Home > Blog > Informe de (in)seguridad: servidores aniquilados, phishing a la venta y temporada de filtraciones en el verano del hemisferio norte

Informe de (in)seguridad: servidores aniquilados, phishing a la venta y temporada de filtraciones en el verano del hemisferio norte

03.07.2024

Volver

En nuestro resumen de junio repasaremos los mayores incidentes de seguridad de la información, exploraremos incidentes recientes en los que un solo clic ha detenido las operaciones de toda una empresa, cómo los directores de ventas facilitaron a piratas informáticos información de clientes y se filtraron datos de grandes empresas.

Fuga de nieve

Lo que ocurrió: Snowflake, el mayor proveedor de servicios en la nube, fue víctima de un ciberataque.

Cómo ocurrió: Atacantes no identificados atacaron Snowflake y obtuvieron datos sobre los clientes de la empresa. Aún se desconoce el número exacto de víctimas. Sin embargo, se supone que esta filtración podría ser una de las mayores de la historia, ya que gigantes como AT&T, HP, MasterCard, etc. utilizaban los servicios de Snowflake.

En la actualidad, los hackers se aprovechan de los nombres de usuario y contraseñas robados para saltarse la autenticación de múltiples factores, más comúnmente conocida por sus siglas en inglés MFA y acceder a las cuentas en la nube de los clientes. Según los medios de comunicación, al menos 160 cuentas se han visto comprometidas. Ya se han puesto a la venta datos de clientes o empleados de Santander, Ticketmaster y Advance Auto Parts.

En un principio, Snowflake negó el ataque e incluso exigió a la empresa de seguridad informática Hudson Rock que borrara un informe en el que se afirmaba que el proveedor de servicios en la nube había sido víctima de un ciberataque. Sin embargo, la empresa admitió posteriormente la filtración debido a que las credenciales de los empleados fueron comprometidas por los ladrones de datos.

Parada de dos semanas

Lo ocurrido: Un grupo criminal lanzó un ciberataque contra el mayor fabricante mundial de dispositivos de entrada, Key Tronic.

Cómo ocurrió: El mes pasado, Key Tronic confirmó haberse enfrentado a un ataque que provocó una violación de datos y la interrupción de sus operaciones en sus declaraciones a la Comisión del Mercado de Valores de Estados Unidos (SEC). En ella, los representantes de la empresa informaban de que la organización había sufrido un ciberataque que perturbó su trabajo. El ataque afectó a las aplicaciones empresariales, así como a los sistemas de información financiera y operativa.

Key Tronic también declaró que los piratas informáticos obtuvieron acceso a los datos de los usuarios. El grupo Black Basta reivindicó la autoría del ataque. Declararon haber obtenido 530 GB de datos corporativos, entre los que se incluyen:

  • Información de los pasaportes de los empleados 
  • Números de la seguridad social
  • Registros financieros
  • Datos de ingeniería
  • Documentos corporativos.

Como consecuencia, Key Tronic interrumpió sus operaciones en Estados Unidos y México durante dos semanas. Se gastaron alrededor de 600.000 dólares en localizar el incidente y contratar a un especialista en sistemas de información.

Crimen y castigo

Lo que ocurrió: Una empleada despedida borró 180 servidores virtuales de su antiguo empleador y fue condenado a más de 2 años de prisión. 

Cómo ocurrió: En octubre de 2021, la inspectora de calidad Kandula Nagaraju fue despedida de National Computer Systems (NCS) por mal desempeño laboral. El hecho del despido dejó a la ex empleada "confundida y molesta", ya que creía que había hecho buenas contribuciones a NCS.

Tras el despido, Nagaraju descubrió que sus credenciales de NCS seguían activas. A principios de 2023, las utilizó para vengarse de su viejo empleador. El 18 y 19 de marzo, la ex empleada descontenta eliminó el sistema de prueba autónomo de NCS, que consta de 180 servidores, utilizando un script que ella mismo había desarrollado.

En abril de 2023, la empresa acudió a los tribunales. Las pruebas se encontraron pronto: un script de borrado de datos y un historial de búsqueda de uso de scripts similares hablaban por sí solos. Al final, la ex inspectora fue condenada a 2 años y 8 meses de prisión. Tras el incidente, NCS declaró que la cuenta de Nagaraju había permanecido activa debido al "factor humano". La empresa gastó 678.000 dólares para restaurar los servidores.

Suplantación de identidad

Lo que ocurrió: GetResponse, empresa que ofrece de servicios de marketing digital, sufrió a una violación masiva de datos.

Cómo ocurrió: El 5 de junio, el equipo de seguridad de GetResponse identificó un acceso no autorizado a una de las herramientas internas de atención al cliente. Esto permitió al hacker obtener las credenciales de uno de los empleados. De este modo, el atacante consiguió acceder a las cuentas de 10 clientes.

Uno de los clientes comprometidos resultó ser CoinGecko, una plataforma de intercambio de criptomonedas. El actor malicioso exportó 1.916.596 contactos junto con información personal de la cuenta de la plataforma y envió correos electrónicos de phishing a 23.723 direcciones.

GetResponse asegura que el ataque fue el resultado de una compleja cadena en la que se aprovecharon las vulnerabilidades de terceros proveedores de software. Tras el incidente, la empresa notificó a los afectados, informó a las autoridades pertinentes y comenzó a auditar todas las aplicaciones de terceros.

El clic fatal

Lo que ocurrió: Una organización médica sufrió un ataque de ransomware porque un empleado subió un archivo malicioso.

