Tres violaciones de datos de renombre

Las filtraciones de datos ocurren todo el tiempo por todo tipo de razones. Las que salen en las noticias tienen tres cosas en común:

1. Los datos nos afectan a usted y a mí, al público, a la gente corriente.
2. Los datos nos afectan a muchos, millones, incluso miles de millones.
3. Las empresas que se ocupan de los datos son nombres muy conocidos.

En este artículo vamos a analizar tres empresas famosas, cada una de las cuales perdió los datos de muchas personas.

El valor de los datos

Para los piratas informáticos y los ciberdelincuentes, los datos personales, o la información de identificación personal (IIP), son una especie de moneda de cambio. (PII significa cosas como fechas de nacimiento, números de tarjetas de crédito, direcciones de correo electrónico, cualquier cosa que pueda utilizarse para identificar a un individuo). Estos datos son valiosos. Los registros personales pueden venderse a otros delincuentes por hasta 250 dólares por persona. Los registros PII pueden utilizarse para obtener fondos fraudulentos suplantando la identidad o chantajeando a alguien. Si los datos incluyen contraseñas poco cifradas, éstas pueden descifrarse y utilizarse para piratear otras cuentas, ya que muchos de nosotros reutilizamos la misma contraseña en varios sitios.

Las filtraciones de datos no son un problema nuevo. Pero la reacción del público ante las grandes filtraciones de datos ha cambiado. Muchas empresas basan todo su modelo de negocio en la monetización de los datos personales privados de sus clientes. Cuando esos datos se hacen públicos, los clientes huyen, la reputación se desmorona y las cotizaciones bursátiles caen. Todo ello supone un perjuicio económico para la empresa que custodia los datos.

Cómo se producen las filtraciones de datos

Hay muchas razones para las violaciones de datos y muchas formas de clasificarlas. La más reveladora es agruparlas en evitables y no evitables. Un ejemplo de violación de datos no prevenible sería la explotación de una vulnerabilidad desconocida (de día cero) en un software.

Una violación de datos evitable se debería a una mala configuración del servidor o de la base de datos, al envío o publicación accidental de credenciales en texto plano o, lo más deplorable, a la no actualización del software. Es deplorable porque implica no actuar en lugar de actuar mal. Es el clásico caso en el que no hacer nada conduce al desastre.

Por qué evitamos parchear el software

He aquí algunas respuestas clásicas (y nuestras interpretaciones) a las encuestas del sector en las que se pregunta a las empresas por qué no instalan inmediatamente los parches de software.

Para ilustrarlo mejor, he aquí los detalles de tres famosas violaciones de datos.

1. Equifax (2017)

• Se robaron los registros personales de 148 millones de personas.
• Los piratas informáticos explotaron una vulnerabilidad conocida que llevaba entre 2 y 5 meses sin parchear.

Con sede en Atlanta, GA, Equifax es una empresa de calificación crediticia de consumidores S&P 500. Cuenta con 9.900 empleados y presta servicio a 800 millones de clientes y 88 millones de empresas.

Es grande, y probablemente por eso fue el objetivo: un pirateo arroja muchos datos.

Equifax fue víctima de una vulnerabilidad conocida en Apache Struts, un marco de código abierto que las empresas utilizan para crear aplicaciones web Java.

Los acontecimientos se desarrollaron así:

• 7 de marzo de 2017: Vulnerabilidad reportada y parcheada.
• Julio de 2017: Equifax hackeado.
• 29 de julio de 2017: Se detecta una violación de datos.
• 7 de septiembre de 2017: Se revela una violación de datos.

Pero no todo se debió a la inacción humana. Tenían un escáner de vulnerabilidades, pero no informaba del problema.

Lecciones

• No retrase la aplicación de parches.
• Los escáneres no pueden detectar vulnerabilidades desconocidas.

2. Marriott (2018)

• Se robaron los registros personales de 327/383/500 millones de personas (las estimaciones varían).

Con sede en Maryland, esta empresa hotelera estadounidense cotiza tanto en el S&P 500 como en el NASDAQ-100.

Emplea a unas 177.000 personas y es famosa sobre todo por su cadena hotelera, una de las más de 30 marcas repartidas en más de 7.000 establecimientos en 130 países. (Si no conoce el nombre, necesita salir más).

Se descubrió que se había accedido ilegalmente al sistema de reservas de su grupo de hoteles Starwood (empresa adquirida anteriormente) hasta 4 años antes de ser detectado. Una herramienta de seguridad interna detectó una consulta sospechosa a una base de datos. Tras la investigación, se descubrió que los datos extraídos habían sido cifrados antes de la filtración. El personal de Marriott tardó dos meses en descifrar la información. La caché de datos contenía números de pasaporte y de tarjetas de crédito, entre otras IPI.

• 8 de septiembre de 2018: Detectada violación de datos.
• 19 de noviembre de 2018: Se investiga una violación de datos.
• 30 de noviembre de 2018: Revelada la violación de datos.

Lecciones

• Cuando se compra una empresa, también se compran sus datos y se asume la responsabilidad sobre ellos.

3. Yahoo (2013-2014)

• Se robaron los registros personales de 3.000 millones de personas.

Yahoo fue pirateada en 2013 y 2014, pero la verdadera magnitud de la filtración de datos no se reveló hasta 2017, cuando se anunció que se habían robado los datos de todos y cada uno de los titulares de cuentas de Yahoo. (El retraso en la revelación tuvo mucho que ver con el acuerdo que Yahoo tenía entonces para ser comprada por Verizon, que finalmente siguió adelante con un descuento de 350 millones de dólares).

Los datos robados incluían nombres de titulares de cuentas, fechas de nacimiento, números de teléfono y contraseñas débilmente cifradas. Este último dato significaba que se habían pirateado otras cuentas de muchos usuarios, ya que muchas personas reutilizan la misma contraseña en varios sitios.

Lecciones

• Cuanto más grande seas, más atractivos serán tus datos.

Los datos personales son el nuevo petróleo, y se filtran por todas partes. Con ellos, las empresas construyen imperios y los gobiernos obtienen información. Los piratas informáticos recogen los restos y obtienen más ingresos mediante la extorsión, el chantaje y el robo.

La aplicación automática de parches bloquea una de las causas más evitables de las filtraciones de datos: el software obsoleto. La solución de parches en vivo de KernelCare protege los núcleos de Linux. Puedes leer más sobre cómo una gestión de parches más rápida permite el cumplimiento de normativas en nuestro artículo basado en el discurso de Igor Seletskiy, CEO de KernelCare, en la Conferencia RSA.