trabajo. Los auditores de la ciudad le pidieron varias veces sus extractos bancarios a finales de 2021 y en enero decidieron acudir directamente a la cooperativa de crédito. Fisher no proporcionó los extractos hasta marzo de 2022, pero más tarde se descubrió que sus versiones de los documentos diferían de los originales, lo que significa que probablemente eran falsos.
La empleada presentó un borrador del informe de auditoría sobre sospecha de fraude, cuya conclusión era que ella no estaba involucrada. Pero los auditores tenían dudas sobre la autoría del documento. Cuando los auditores compartieron sus sospechas con los administradores municipales, el empleado fue suspendido nuevamente.
Se llamó a una empresa de contabilidad externa para realizar una nueva auditoría y descubrió que la empleada había transferido $532,000 a su cuenta personal y también se había pagado $15,000 por 280 horas extras. El municipio de Gilbert Plains no emprendió acciones legales contra Fisher hasta un año después, según las cuales sólo le reembolsaron 17.000 dólares y debe otros 515 dólares.
"Tu opinión es muy importante para nosotros (y más allá)"
¿Qué ocurrió?: el gobierno australiano publicó accidentalmente los datos personales de los participantes en una encuesta sobre ciberseguridad.
¿Cómo ocurrió?: El escándalo de la filtración de información está relacionado con el programa Cyber Warden, una iniciativa destinada a mejorar las habilidades de seguridad de la información de las pequeñas empresas. El programa fue iniciado por el Consejo de Organizaciones de Pequeñas Empresas de Australia (COSBOA) y, en la fase preparatoria, encargó una investigación a la empresa especializada en encuestas 89 Degrees East. Entre noviembre y diciembre de 2022, 2.100 personas, propietarios y empleados de pequeñas empresas, participaron en la encuesta online.
Pero la revelación no planificada por parte de algunos participantes de la investigación ocurrió mucho más tarde, unos seis meses después. En mayo, el gobierno australiano asignó 23 millones de dólares australianos al programa Cyberstrategy. El presupuesto fue asignado sin competencia, por lo que el gobierno tuvo que responder las diversas preguntas sobre el programa que comenzó a recibir el primer ministro del país.
El gobierno envió documentos sobre Ciberestrategia en respuesta a las solicitudes recibidas. Sólo después de la publicación de los materiales en el sitio web del parlamento se supo que entre ellos había un informe que contenía datos personales de más de 50 participantes de la investigación: nombres, nombres de empresas y datos de contacto.
Alquilar un coche sin conductor
¿Qué ocurrió?: los delincuentes no sólo robaron 19 coches y sino que también los alquilaban utilizando datos robados.
¿Cómo ocurrió?: Tyrell Oliver, de 38 años, y siete cómplices descubrieron cómo defraudar a un servicio de alquiler de automóviles sin que los descubrieran. En primer lugar, obtuvieron datos robados de tarjetas de crédito, así como información personal de ciudadanos estadounidenses. Luego, Oliver alquiló coches utilizando la información personal de terceros. Pagó a sus cómplices para que recogieran los coches en la oficina de alquiler. El grupo voló a aeropuertos de la costa este y medio oeste de Estados Unidos y, utilizando licencias de conducir y tarjetas de crédito falsos, se apoderaron de los vehículos. Consiguieron robar al menos 19 vehículos, incluidos los SUV BMW X7, GMC Yukon y Chevrolet Suburban, valuados en más de un millón de dólares.
Según el agente especial del FBI encargado de investigar los robos, aunque la víctima directa de los asaltantes era un servicio de alquiler de coches, en un principio las sospechas recayeron en ciudadanos inocentes que reservaron los coches. En julio, se presentaron cargos de fraude electrónico y robo de identidad contra el grupo en el Tribunal de Circuito del Condado de St. Louis en St. Louis, Missouri.
Examen impreso
¿Qué sucedió? Por segunda vez en 10 años, un funcionario indio fue sorprendido filtrando las preguntas de un examen para un cubrir puesto por de servicios civiles.
