Informe de (in)Seguridad: Filtración de Netflix, estafadores de McDonald's, roedores contra tokens

12.09.2024

Como acostumbramos, a principios de mes compartimos con ustedes los incidentes de seguridad de la información más destacados. En agosto, tuvimos los siguientes casos: una pesadilla para los fans de League of Legends, la mayor filtración de la historia de Estados Unidos y otro apagón de Microsoft. 

Estreno prematuro

Qué ocurrió: se filtraron en Internet episodios de futuras series de Netflix debido a un ataque al contratista.

Cómo ocurrió: el 9 de agosto comenzaron a aparecer en las redes sociales y en foros temáticos episodios de series de animación y anime de Netflix que aún no se habían estrenado. Entre ellas: Arcane, Terminator Zero, Dandadan, Ranma ½ y otras.
Netflix se apresuró a responder a la filtración, afirmando que «hackers atacaron a uno de los socios de postproducción». La baja calidad de los vídeos «filtrados» con marcas de agua «para uso laboral» así lo demuestra.

El gigante mediático intentó eliminar los datos filtrados de la red, y también publicó un nuevo tráiler de la historia de la novedad más sonada -la segunda temporada del anime basado en el juego League of Legends-, Arcane, para calmar los ánimos. Pero esto no sirvió de nada, y millones de fans que esperan la segunda temporada ya han visto importantes spoilers de la trama.

Impulsa tu sueño, pero no te olvides de la infoseguridad

Qué ocurrió: La división estadounidense de Toyota fue víctima de un ciberataque.

Cómo ocurrió: 240 GB de datos de la división californiana de Toyota aparecieron en un foro de hackers el 16 de agosto. Entre la información filtrada había datos de empleados y clientes, documentos internos y bases de datos, nombres de usuario y contraseñas de cuentas de administrador en texto plano.

Cabe destacar que los atacantes no venden los datos, sino que los ceden gratuitamente. Esto puede sugerir que el ataque fue un acto de “hacktivismo”.

Toyota confirmó la filtración y aseguró que el incidente había sido limitado y que la empresa ya había iniciado una investigación. Sin embargo, unos días después de esta declaración, las cuentas de administrador filtradas eran válidas y seguían funcionando.

Pasar por delante del mayordomo

Qué ocurrió: los piratas informáticos causaron una gran perturbación en las aplicaciones bancarias indias.

Cómo ocurrió: los atacantes piratearon C-Edge Technologies, un importante proveedor de servicios. Como resultado, las aplicaciones de banca móvil no funcionaron en casi toda la India el 1 de agosto.        

El incidente fue investigado por especialistas de Juniper Networks. Según ellos, C-Edge Technologies fue pirateada a causa de un servidor Jenkins mal configurado, que es un sistema automatizado para probar y entregar módulos de aplicaciones móviles.

Los atacantes comenzaron enviando una solicitud POST al servidor en un intento de ejecutar un comando malicioso. Esto tuvo éxito, y los delincuentes se afianzaron en el servidor, accedieron a otros sistemas de la empresa y luego inyectaron el ransomware.

Además de que Jenkins estaba mal configurado, el servidor no se había actualizado a la versión actual y una de sus partes gestionaba mal las peticiones POST. Esto permitió explotar la vulnerabilidad crítica CVE-2024-23897 (puntuación CVSS: 9,8/10) y llevar a cabo el ataque.

Fría veganza desde la cálida italia 

Qué ocurrió: un antiguo contratista atacó la plataforma criptográfica Holograph.

Cómo ocurrió: Holograph es un protocolo de tokenización omnichain que permite a los emisores de activos acuñar tokens omnichain componibles de forma nativa. Los piratas informáticos aprovecharon una vulnerabilidad de su sistema y utilizaron un monedero proxy para generar 1.000 millones de tokens Holograph (HLG).

El valor total de los tokens generados fue de aproximadamente 15 millones de dólares. Debido a esta «criptoinflación», el valor de los tokens HLG cayó de 0,014 dólares a 0,0029 dólares en pocas horas.

Tras el incidente, se inició una investigación internacional y los sospechosos fueron detenidos en territorio de Italia. No se revelaron sus nombres, pero resultó que el organizador del ataque era un «antiguo contratista descontento», que conocía el funcionamiento del protocolo Holograph.

Guerras de datos personales: el ataque de los clones

Qué ocurrió: 2.700 millones de registros de datos de estadounidenses quedaron al descubierto.

Cómo ocurrió: El 6 de agosto apareció en un foro de hackers un post con información personal de estadounidenses. Contenía nombres, números de la seguridad social, correos electrónicos y posibles alias de los afectados.

Los investigadores creen que la presunta fuente de la filtración fue la empresa National Public Data. Esta empresa recopila los datos personales de los ciudadanos y, previo pago, facilita el acceso a ellos a investigadores privados y a personas con antecedentes penales.

Según los medios de comunicación, en primavera de este año ya se vendió en el mismo foro de hackers un volcado con datos similares. Por aquel entonces, otro hacker afirmó haber pirateado National Public Data y obtenido los datos personales de ciudadanos estadounidenses, británicos y canadienses.

