Con la polarización política, los disturbios y la escalada de violencia en muchas regiones del mundo, el año 2023 estuvo plagado de incertidumbre y tragedia. Sin embargo, en el ámbito de la seguridad digital, el año se sintió más como un Día de la Marmota de incidentes causados por tipos clásicos de ataques, como phishing y ransomware, que como una montaña rusa de innovación en hacking ofensivo.
Sin duda, el trabajo de ciberseguridad continuará en 2024, pero para culminar los últimos 12 meses, aquí está el análisis de WIRED de las peores infracciones, filtraciones, ataques de ransomware, casos de extorsión digital y campañas de piratería patrocinadas por el estado del año. Manténgase alerta y manténgase a salvo ahí fuera.
Uno de los ataques más impactantes de 2023 no fue un solo incidente, sino una serie de violaciones devastadoras, que comenzaron en mayo, causadas por la explotación masiva de una vulnerabilidad en el popular software de transferencia de archivos conocido como MOVEit. El error permitió a los piratas informáticos robar datos de una larga lista de entidades y empresas gubernamentales internacionales, incluida la Oficina de Vehículos Motorizados de Luisiana, Shell, British Airways y la Departamento de Energía de Estados Unidos. Progress Software, que desarrolla MOVEit, parcheó el defecto a finales de mayo, y la adopción generalizada de la solución finalmente detuvo la ola. Pero la banda de extorsión de datos “Cl0p” ya había emprendido un viaje desastroso, explotando la vulnerabilidad contra tantas víctimas como fuera posible. Las organizaciones todavía se están presentando para revelar incidentes relacionados con MOVEit, y los investigadores dijeron a WIRED que es casi seguro que este goteo de actualizaciones continuará en 2024 y posiblemente más allá.
Cl0p, con sede en Rusia, surgió en 2018 y funcionó como actor de ransomware estándar durante algunos años. Pero la pandilla es particularmente conocida por encontrar y explotar vulnerabilidades en software y equipos ampliamente utilizadossiendo MOVEit el último ejemplo, para robar información de una gran población de víctimas y realizar campañas de extorsión de datos en su contra.
La plataforma de gestión de identidad Okta reveló una violación de su sistema de atención al cliente en octubre. La empresa dijo en ese momento que alrededor del 1 por ciento de sus 18.400 clientes se vieron afectados. Pero la empresa tuvo que revisar su evaluación en noviembre para reconocer que en realidad todo A muchos de sus usuarios de atención al cliente les habían robado datos durante la infracción.
La estimación original del 1 por ciento provino de la investigación de la compañía sobre la actividad en la que los atacantes utilizaron credenciales de inicio de sesión robadas para apoderarse de una cuenta de soporte de Okta que tenía algún acceso al sistema del cliente para ayudar a los usuarios a solucionar problemas. Pero esa evaluación había pasado por alto otra actividad maliciosa en la que el atacante ejecutó una consulta automatizada de una base de datos que contenía nombres y direcciones de correo electrónico de «todos los usuarios del sistema de atención al cliente de Okta» y algunos empleados de Okta. Al igual que con otros incidentes de este año, parte de la importancia del incidente de Okta proviene del hecho de que la empresa desempeña un papel fundamental en la prestación de servicios de seguridad para otras empresas, pero sufrió una violación previa de alto perfil en 2021.
La Agencia de Seguridad Nacional de Estados Unidos y sus servicios de inteligencia aliados en todo el mundo han estado advertencia desde mayo que un grupo patrocinado por Beijing conocido como Volt Typhoon ha estado apuntando a redes de infraestructura crítica de Estados Unidos, incluidas las redes eléctricas, como parte de su actividad. Los funcionarios han seguido reforzando que los defensores de la red deben estar atentos a actividades sospechosas que puedan indicar una operación clandestina. El hackeo de Volt Typhoon, y el de otros hackers respaldados por Beijing, está impulsado en parte por la reserva de vulnerabilidades de día cero del gobierno chino, que pueden usarse como armas y explotarse. Beijing recopila estos errores a través de investigaciones, y algunos también pueden surgir como resultado de una ley que exige la divulgación de vulnerabilidades.
Mientras tanto, en junio, Microsoft dijo que un grupo de hackers respaldado por China había robado una clave criptográfica inmensamente sensible de los sistemas de la empresa que permitía a los atacantes acceder a sistemas de correo electrónico Outlook basados en la nube para 25 organizaciones, incluidas varias agencias gubernamentales de EE. UU. en un Post mortem Publicado en septiembre, Microsoft explicó que el acceso indebido a la clave era increíblemente improbable, pero que en este caso se produjo debido a una singular comedia de errores. Sin embargo, el incidente fue un recordatorio de que los piratas informáticos respaldados por el Estado chino llevan a cabo una cantidad masiva de operaciones de espionaje cada año y a menudo acechan sin ser detectados en las redes, esperando el momento oportuno para aprovechar cualquier falla o error.
