Informe de (In)seguridad: Cracker-Infiltrado, DeepSeek Sin Protección, Apple en Problemas
12.03.2025
VolverEn nuestro informe de (in) seguridad de febrero, te traemos los incidentes más destacados y serios en el ámbito de la seguridad de la información.
Se fue sin decir "adiós"
Qué ocurrió: El Museo Británico tuvo que cerrar algunas de sus exposiciones tras un ataque perpetrado por un ex-empleado de una empresa contratista de informática.
Cómo ocurrió: En enero, la policía de Londres recibió un llamado alertando sobre una intrusión en el Museo Británico, donde alguien había "dañado sus sistemas informáticos y de seguridad". El intruso fue detenido en el lugar, según contó The Guardian. El ataque fue llevado a cabo por un ex-empleado del servicio de TI del museo, quien había sido contratado como contratista. Intencionalmente, desactivó varios sistemas, incluida la plataforma de venta de entradas, lo que llevó a que algunas exposiciones no estuvieran disponibles. En la web del museo apareció un banner que decía: "El museo está abierto, pero debido a problemas con la infraestructura informática, algunas galerías no están disponibles temporalmente".
No es la primera vez que el Museo Británico sufre a causa de su personal. En 2023, el museo demandó a Peter John Higgs, quien había sido conservador de las colecciones griegas. Higgs trabajó en el museo durante cerca de 30 años, pero en 2016 comenzó a vender objetos expuestos en eBay: joyas y piedras preciosas de la Antigua Roma, con un valor total que asciende a decenas de millones de libras. Fue sorprendido vendiendo objetos que estaban detalladamente descritos en los catálogos digitales del museo. Aunque utilizaba un seudónimo, su cuenta de PayPal estaba vinculada a una red social donde publicaba usando su nombre real.
Culpable sin falta
Qué ocurrió: Un grupo de cibercriminales engañó a algunos empleados para que los ayudaran a invadir el Banco de Uganda.
Cómo ocurrió: En noviembre de 2024, ciberdelincuentes lograron crackear el Banco Central de Uganda y transferir 62,000 millones de chelines ugandeses (16.8 millones de dólares) desde sus cuentas. El ministro de Finanzas de Uganda confirmó el incidente. Tras el ataque, algunos medios africanos especularon sobre la posible participación de de personas con información privilegiada. Recientemente, se ha confirmado que algunos empleados del Ministerio de Finanzas habrían ayudado de forma involuntaria a los delincuentes a realizar pagos. Sin embargo, el Parlamento de Uganda no se convenció de que estos empleados fueran meras víctimas de manipulación. Los parlamentarios calificaron sus acciones como "claramente delictivas" y enviaron los detalles de la investigación a las fuerzas de seguridad para que se llegue al fondo del asunto.
Fuga profunda
Qué ocurrió: Los desarrolladores de DeepSeek cometieron un error básico.
Cómo ocurrió: El 29 de enero, investigadores de Wiz Research encontraron una base de datos de la empresa DeepSeek expuesta. Esta base de datos, sin ningún tipo de protección, contenía más de un millón de filas con historiales de chat de usuarios, claves API, metadatos de servidores y otra información sensible.
Los expertos analizaron los dominios públicos de DeepSeek y encontraron alrededor de 30 subdominios accesibles externamente, aunque no hallaron nada que pudiera representar un riesgo para los atacantes (interfaz del chatbot, página de estado del servicio y documentación de la API). Expandieron su búsqueda y encontraron puertos abiertos 8123 y 9000 en varios servidores, asociados con el sistema de gestión de bases de datos de código abierto ClickHouse. Utilizando la interfaz HTTP, ejecutaron una consulta SQL y obtuvieron una lista de tablas disponibles. Una de ellas, llamada log_stream, contenía datos críticos, incluyendo timestamps, nombres de endpoints de API, chats de usuario en texto abierto y metadatos diversos sobre los servicios de DeepSeek.
Wiz Research se puso en contacto con los desarrolladores, quienes actuaron rápidamente y ahora la base de datos es inaccesible desde Internet. Sin embargo, el daño a la reputación de DeepSeek ya estaba hecho.
