¿Cuáles fueron los 10 ciberataques más relevantes del 2023?
El 2023 fue un año récord en ciberataques, en el que las ciberamenazas crecieron exponencialmente suponiendo un importante riesgo para empresas, instituciones y personas.
Para ESET, consultora en soluciones de ciberseguridad, de todos los ataques que se dieron el año pasado este fue el top 10.
1. MOVEit: Este ataque emplea una vulnerabilidad de día cero en un producto de software popular para tener acceso a los entornos de empresas y usuarios y filtrar tantos datos como sea posible para pedir un rescate. ESET detalla que no está claro cuántos datos y víctimas ha tenido, pero asegura que algunas estimaciones apuntan a 2.600 organizaciones y 83 millones de personas atacadas.
2. La Comisión Electoral del Reino Unido: En agosto, este regulador dio a conocer que los ciberdelincuentes habían robado información personal de unos 40 millones de votantes del censo electoral en un ataque que consideró “complejo”. Según ESET, no obstante, existen informes que sugieren que la postura de seguridad de esta comisión era deficiente y que esta no había pasado una auditoría de seguridad básica de Cyber Essentials.
“La culpa podría haber sido de un servidor Microsoft Exchange sin parches, aunque no está claro por qué la comisión tardó 10 meses en notificarlo al público. También afirmó que agentes de amenazas podrían haber estado sondeando su red desde agosto de 2021”, explica la firma especialista en ciberseguridad para la revista Forbes.
3. El Servicio de Policía de Irlanda del Norte (PSNI): También en agosto, este servicio detalló que uno de sus empleados había publicado accidentalmente datos internos sensibles en el sitio web WhatDoTheyKnow en respuesta a una solicitud de libertad de información (FOI). Se trata concretamente de nombres, rango y departamento de unos 10.000 oficiales y personal civil, incluidos quienes trabajan en vigilancia e inteligencia y que fueron difundidos después por disidentes republicanos irlandeses. Dos hombres quedaron en libertad bajo fianza tras ser detenidos por delitos de terrorismo.
4. DarkBeam: 3.800 millones de registros fueron expuestos por la plataforma de riesgo digital DarkBeam después de desconfigurar una interfaz de visualización de datos Elasticsearch y Kibana, según se pudo conocer después de que un investigador de seguridad se percatase del error y lo notificara a la empresa. Según ESET se trata de la mayor filtración de datos del año y se desconoce cuánto tiempo estuvieron expuestos estos datos. “El botín de datos contenía correos electrónicos y contraseñas procedentes tanto de filtraciones de datos notificadas anteriormente como de otras no notificadas.
5. Consejo Indio de Investigación Médica (ICMR): Un ciberatacante puso a la venta información personal de 815 millones de indios, obtenida de la base de datos de pruebas COVID de este consejo, que incluía nombre, edad, sexo, dirección, número de pasaporte y Aadhaar (número de identificación del gobierno. El caso se conoció en octubre. Es otra de las megabrechas del año y abrió la puerta a los ciberatacantes para llevar a cabo ataques de fraude de identidad.
6. 23andMe: En este caso un ciberatacante aseguró haber robado 20 millones de datos de la compañía de genética e investigación de Estados Unidos a través de técnicas de relleno de credenciales para acceder a las cuentas de los usuarios. Entre la información que aparecía en el volcado de datos figuraron la foto de perfil, el sexo, el año de nacimiento, la ubicación y los resultados de ascendencia genética.
7. Ataques DDoS de restablecimiento rápido: En 2023, según ESET, se llevaron a cabo algunos de los ataques de denegación de servicio (DDoS) jamás vistos. Según Google, estos alcanzaron un pico de 398 millones de peticiones por segundo (rps), frente a la mayor tasa anterior de 46 millones de rps. “La buena noticia es que gigantes de Internet como Google y Cloudflare han parcheado el fallo, pero se ha instado a las empresas que gestionan su propia presencia en Internet a que sigan el ejemplo inmediatamente”, dice la compañía de seguridad.
8. T-Mobile: En enero del año pasado la empresa de telecomunicaciones estadounidense sufrió una brecha de seguridad que afectó a 37 millones de clientes, que implicó el robo de direcciones, números de teléfono y fechas de nacimiento. En abril, otro ciberataque impactó en 800 clientes y supuso la sustracción de otros datos, como el PIN de las cuentas, los números de seguridad social y datos de identificación del gobierno.
9. MGM International/Cesars: Estos dos hoteles icónicos de Las Vegas fueron atacados por un ransomware afiliado a ALPHV/BlackCat conocido como Scattered Spider con unos días de diferencia. En el MGM el ataque fue no menor y estuvo estimado en 100 millones de dólares. Y es que a través de una investigación en LinkedIn los ciberatacantes accedieron a su red y mediante un ataque de vishing se hicieron pasar por el departamento de TI y le pidieron sus credenciales. El hotel tuvo que cerrar importantes sistemas informáticos, lo que interrumpió el funcionamiento de sus máquinas tragamonedas, sus sistemas de gestión de restaurantes e incluso las tarjetas de acceso a las habitaciones durante días.
En el caso del Cesars, la empresa aseguró haber pagado a sus extorsionadores 15 millones de dólares.