Cómo ocurrió: Ascension, el sistema de salud privado más grande de Estados Unidos, informó que el ataque de ransomware ocurrido en mayo de 2024 fue causado por un empleado que accidentalmente descargó un archivo malicioso. La empresa cree que la acción no fue intencionada, ya que el empleado pensó que estaba descargando un archivo seguro.

Ascension también declaró que los piratas informáticos accedieron a siete servidores de archivos y robaron datos que probablemente contenían información sanitaria protegida (PHI) e información de identificación personal.

La empresa aún no se ha recuperado totalmente del ciberataque. Tuvo que suspender una parte de los procesos empresariales, incluidos los médicos, y pasar temporalmente a llevar un registro de los procedimientos en papel.

¡Dios mío! Se filtraron datos de AMD

Lo que ocurrió: Los datos de AMD, el mayor fabricante de electrónica, se pusieron a la venta en la darknet.

Cómo ocurrió: El 17 de junio apareció un post en un foro de hackers con datos confidenciales de AMD a la venta. Según el autor del post, AMD sufrió un ataque en junio de 2024. Los datos afectados incluían información sobre:

  • Futuros productos
  • Hojas de especificaciones
  • Datos de empleados y clientes
  • Información financiera
  • Código fuente
  • Firmware.

Anteriormente, el mismo atacante había vendido datos de AT&T, Home Depot, Europol, General Electric y otras organizaciones conocidas.

El portavoz de la empresa declaró a los medios de comunicación que había sido pirateado el sitio web de un proveedor externo que contenía "una cantidad limitada de información relacionada con las especificaciones utilizadas para ensamblar determinados productos de AMD".

Negocios sucios

Lo ocurrido: Se ha descubierto un esquema de fraude a gran escala consistente en la venta de datos para dirigir correos electrónicos de phishing.

Cómo ocurrió: Epsilon Data Management es una empresa de marketing dedicada al análisis y venta de datos con fines de marketing. La organización dispone de un amplio conjunto de datos y algoritmos que ayudan a predecir el comportamiento de las personas y a identificar posibles compradores de determinados bienes y servicios.

Durante más de 10 años, un alto ejecutivo y un director de ventas de la empresa, Robert Reger y David Little, vendieron listas dirigidas de consumidores y sus direcciones a los autores del fraude con la siguiente información:

  • Nombres y apellidos
  • Edad
  • Domicilios particulares y direcciones de correo electrónico
  • Preferencias sobre los consumidores
  • Historial de compras

Los estafadores utilizaban estos datos para enviar correos electrónicos de phishing, engañando a las víctimas para que les enviaran dinero.

La audiencia de sentencia está programada para septiembre de 2024. Reger y Lytle se enfrentan a una pena máxima de 20 años de prisión por cada cargo de fraude postal y electrónico.

Secreto del puré de manzana al descubierto

Lo que ha ocurrido: Un atacante anónimo afirma haber filtrado el código fuente de las herramientas internas de Apple.

Cómo ocurrió: El 18 de junio, el hacker publicó en la darknet el código fuente de las herramientas internas de Apple: Apple-HWE-Confluence-Advanced, AppleMacroPlugin y AppleConnect-SSO.

Se sabe muy poco de las dos primeras, pero la herramienta de autenticación rápida AppleConnect-SSO permite a los empleados acceder a los sistemas y servicios internos de la empresa y a las aplicaciones de iOS, como Concierge, MobileGenius, EasyPay, AppleWeb, etc.

También en el post, el atacante afirma que los datos fueron violados en junio y que es la empresa la culpable de la fuga de los datos. Apple Inc. aún no ha comentado el incidente.

Concesionarios pasados de vueltas

Lo que ocurrió: CDK Global, proveedor de soluciones SaaS para concesionarios de automóviles, se enfrentó a un ataque de ransomware.

Cómo ocurrió: CDK Global desarrolla una plataforma que gestiona todo el funcionamiento de una empresa, desde el CRM hasta el inventario. Más de 15.000 concesionarios de automóviles de toda Norteamérica confían en el software de CDK Global.

Sin embargo, debido al ciberataque, la empresa tuvo que cerrar sus sistemas informáticos, teléfonos y aplicaciones para localizar el incidente. Esta interrupción también afectó a las operaciones de muchos concesionarios de automóviles que utilizan el software de CDK Global.

Informes de fuentes anónimas sugieren que la empresa se encontró con el ransomware y que actualmente está negociando con la banda para conseguir una herramienta de descifrado y evitar la filtración de los datos robados.
 

Consejo de seguridad del mes: El invierno y el verano son las estaciones favoritas de los infiltrados, ya que la mayor parte del personal está de vacaciones, disfrutando de la playa y las montañas. Los "insiders" malintencionados aprovechan el uso de los ordenadores y cuentas de sus colegas para trasladar datos confidenciales a su almacenamiento personal. Pero hay una solución para mantener la tranquilidad durante esta temporada de viajes: el sistema de Prevención de Pérdida de Datos. DLP se asegurará de que los insiders se tomen unas vacaciones permanentes. Haga clic aquí y pruébelo gratis durante 30 días.

Pruebe ahora


Datos personales Fraude

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.
© 2025 SearchInform LTD
Todos los derechos reservados.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario y para mejorar el rendimiento. Si continúa navegando, está dando su consentimiento para la aceptación de nuestra política de cookies, siga el enlace para mayor información.
OK
POLÍTICA DE COOKIES