¿Cómo sucedió?: El 16 de julio, la Comisión de Selección de Personal del estado indio de Odisha llamó a concurso para cubrir el puesto de un ingeniero junior, para conseguirlo, los más de 1000 aspirantes debían rendir un examen.
Horas antes de que comenzara la prueba, la policía arrestó a nueve personas en un hotel del vecino estado de Bengala Occidental. Se los vinculó con la filtración de preguntas del examen y el concurso debió posponerse hasta principios de septiembre. A finales de julio fueron detenidos ocho cómplices más, entre ellos el presunto autor intelectual del plan. Se trataba de Vishal Kumar Chaurasia, de 35 años, oficinista en Patna, capital de Bihar. El esquema fue el siguiente: el grupo obtuvo una copia impresa de las preguntas del examen y la distribuyó a los candidatos a los puestos para los cuales se iba a realizar la prueba. La condición era que si las preguntas del examen coincidían con las proporcionadas por los delincuentes, los examinados debían pagar la mitad del costo del servicio inmediatamente y la otra mitad después de que se anunciaran los resultados.
La policía también arrestó al responsable de la filtración: Virendra Singh, de 53 años, que trabajaba en la imprenta donde se imprimía el material del examen. Se había estado comunicando por teléfono con el líder del grupo durante dos meses y cinco días antes del examen confirmó que podía formular las preguntas. Otros cómplices estuvieron involucrados y se encargaron de distribuir los formularios a los clientes; fueron los distribuidores quienes fueron arrestados poco antes del examen.
Resultó que el organizador de la estafa, Vishal Kumar Chaurasia, fue atrapado por segunda vez en la estafa de fraude de exámenes. Anteriormente, estuvo involucrado en un incidente similar: la filtración de exámenes para la policía realizados por la Comisión Central de Selección de Personal en 2013-2014. Y su principal cómplice, Bijendra Kumar, ya había sido arrestado dos veces por este mismo tipo de fraude, en relación con las filtraciones de Madhya Pradesh en 2013-2014.
"Abriéndose paso" a través de Amazon
¿Qué pasó?: en Telegram se descubrió un canal para vender servicios internos en la plataforma Amazon.
Cómo sucedió: los periodistas de CNBC descubrieron cómo funciona el mercado negro de servicios intermediarios para vendedores en Amazon usando el ejemplo del canal Amazon Magic Telegram. A través de este canal, que cuenta con 13 mil participantes, así como a través de otros grupos en redes sociales y mensajería instantánea, los propietarios de tiendas de terceros pueden sortear los trámites oficiales para solucionar problemas relacionados con el trabajo en el mercado.
Pagando entre 200 y 400 dólares, cualquiera puede solicitar los servicios para restaurar rápidamente una tienda que ha sido desactivada temporalmente por infracciones, eliminar críticas negativas y obtener información sobre la competencia. Por ejemplo, según la lista de precios, por 180 dólares, un propietario podrá obtener una captura de pantalla del perfil de su tienda de Paragon, el sistema interno de Amazon, y, habiendo conocido los motivos del cierre temporal, presentar una apelación.
Los servicios de intermediación tienen una gran demanda debido a que el procedimiento formal de recuperación de una cuenta puede tardar meses, lo que es prohibitivamente largo para una empresa. Según la investigación, los servicios no los prestan los propios empleados de Amazon, sino intermediarios que buscan información privilegiada a través de LinkedIn. El plazo para la prestación de servicios paralelos puede tardar varios días hábiles.
Aunque Amazon dice ser consciente de la existencia de un mercado negro, ya trabaja con Telegram y otros servicios para eliminar los grupos intermediarios, sin embargo, el problema sigue activo desde hace varios años y los insiders rara vez son castigados.
Consejo de ciberseguridad del mes: los ciberdelincuentes y los iniciados "trabajan" sin feriados ni vacaciones, buscando de manera diligente y sistemática agujeros de seguridad tanto en pequeñas como en grandes empresas. ¡Esto significa que la protección contra amenazas internas y externas a la seguridad de la información es una prioridad absoluta para las empresas!