Filtraciones de datos y fallos de ciberseguridad

En los últimos años, las fugas y violaciones de datos han surgido como riesgos significativos para las organizaciones, en particular para aquellas que dependen en gran medida de los servicios en la nube para almacenar y gestionar sus datos sensibles. Una serie de incidentes en los que se ha visto implicado el mayor fabricante de automóviles del mundo, Toyota, sirve para recordar las vulnerabilidades potenciales que pueden exponer los datos sensibles de los clientes y las lecciones que las empresas deben aprender de tales incidentes.

Echemos un vistazo.

Anatomía de una fuga de datos

Toyota se ha visto envuelta en una serie de fugas de datos que han dejado al descubierto datos confidenciales de clientes, como nombres, domicilios, números de teléfono, direcciones de correo electrónico, identificaciones de clientes, matrículas de vehículos y números de identificación de vehículos. Estos incidentes revelan varios fallos clave de ciberseguridad.

En un caso, la empresa reveló una filtración de datos después de que un desarrollador publicara inadvertidamente el código fuente de una aplicación orientada al cliente en GitHubel de facto repositorio de código en línea. Esta filtración, que pasó desapercibida durante unos cinco añosexpuso las direcciones de correo electrónico y los números de gestión de casi 300.000 clientes. El código fuente filtrado también contenía una clave de acceso al servidor de datos, lo que permitió el acceso no autorizado a los datos almacenados de los clientes.

En otro incidente, Toyota admitió una segunda fuga de datos en menos de tres semanas, esta vez debido a un servicio en la nube configurado incorrectamente que se estableció accidentalmente como público en lugar de privado. Esta configuración errónea dejó en peligro a más de 2 millones de clientes, y los datos estuvieron probablemente accesibles desde octubre de 2016 hasta mayo de 2023.

Además, el negocio indio de Toyota reveló una filtración de datos que podría haber expuesto la información personal de algunos clientes, lo que pone de manifiesto la naturaleza global de los retos de ciberseguridad de la empresa.

Necesidad de una investigación de seguridad adecuada

Estos incidentes ponen de relieve la necesidad crítica de investigar adecuadamente la seguridad de todos los servicios en la nube. Los proveedores de servicios en la nube ofrecen potentes herramientas para almacenar y gestionar datos, pero la información no debe considerarse automáticamente segura por el mero hecho de estar alojada en la nube.

La responsabilidad de proteger los entornos en nube recae en las propias empresas. Esto incluye garantizar que los controles de acceso estén correctamente configurados, que los datos estén cifrados en reposo y en tránsito, y que existan sistemas de supervisión para detectar cualquier acceso o actividad no autorizados.

En el caso de Toyota, un error humano condujo a la configuración errónea de su principal servicio en la nube, dejándolo a disposición del público durante años. Esto subraya la importancia de realizar auditorías y revisiones periódicas de las configuraciones de la nube para garantizar que son seguras y cumplen las mejores prácticas.

Los peligros de almacenar código fuente públicamente

El incidente en el que el código fuente de la aplicación de Toyota para clientes se publicó en GitHub también pone de relieve los peligros de almacenar código fuente en repositorios públicos en línea. Aunque GitHub y otras plataformas similares tienen un valor incalculable para la colaboración y el control de versiones, también pueden exponer datos confidenciales si no se utilizan correctamente. 

Cada dos días aparecen historias sobre secretos, contraseñas o tokens compartidos inadvertidamente, dejados por error dentro del código fuente. Incluso con las herramientas actuales integradas directamente en GitHub, se siguen publicando secretos con regularidad. No es de extrañar que esto también haya sido observado por actores maliciosos, que escanean regularmente los nuevos commits en busca de este tipo de hallazgos.

En este incidente, el código fuente publicado contenía una clave de acceso que permitía el acceso no autorizado a un servidor de datos, lo que llevó a la exposición de datos de clientes. Esto sirve como un duro recordatorio de que las empresas deben asegurarse de que su código fuente no contiene ninguna información sensible, como claves de acceso o credenciales, antes de publicarlo en un repositorio público.

Creación de una postura de ciberseguridad eficaz

Todos estos vectores aumentan el perfil de riesgo de una organización y deben tenerse en cuenta a la hora de preparar una postura de ciberseguridad eficaz. Las empresas deben adoptar un enfoque proactivo de la ciberseguridad, que incluya auditorías periódicas de sus sistemas informáticos, una supervisión continua de las actividades sospechosas y una formación continua de los empleados para minimizar el riesgo de error humano. No hacerlo, o relegarlo a un segundo plano, es como construir Fort Knox pero dejar las llaves* de la puerta principal bajo el felpudo de bienvenida.

También es crucial que las empresas cuenten con un sólido plan de respuesta a incidentes para gestionar cualquier violación de datos que se produzca. Este plan debe incluir medidas para identificar y contener la violación, investigar sus causas, notificar a los clientes afectados y tomar medidas para prevenir incidentes similares en el futuro.

En el caso de Toyota, la empresa tomó algunas medidas positivas tras los incidentes. Por ejemplo, emitió una disculpa (no olvidemos que uno de los principales daños derivados de las violaciones y filtraciones de datos es la pérdida de reputación y de confianza) e implantó un sistema para supervisar las configuraciones de la nube tras la segunda filtración de datos. Sin embargo, el hecho de que estos incidentes se produjeran en primer lugar demuestra que todavía hay margen de mejora en la postura de ciberseguridad de la empresa.

Conclusión

La serie de filtraciones de datos en Toyota es un cuento con moraleja para todas las organizaciones. En el mundo digital actual, todas las empresas son un objetivo potencial para los ciberdelincuentes -el tamaño no es un factor decisivo para los actores de las amenazas- y la responsabilidad de proteger sus datos recae directamente sobre sus hombros. 

Si reconoce las posibles vulnerabilidades de sus sistemas informáticos, aplica un riguroso examen de seguridad a sus servicios en la nube, garantiza el manejo seguro de su código fuente y adopta un enfoque proactivo de la ciberseguridad, podrá reducir significativamente su perfil de riesgo y proteger los datos confidenciales de sus clientes.

[* - El autor entiende que probablemente haya más de un juego de llaves necesario para abrir el Depósito de Lingotes de Fort Knox propiamente dicho, y no hay alfombra de bienvenida lo suficientemente grande para ocultarlas. Era una hipérbole].

Resumen

Nombre del artículo

Filtraciones de datos y fallos de ciberseguridad

Descripción

Analicemos las fugas y violaciones de datos que han supuesto un riesgo importante para las organizaciones en los últimos años.

Autor

Joao Correia

Nombre del editor

TuxCare

Logotipo de la editorial