Home > Blog > Informe de (in)Seguridad: Especialista en SI que cambia de equipo, robo de datos biométricos por contratistas agraviados y pirateo de plataforma de firma electrónica

Informe de (in)Seguridad: Especialista en SI que cambia de equipo, robo de datos biométricos por contratistas agraviados y pirateo de plataforma de firma electrónica

06.06.2024

Volver

Hemos elaborado un resumen mensual con los incidentes de seguridad de la información más destacados del mes de mayo. Este número incluye detalles sobre empleados y contratistas vengativos, filtraciones en las mayores empresas del mundo y vulnerabilidades sin parches.

¡Yo no me registré a esto!

Qué ocurrió: La plataforma de firma electrónica Dropbox Sign fue víctima de un ciberataque.

Cómo ocurrió: atacantes desconocidos consiguieron comprometer la cuenta del servicio Dropbox Sign y utilizarla para obtener acceso a la herramienta de configuración del sistema automatizado interno de la plataforma.

De esta forma, los hackers lograron robar datos de los clientes, entre ellos

  • Nombre completo
  • Direcciones de correo electrónico
  • Contraseñas (en formato hash).
  • Claves API y tokens de autenticación OAuth.

En respuesta al incidente, los expertos de la empresa comenzaron a trabajar en la mitigación de las consecuencias del incidente, restablecieron las contraseñas de los usuarios, notificaron a los clientes de la filtración y cerraron todas las sesiones. Además, se rotaron las claves API y los tokens OAuth.

Cabe señalar que, al disponer de un conjunto de datos de este tipo, los actores maliciosos podrían haber accedido a los documentos de los clientes. Sin embargo, los representantes de Dropbox afirmaron que no había confirmación de ello.

La mejor defensa es el ataque

Qué ocurrió: un especialista en SI chantajeó a su antiguo empleador con datos robados.

Cómo ocurrió: de mayo de 2022 a junio de 2023, Vincent Cannady trabajó como pentester para una empresa internacional de TI, pero fue despedido por bajo desempeño. Tras el despido, Vincent debía devolver todos los dispositivos y datos corporativos, y recibir dos semanas de salario como indemnización.

Sin embargo, la indemnización le pareció insuficiente. Así que utilizó su portátil corporativo para descargar información confidencial de la empresa, incluidas listas de posibles vulnerabilidades, a su almacenamiento personal en la nube y utilizó esos datos para chantajear a su antiguo empleador. 

Vincent exigió inicialmente una suma equivalente a su salario de cinco años, pero más tarde la exigencia aumentó a 1,5 millones de dólares. En sus amenazas, el ex pentester señaló que, si no recibía la cantidad deseada como compensación por el estrés, divulgaría datos confidenciales. 

El ex empleador de Cannady no solo no pagó el chantaje, además presentó una demanda penal contra el ex empleado. Finalmente, el atacante fue acusado de extorsión en virtud de la Ley Hobbs, con una pena máxima de 20 años de prisión.

Acariciar un nervio

Qué ocurrió: Los datos de 49 millones de clientes de Dell supuestamente quedaron expuestos.

Cómo ocurrió: el mayor fabricante de equipos informáticos del mundo confirmó la filtración y comenzó a enviar notificaciones a las víctimas. Los responsables de la empresa afirmaron que el portal que contenía información sobre los clientes y sus compras fue accedido por personas no autorizadas.

Los datos filtrados incluían información sobre equipos y pedidos y datos personales:

  • Descripciones de productos
  • Números de serie
  • Fechas de pedidos
  • Llamadas al servicio técnico
  • Información sobre la garantía
  • Nombre y apellidos
  • Dirección física

Los responsables de la empresa informaron que estaban trabajando con la justicia y un perito externo de Seguridad de la Información.

Cabe destacar que un atacante bajo el seudónimo de Menelik había intentado anteriormente vender una base de datos con información similar en un foro de hackers. Según la afirmación del hacker, él robó los datos de Dell sobre compras realizadas entre 2017 y 2024.

Poco después de publicarlo, desapareció del acceso público. Esto podría ser un indicio de que el hacker ya habría encontrado un comprador.

No fueron tan buenas noticias...

Qué ocurrió: se filtraron datos sobre usuarios y empleados de dos importantes medios de comunicación extranjeros.

Cómo ocurrió: El 3 de mayo, atacantes desconocidos lograron alterar el contenido de los sitios web de The Post Millennial y Human Events, dos grandes medios sociales y políticos propiedad de Human Events Media Group.

Las páginas fueron reemplazadas por una publicación falsa con una declaración comprometedora, supuestamente escrita en nombre del editor jefe del portal. Los piratas informáticos también agregaron enlaces a los datos robados de los usuarios y empleados de los medios. Los datos incluían detalles de:

  • Nombres y apellidos
  • Direcciones de correo electrónico
  • contraseñas
  • Nombres de usuario
  • Números de teléfono
  • Direcciones físicas e IP.

