Informe de (In)seguridad: Filtración de FortiGate, anuncios de phishing de Google, gadgets troyanos

06.02.2025

Informe de (In)seguridad: Filtración de FortiGate, anuncios de phishing de Google, gadgets troyanos

Ha llegado el momento de saber qué ocurrió en enero en el ámbito de la seguridad de la información. En este Digest encontrarás las violaciones de datos más destacadas del mes pasado.

Una mala versión de Robin Hood

Qué ocurrió: Siete funcionarios de la Comisión de Sanidad de Texas robaban prestaciones del Estado.

Cómo ocurrió: La Comisión de Salud y Servicios Humanos de Texas tuvo siete infiltrados que robaron beneficios estatales entre 2021 y 2024. Cada uno de ellos fue descubierto y despedido por acceder ilegalmente a las cuentas de los beneficiarios de la asistencia pública, así como por fraude.

La Comisión de Salud y Servicios Sociales de Texas es una agencia gubernamental estadounidense que concede prestaciones a categorías de ciudadanos necesitados. En la mayoría de los casos, las prestaciones se abonan en cuentas bancarias o tarjetas electrónicas emitidas a nombre de los solicitantes para sus peticiones.

Los empleados de la Comisión introducen y transmiten información de los ciudadanos en el sistema, y pueden averiguar y modificar los códigos pin y otros datos de las tarjetas emitidas. Así, sin decisiones que controlen el manejo de los datos, algunos empleados modificaron a su favor los datos del sistema.

Por ejemplo, dos empleados fueron despedidos tras robar 270.000 dólares de 500 cuentas que recibían prestaciones del Estado. Otro empleado fue despedido por infringir la política de SI al transferir la información de sus conciudadanos del sistema de información estatal a su correo electrónico personal.

El resto de los infiltrados hacían más o menos lo mismo. Todos ellos fueron desenmascarados y despedidos. Algunos de ellos no solo tendrán que encontrar un nuevo empleo, sino que también tendrán que comparecer en juicio. Como la investigación sigue su curso, aún no se han revelado los daños exactos ni el número de víctimas.

Al menos 60.000 personas se vieron afectadas en el último incidente, según informó el 6 de enero la Fiscalía General de Texas.

Sé tu contraseña

Qué ocurrió: Se conocieron dos incidentes de gran repercusión relacionados con credenciales comprometidas de recursos internos.

Cómo ocurrió: Dos grandes empresas fueron invadidas. El operador español de telecomunicaciones Telefónica y el desarrollador de software de gestión hotelera en la nube Otelier.

Telefónica confirmó el hackeo de su sistema interno de ticketing tras la publicación de los datos robados en un foro de hackers. Los atacantes reportaron que el sistema de tickets se conecta al servidor interno Jira. Los hackers accedieron a él utilizando las credenciales filtradas.

En total se filtraron 2,3 GB de tickets, documentos y otros datos. En respuesta, la empresa inició una investigación y restableció las contraseñas de las cuentas comprometidas.

En el segundo caso, los atacantes utilizaron el mismo método para infiltrarse en el servidor corporativo de Otelier y desde allí llegaron al almacenamiento en la nube Amazon S3. Como resultado, obtuvieron acceso a 8 TB de datos, incluyendo tanto documentos corporativos del desarrollador como datos de los clientes del servicio: desde normativas internas hasta información personal de los huéspedes.

Los datos filtrados pertenecían a las cadenas más grandes: Hyatt, Hilton y otras. Por ejemplo, había tantos datos de Marriot que los hackers no pudieron determinar a quién pertenecía exactamente el almacenamiento comprometido y exigieron un rescate a Marriot, no a Otelier.

Tras el incidente, Have I Been Pwned descubrió 437.000 direcciones de correo electrónico únicas asociadas a la filtración. Al mismo tiempo, Troy Hunt, fundador del servicio, recibió muchos más datos: una tabla de reservas con 39 millones de filas y una tabla de usuarios con 212 millones. Ahora la empresa se pone en contacto con las víctimas, investiga el incidente y afirma que se ha puesto fin al acceso no autorizado.

Por cierto, en enero hubo otro incidente relacionado con la hostelería y las contraseñas, o mejor dicho, su ausencia. Más de 24 millones de registros con datos personales de turistas yacían en el servidor sin contraseña. Entre los datos potencialmente filtrados había nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, información sobre visitas a hoteles, etc. Aún no se ha confirmado la propiedad de la base de datos, pero los expertos la atribuyen a Honotel.

Amenaza oculta

Qué ocurrió: Los expertos reportaron los casos de equipos peligrosos adquiridos en mercados.

Cómo ocurrió: Los medios de comunicación han informado de que los dispositivos comprados en mercados pueden estar infectados con infostealers y otro malware. Esto ya había ocurrido antes, pero con dispositivos de segunda mano.

Además, en enero, un usuario de la red social Twitter reportó un problema similar con un adaptador RJ45 que compró en AliExpress. Al mismo tiempo, algunos usuarios afirmaron que el autor del post estaba equivocado y que el problema era solo con el controlador, mientras que otros aseguraron que el problema podía ser mucho mayor.

No tengas miedo. Soy tu amigo

Qué ocurrió: Los estafadores utilizaron la segmentación contextual de Google Ads para el phishing.

Cómo ocurrió: En enero aparecieron dos noticias a la vez sobre casos de fraude cometidos con ayuda de una herramienta publicitaria.

En primer lugar, intrusos desconocidos distribuían infostealers a través de publicidad. El cebo era un sitio de phishing que parecía un recurso web de la utilidad de código abierto Homebrew.

En el buscador, la URL legítima (brew[.]sh), la descripción de la página y el favicon (el icono del sitio en la búsqueda) aparecían en la casilla de publicidad “patrocinada”, pero tras hacer clic en ella, la víctima era dirigida a la fraudulenta brewe[.]sh. Como resultado, se descargaba el infostealer AmosStealer en lugar de software legítimo.

En segundo lugar, los estafadores robaron credenciales de cuentas personales de Google Ads. Utilizaron sitios de phishing como en el caso de Homebrew. Sin embargo, el sitio se hacía pasar por una cuenta de Google Ads. Una vez introducidos los datos, se enviaban a los atacantes.

Hemos jugado bastante

Qué ocurrió: Los atacantes desconocidos filtraron a la darknet detalles de acceso a los dispositivos FortiGate.

Cómo ocurrió: El 14 de enero, unos atacantes publicaron credenciales de acceso a VPN para unidades FortiGate en un foro de hackers. El archivo publicado pesa 1,6 GB y contiene direcciones IP, archivos de configuración de dispositivos, credenciales de acceso a VPN, claves privadas y contraseñas en texto claro.

Según los expertos, las credenciales filtradas podrían estar relacionadas con el incidente de 2022. En aquel entonces, los atacantes aprovecharon una vulnerabilidad nula para descargar archivos de configuración de unidades FortiGate y añadir cuentas super_admin maliciosas con el nombre FortiGate-tech-support.

Cuando los atacantes obtuvieron todos los beneficios que podían de estos datos, los hicieron de dominio público para ganarse una reputación en la comunidad. A pesar de la antigüedad de la filtración, los datos pueden seguir siendo relevantes hoy en día. Si utiliza productos FortiGate, es una buena idea comprobar si sus datos se han filtrado.