Es demasiado tarde para disculparse
Qué ocurrió: Apple obligó a un infiltrado a disculparse por las filtraciones.
Cómo ocurrió: En marzo de 2024, Apple demandó a su ex-ingeniero Andrew Oda. Oda filtró información sobre la cultura corporativa de Apple, lanzamientos de software y dispositivos a los medios. Según el gigante tecnológico, el ingeniero conversó con periodistas del Wall Street Journal (WSJ) e Information a través del mensajero Signal usando un iPhone corporativo. Gracias a esto, los periodistas publicaron regularmente artículos sobre la "cocina interna" de Apple.
Recientemente, Apple y Oda llegaron a un acuerdo, cuyos términos no se han hecho públicos, pero se sabe que incluía una disculpa pública del ex-empleado. Oda publicó un mensaje donde admitía que durante sus ocho años en Apple tuvo acceso a información confidencial, incluidos datos sobre dispositivos y funciones que aún no habían salido al mercado. Calificó su filtración como un error profundo y costoso que destruyó relaciones con colegas y causó daños irreparables a su carrera.
Si funciona, no lo toques
Qué ocurrió: Elon Musk destapó una presunta "gran trama" de fraude a la Seguridad Social, aunque los Servicios Sociales desestiman las acusaciones.
Cómo ocurrió: El 17 de febrero, Musk reportó en su red social que en las bases de datos de beneficiarios de prestaciones del gobierno hay más estadounidenses que la población total del país. Entre ellos, había 8 millones de personas de más de 120 años, más de 500 mil de más de 150 e incluso algunas que, sorprendentemente, superaban los 200 y 300 años. Esto hizo sospechar que se estaban utilizando "almas muertas" para calcular ficticiamente las prestaciones sociales.
Tras el mensaje de Musk, los medios informaron que los "longevos" en la base de datos de la Administración de Seguridad Social estadounidense (SSA) aparecían debido a que su sistema de información está programado utilizando COBOL, un lenguaje antiguo que, curiosamente, tiene como año de referencia 1875. Esto significa que si no hay una fecha de nacimiento registrada en la tarjeta o si hay algún error, el sistema automáticamente coloca 1875, lo que explica la cantidad extraña de personas de la misma edad.
La SSA justificó otros misterios como características de sus sistemas. En 2015, la Oficina del Inspector General auditorió a la SSA y encontró que el sistema dejaba en blanco el campo "defunción" de 6,5 millones de personas cuya edad superaba la "esperanza de vida razonable". Esto generó oportunidades para el fraude. Después de esa auditoría, la SSA acordó implementar un mecanismo para detener pagos a mayores de 115 años y estudiar opciones de automatización para actualizar rápidamente la información sobre defunciones.
Sin embargo, tras una nueva auditoría en 2023, se evidenció que el problema no solo persistía, sino que había empeorado. La SSA encontró 18,9 millones de personas nacidas en 1920 o antes sin actualizaciones en el registro de defunciones.
La SSA se niega a abordar el problema de los datos incorrectos por varias razones. Primero, porque la agencia no considera esta situación un problema real, ya que la mayoría de quienes tienen registros erróneos no son beneficiarios, gracias a un mecanismo implementado en 2015. Además, corregir esos registros, desviar recursos de la administración y gestión de programas. En segundo lugar, la SSA concluyó que actualizar la información de defunciones según las recomendaciones de la OIG "conlleva un riesgo significativo de introducir erratas".
Es evidente que puede haber fraudes financieros por todas partes: empleados sustituyen datos bancarios y roban identidades de clientes o colegas para retirar fondos a cuentas ficticias. También hay casos en los que empleados caen en el juego de los estafadores y transfieren dinero de la empresa. Un sistema DLP puede ayudar a hacer frente a estas amenazas: las políticas de seguridad ya implementadas detectarán fraudes con activos, y las "listas negras" focalizarán el control en quienes tengan acceso al presupuesto. De esta manera, se puede evitar el fraude antes de que la empresa sufra daños.