10. Las filtraciones del Pentágono: Jack Teixeira, de 21 años, miembro del ala de inteligencia de la Guardia Nacional Aérea de Massachusetts, filtró documentos militares muy delicados para presumir ante su comunidad de Discord y estos fueron compartidos en otras plataformas y fueron reenviados por los rusos que seguían la guerra en Ucrania. “Estos documentos proporcionaron a Rusia un tesoro de inteligencia militar para su guerra en Ucrania y socavaron la relación de Estados Unidos con sus aliados. Teixeira pudo imprimir y llevarse a casa documentos de alto secreto para fotografiarlos y subirlos posteriormente a Internet”, explica ESET.
Y a ti ¿cuál de estos 10 te pareció más relevante?
Read More¿Qué amenazas podría presentar la ciberseguridad este próximo 2024?
Según los expertos del equipo de análisis e investigación global de Kaspersky (GReAT) se prevee que los agentes de APTs introducirán nuevas formas de aprovechar vulnerabilidades en los dispositivos móviles, wearables, e inteligentes, utilizándolos para crear botnets y perfeccionar los métodos de ataque a las cadenas de suministro.
También usarán la Inteligencia Artificial (IA) para que el spear phishing (ataques de phishing personalizados y dirigidos) sea más efectivo. Los investigadores de la compañía anticipan que estos avances intensificarán los ataques por motivos geopolíticos y los delitos cibernéticos, indicó la compañía.
INTELIGENCIA ARTIFICIAL Y LA CIBERSEGURIDAD
Las herramientas de Inteligencia Artificial emergentes facilitarán la producción de mensajes de phishing y la suplantación de identidad de personas específicas. Los atacantes pueden idear métodos creativos de automatización recopilando datos en línea y enviándolos a los LLMs (Por sus siglas en inglés: Large Language Models o Modelos de Lenguaje Grandes especializados para la IA), con el fin de elaborar borradores de cartas imitando el estilo personal de alguien cercano a la víctima.
Este año, Operation Triangulation marcó un importante descubrimiento para las amenazas móviles, como el uso de exploits, lo que podría inspirar más investigaciones sobre las APTs, cuyos objetivos son los dispositivos móviles, wearables, e inteligentes. Los expertos de Kaspersky anticipan que seremos testigos de cómo los agentes de amenazas amplían sus esfuerzos de vigilancia y se dirigen a diversos dispositivos de consumo a través de vulnerabilidades y métodos “silenciosos” de entrega de exploits, incluso con ataques de clic cero a través de mensajería o bien, con un solo clic a través de SMS o aplicaciones de mensajería e interceptación del tráfico de red. Es por ello por lo que, la protección de dispositivos personales y corporativos se vuelve cada vez más crucial.
Otras predicciones de amenazas avanzadas para 2024 son:
- Ataques a la cadena de suministro como servicio: operadores que compran acceso al por mayor
La cadena de suministro puede ser vulnerada a través de ataques dirigidos a empresas pequeñas para afectar a las grandes: las violaciones de Okta en 2022- 2023 resaltan la magnitud de esta amenaza. Los motivos de tales ataques pueden variar desde el beneficio económico hasta el espionaje. Para 2024, se esperan nuevos acontecimientos en las actividades del mercado de acceso a la Darkweb relacionadas con las cadenas de suministro, lo que permitiría ataques más eficientes y a gran escala.
- Aparición de más grupos que ofrecen servicios de hackeo por encargo
Los grupos de hackeo por encargo están aumentando y brindan servicios de robo de datos a clientes, que van desde investigadores privados hasta rivales comerciales. Se espera que esta tendencia crezca durante el próximo año.
- Los rootkits de kernel están de moda otra vez
A pesar de las medidas de seguridad modernas como la Firma de Código en Modo de Kernel (KMCS), PatchGuard y la Integridad de Código Protegido por Hipervisor (HVCI), las barreras de ejecución de código a nivel de kernel están siendo eludidas por grupos de APT y cibercriminales. Los ataques en el modo kernel de Windows están en aumento, facilitados por los abusos del Programa de compatibilidad de hardware de Windows (WHCP), así como del crecimiento del mercado clandestino de certificados EV y certificados de firma de código robados. Los actores de amenazas están aprovechando cada vez más el concepto de ‘Trae Tu Controlador Vulnerable’ (BYOVD) en sus tácticas.
- Los MFTs: blanco de ataques avanzados
Los sistemas de transferencia administrada de archivos (MFT, por sus siglas en inglés), diseñados para transportar de manera segura datos confidenciales entre organizaciones, se enfrentan a amenazas cibernéticas cada vez mayores, ejemplificadas por las infracciones de MOVEit y GoAnywhere en 2023. Esta tendencia está a punto de intensificarse en lo que los ciberdelincuentes buscan ganancias financieras e interrupciones operativas.
- Aumento de ataques patrocinados por naciones-estados y el hacktivismo como nueva normalidad
En medio de las crecientes tensiones geopolíticas, el número de ciberataques patrocinados por naciones-estados también podrían incrementarse en el próximo año y existen grandes probabilidades de que estos ataques amenacen con el robo o cifrado de datos, la destrucción de la infraestructura de TI, el espionaje a largo plazo y el sabotaje cibernético.
Otra tendencia notable es el hacktivismo, que se ha vuelto más común como parte de conflictos geopolíticos. Estas tensiones indican un probable aumento de la actividad hacktivista, tanto destructiva como destinada a difundir información falsa, lo que provocará investigaciones innecesarias y la consiguiente fatiga de los analistas de SOC y de los investigadores de ciberseguridad por estas alertas.
Read More