La autenticidad de los datos no fue confirmada, pero sabe que fue una gran cantidad (se filtraron datos de aproximadamente 26 millones de personas), que rápidamente aparecieron en un foro de hackers y en el servicio Have I Been Pwned.

Los representantes de las empresas afectadas no se pronunciaron sobre el incidente.

Si no te pagan, roba datos biométricos 

Qué ocurrió: ex desarrolladores robaron los datos de la firma soluciones biométricas de reconocimiento facial donde trabajaban.

Cómo ocurrió: a principios de mayo, apareció en línea el sitio web Have I Been Outaboxed. Sus propietarios afirmaron ser ex desarrolladores de la empresa de tecnología Outabox, que no estaban conformes con su empleador.

Para llamar la atención sobre el problema, el grupo desconocido robó más de 1 millón de registros (incluidos datos biométricos, escaneos de permisos de conducir, firmas personales, etc.) y creó el ya mencionado Have I Been Outaboxed. Afirmaron que no fue difícil porque la empresa no protegió los datos y los mantuvo en una hoja de cálculo normal y sin protección.

El sitio existió por un corto tiempo y permitió a los visitantes averiguar si sus datos estaban en la base de datos robada de Outaboxed ingresando su nombre en el sitio web. Vale la pena señalar que los datos personales, obtenidos de las cámaras inteligentes que la compañía estaba a cargo de las personas que visitaban bares y clubes en Nueva Gales del Sur, se mantenían en la base de datos.

Los representantes de la empresa dijeron que "tienen conocimiento de un sitio web malicioso que contiene una serie de declaraciones falsas diseñadas para dañar nuestro negocio y difamar a nuestro personal superior". Las autoridades de la policía australiana también estaban al tanto del sitio. Rápidamente anunciaron el arresto del hombre de 46 años presuntamente detrás de la filtración. Fue acusado de chantaje, aunque el sitio era puramente de denuncia de irregularidades y las demandas de rescate no se publicaron en el dominio público.

¿Sólo entre usted y yo?

Qué ocurrió: una empresa de telemedicina pagará 7,8 millones de dólares por transferencia indebida de datos personales.

Cómo ocurrió: a Comisión Federal de Comercio de Estados Unidos (FTC) realizó una investigación sobre BetterHelp, un servicio en línea que brinda servicios de telemedicina: terapias en línea y asesoramiento psicológico. La investigación reveló que el servicio recopilaba datos de los usuarios sin su consentimiento. El conjunto de datos recopilados ilícitamente incluía:

  • Direcciones de correo electrónico
  • Direcciones IP
  • Respuestas a un cuestionario médico preliminar.

 Esta información se compartió con Facebook, Snapchat, Criteo y Pinterest para publicidad contextual.

Se llevó a cabo un juicio al respecto, como resultado, BetterHelp acordó pagar la indemnización a las partes afectadas. La empresa pronto comenzará a enviar cartas a casi 800.000 usuarios y les pagará en total 7,8 millones de dólares.

Parche de conflicto

Qué ocurrió: el Departamento de Educación de Helsinki fue pirateado

Cómo ocurrió: un atacante desconocido accedió a la unidad de red del departamento de educación tras aprovechar una vulnerabilidad en el servidor de acceso remoto. Representantes del gobierno local señalaron que existía un parche para solucionar la vulnerabilidad, pero que no se había descargado.

La unidad comprometida contenía decenas de millones de archivos, incluidos datos personales y otros datos sensibles, como 

  • Nombres de usuario
  • Direcciones de correo electrónico
  • Identificaciones personales 
  • Direcciones físicas. 
  • Salarios
  • Información y situación educativa de los hijos
  • Solicitudes a la Seguridad Social
  • Certificados médicos, etc.

Los representantes del gobierno local expresaron su preocupación por el incidente y afirmaron que se tomaron las medidas necesarias para abordar el incidente. También dijeron que "la violación de datos afecta a más de 80.000 estudiantes y sus tutores".

Consejo de seguridad del mes: ¡No espere a que un contratista o empleado sin escrúpulos, que planea renunciar, filtre los datos biométricos de sus clientes! Analice la actividad del usuario en tiempo real con la ayuda de la solución DCAP y evite fugas con DLP. Puede solicitar una prueba gratuita de 30 días de las soluciones.

Pruebe ahora


Datos personales Fraude Documentos confidenciales

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.
© 2025 SearchInform LTD
Todos los derechos reservados.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario y para mejorar el rendimiento. Si continúa navegando, está dando su consentimiento para la aceptación de nuestra política de cookies, siga el enlace para mayor información.
OK
POLÍTICA DE COOKIES