Tras la filtración inicial, distintos piratas informáticos publicaron copias parciales del volcado de datos, cada una de las cuales contenía un número distinto de registros y, en algunos casos, difería en los propios datos. La última versión, la más completa, apareció el 6 de agosto.

Hasta ahora no se ha identificado la autenticidad exacta de los «clones» filtrados. Pero resultó que National Public Data recopiló datos de estadounidenses sin su consentimiento de fuentes no públicas. Como resultado, la empresa fue acusada. 

Seis meses juntos, ya son como una familia

Qué ocurrió: Kootenai Health, un importante proveedor sanitario estadounidense, fue víctima de piratas informáticos.

Cómo ocurrió: Los atacantes se infiltraron en la infraestructura de la empresa utilizando un ransomware. A continuación, cifraron los archivos y filtraron información personal de clientes y empleados, como la edad, los datos del pasaporte, el número de la seguridad social, el permiso de conducir y los historiales médicos.

Según los investigadores, los atacantes se infiltraron en la empresa en febrero de 2024, pero el problema no se descubrió hasta agosto de 2024. Como resultado, unas 500.000 personas se vieron afectadas por la filtración.

El inesperado día libre de microsoft

Qué ocurrió: se produjo una interrupción global de los servicios de Microsoft.

Cómo ocurrió: el 30 de julio, muchos servicios y aplicaciones de Microsoft no estaban disponibles: Azure, Outlook, Minecraft, Entura y Microsoft Intune, etc. Esto afectó a muchas organizaciones: tribunales, servicios públicos, bancos y centros médicos de todo el mundo.

Microsoft ha declarado abiertamente que la interrupción se debió a un ataque DDoS, y que sus medidas de seguridad sólo amplificaron la escala del ataque en lugar de mitigarlo. Un grupo desconocido de hacktivistas se atribuyó la responsabilidad de la interrupción.

La compañía también dijo que había configurado Azure Web Application Firewall que es un intrumento de protección contra este tipo de ataques. Sin embargo, sigue sin estar claro por qué el gigante mundial de TI no instaló antes un cortafuegos de aplicaciones web.

Más limpio que puro

Qué ocurrió: Unos piratas informáticos borraron a distancia los datos de los dispositivos de estudiantes de todo el mundo.

Cómo ocurrió: Los atacantes comprometieron Mobile Guardian, un desarrollador de sistemas MDM para el sector educativo. Desarrolla software multiplataforma para filtrar el tráfico, supervisar la actividad de los estudiantes y gestionar a distancia los dispositivos.

Según la empresa, el 4 de agosto se produjo un ciberataque que permitió a los hackers acceder a la plataforma de Mobile Guardian. Las capacidades obtenidas no se utilizaron para robar datos, sino para borrarlos. En Singapur, por ejemplo, se borraron datos de 13.000 dispositivos, lo que acabó con la cancelación de un contrato con el Ministerio de Educación del país.

La empresa, por desgracia, se rindió: tras el ataque, apagó por completo sus servidores de gestión, por lo que los usuarios no pueden iniciar sesión en Mobile Guardian, y los estudiantes tienen restringido el acceso a sus dispositivos.

¡Ataque de castores!

Qué ocurrió: La infraestructura blockchain de Nexera fue atacada por hackers.

Cómo ocurrió: el 7 de agosto, atacantes desconocidos piratearon el sistema de gestión de contratos inteligentes de Fundrs utilizando el malware BeaverTail. Así es como los atacantes consiguieron robar 47 millones de tokens de la infraestructura de Nexera - NXRA por valor de 1,76 millones de dólares.

Los delincuentes cobraron 15 millones de tokens por valor de 450.000 dólares, mientras el equipo de Nexera intentaba retirar de la circulación los otros 32 millones. Tras ello, la empresa suspendió la negociación de sus tokens en bolsas descentralizadas y recomendó a otras plataformas que hicieran lo mismo. Sin embargo, esto provocó una caída del 86% en el precio del token.

No me gusta no

Qué ocurrió: los hackers robaron casi 700.000 dólares a los suscriptores de McDonald's.

Cómo ocurrió: un grupo de hackers pirateó la cuenta de Instagram de McDonald's y anunció allí un token de criptomoneda fraudulento. Se llamaba igual que una de las mascotas de la empresa, Grimace.

El anuncio ha demostrado ser «eficaz», y la capitalización del token creció instantáneamente de unos pocos miles a 25 millones de dólares. Después, los estafadores vendieron sus tokens, ganando así unos 700.000 dólares en la criptodivisa Solana (SOL). El valor del propio token cayó a 65.000 dólares.

Al final, la empresa fue capaz de devolver su cuenta, pero en la descripción de su perfil durante algún tiempo «colgado» gratitud de los piratas informáticos para cryptocurrency. McDonald's pidió disculpas a los suscriptores por el incidente.

Datos personales Documentos confidenciales