Los casinos MGM en Las Vegas y otras propiedades de MGM en todo el mundo sufrieron interrupciones masivas y perturbadoras del sistema en septiembre después de un ciberataque por parte de una filial del notorio grupo de ransomware Alphv. El ataque causó caos tanto para los viajeros como para los jugadores, y el grupo de hospitalidad tardó días (en algunos casos, incluso semanas) en recuperarse, ya que los cajeros automáticos dejaron de funcionar, las tarjetas de acceso de los hoteles dejaron de funcionar y las máquinas tragamonedas se apagaron.
Mientras tanto, Caesars Entertainment confirmó en EE. UU. documento regulatorio en septiembre que también había sufrido una violación de datos a manos de Alphv, en la que muchos de los números de seguridad social y de licencia de conducir de los miembros de su programa de fidelización fueron robados, junto con otros datos personales. El periodico de Wall Street reportado en septiembre, Caesars pagó aproximadamente la mitad de los 30 millones de dólares que los atacantes exigieron a cambio de la promesa de que no divulgarían datos robados de los clientes. Según los informes, MGM no pagó el rescate.
En diciembre de 2022, LastPass, fabricante del popular administrador de contraseñas, dijo que una violación de agosto de 2022 que había revelado a fines de noviembre de 2022 era peor de lo que la empresa pensaba originalmente, y las copias cifradas de las bóvedas de contraseñas de algunos usuarios se habían visto comprometidas, además de otra información personal. Fue una revelación profundamente preocupante dado que LastPass ha sufrido otros incidentes de seguridad en el pasado y los usuarios confían a la empresa las partes más sensibles de sus vidas digitales.
Sin embargo, además de esto, la compañía reveló un segundo incidente en febrero de 2023 que también comenzó en agosto de 2022. Los atacantes comprometieron la computadora personal de uno de los ingenieros senior de la compañía, que tenía acceso especial a los sistemas más confidenciales de LastPass, y robaron la autenticación. cartas credenciales. Estos, a su vez, les permitieron acceder a un entorno de almacenamiento en la nube de Amazon S3 y, en última instancia, a “copias de seguridad de producción de LastPass, otros recursos de almacenamiento basados en la nube y algunas copias de seguridad de bases de datos críticas relacionadas”, dijo la empresa. escribió en marzo, una violación devastadora para una empresa de gestión de contraseñas.
23andMe reveló a principios de octubre que los atacantes habían comprometido con éxito algunas de las cuentas de sus usuarios y habían aprovechado ese acceso para extraer los datos personales de un mayor número de usuarios a través del servicio de intercambio social opcional “DNA Relatives” de la compañía. En esa divulgación inicial, la compañía no dijo cuántos usuarios se vieron afectados. Mientras tanto, los piratas informáticos comenzaron a vender datos que parecían haber sido tomados de un millón o más de usuarios de 23andMe. Luego, en una reunión de la Comisión de Bolsa y Valores de EE.UU. presentación A principios de diciembre, la compañía dijo que el atacante había accedido al 0,1 por ciento de las cuentas de usuario, o aproximadamente 14.000 por año. estimación de la empresa que tiene alrededor de 14 millones de clientes. La presentación ante la SEC no incluyó un mayor número de personas afectadas por el raspado de ADN de familiares, pero 23andMe finalmente confirmado a TechCrunch que los piratas informáticos recopilaron datos de 5,5 millones de personas que habían optado por DNA Relatives, además de información de 1,4 millones de usuarios adicionales de DNA Relatives a quienes «se accedió a la información de su perfil de Family Tree». Algunos de los datos robados incluían clasificaciones como la descripción de subconjuntos de usuarios. como “judíos asquenazíes”, “ampliamente árabes” o de ascendencia china, lo que potencialmente los expone a ataques específicos.
Si bien es preocupante, el robo de datos no incluía información genética sin procesar y, por lo general, no calificaría como el «peor hackeo» en sí mismo. Pero la situación fue un recordatorio importante de lo que está en juego cuando se trata de información relacionada con la genética y la ascendencia, y las posibles consecuencias no deseadas de agregar mecanismos de intercambio social a servicios sensibles, incluso cuando la participación del usuario es voluntaria.
El proveedor de servicios inalámbricos T-Mobile ha sufrido una cantidad ridícula de violaciones de datos en los últimos años y ahora tiene la dudosa distinción de ser dos veces ganador de una mención honorífica en los resúmenes anuales de Worst Hacks de WIRED. Este año, la empresa reveló dos infracciones. Uno comenzó en noviembre de 2022 y finalizó en enero, impactando a 37 millones de clientes actuales tanto en cuentas prepago como pospago. Los atacantes robaron los nombres de los clientes, direcciones de correo electrónico, números de teléfono, direcciones de facturación, fechas de nacimiento, números de cuenta y detalles del plan de servicio. La segunda infracción, que ocurrió entre febrero y marzo y se reveló en abril, fue pequeña y afectó a menos de 900 clientes. Sin embargo, es significativo porque los datos robados incluían nombres completos, fechas de nacimiento, direcciones, información de contacto, información de identificación gubernamental, números de Seguro Social y pines de cuentas de T-Mobile; en otras palabras, las joyas de la corona de cientos de personas.