Las mayores fugas de datos de la historia reciente

La fuga de información o data breaches que han sufrido diferentes empresas y organizaciones, tanto si ocurren desde dentro (los llamados inside jobs) o desde fuera (ejecutada por atacantes externos), ha ido creciendo en número con el paso del tiempo. Estos ataques suelen tener como objetivo agencias del gobierno, páginas sociales, páginas de citas, venta online, bancos y sitios que gestionan temas relacionados con la salud.

La información tiende a estar almacenada cada vez más en servicios online tipo nube con los riesgos que esto conlleva. El riesgo de fuga de datos aumenta cada día ya que cada vez más aparecen vulnerabilidades y técnicas de ataque que permiten explotar fallos que pueden suponer un acceso no autorizado a la información almacenada en sus servidores.

Los tipos de ataques externos son los más comunes y estos ocurren principalmente cuando un atacante se infiltra y extrae información sensible de una organización o empresa que se ha marcado como objetivo. Puede ser un ataque con acceso físico (accediendo directamente a los ordenadores dentro de la organización o desde una red interna) o con acceso externo, saltándose las protecciones de seguridad de la red de la empresa. Estos ataques suelen estar compuestos de varias fases:

• Investigación: se buscan fallos y vulnerabilidades, por ejemplo, en las plataformas que alojan la infraestructura de la empresa u organización. Se pueden buscar fallos en las personas, sistemas o redes.
• Ataque: se realiza desde la red o desde un ataque tipo ingeniería social
  • Ataque de Red: el atacante utiliza fallos de seguridad (por ejemplo, un 0Day) o herramientas de seguridad para atacar la infraestructura de la empresa, sistemas, aplicaciones o redes para encontrar una vulnerabilidad y acceder.
  • Ataque Ingeniería Social: un empleado puede ser engañado para conseguir sus credenciales o para convencerle a abrir un fichero malicioso enviado a su ordenador o cualquier otro dispositivo móvil.
• Exfiltración: una vez dentro de la organización o de la empresa, el atacante puede abrirse paso dentro de la misma hasta encontrar una fuente de información. Puede utilizar internamente también los tipos de ataques antes descritos.

Antes del año 2009, la mayoría de las fugas de datos fueron causadas por errores o actuaciones de personas internas a la organización. Por ejemplo, pérdida de dispositivos con información (disco duro, pendrives, portátiles, etc) o robo intencionado desde el interior de la empresa (los antes mencionados inside jobs). Con el auge de los negocios por Internet, es a partir de este año 2009 cuando comienzan a aparecer otros tipos de ataques más relacionados con la explotación de vulnerabilidades o técnicas de cracking.

En este gráfico, en su versión interactiva que puedes ver aquí, podemos filtrar según el tipo de organización y el tipo de ataque:

Impresionan algunos números como por ejemplo la fuga de información de la empresa River City Media con 1.370 millones de registros perdidos, el caso de LinkedIn donde se filtró una base de datos con 167 millones de presuntas credenciales o los famosos 1.000 millones de Yahoo!. De todas formas, tenemos que tener en cuenta no sólo el número de registros perdidos sino la sensibilidad de los mismos. Los datos de robados en Yahoo! o de otras plataformas como Weebly, son mucho más sensibles que los perdidos en River City Media. En el caso de River City Media, la información comprometida era básicamente correos electrónicos y en cambio en Yahoo! y Weebly los datos robados contenían información mucho más sensible como cuentas bancarias, direcciones, números de teléfono, etc.

Pero, ¿cuál es el valor de esta información? Basándonos en el tipo de dato robado, la información puede tener un valor diferente dentro del mercado negro en el Deep Web. Estos datos pueden tener como destino final por ejemplo duplicar tarjetas de crédito, usurpación de identidad e incluso chantaje. Es bastante habitual que esta información contenga información como nombre, apellidos, fecha de nacimiento, número de la seguridad social (sobre todo en EEUU) o DNI, email, número de teléfono, cuentas bancarias, etc. Por ejemplo, una cuenta de Gmail puede costar entre 0,7$ hasta 1,2$, una de Amazon puede llegar a los 6$, Netflix 1$, datos de usuarios de páginas de adultos suele costar 1$, sitios de citas entre 4 y 10$ por cuenta, etc.

Un único usuario no suele ser el objetivo de los cibercriminales que están robando este tipo de información (excepto en casos de personas muy influyentes o con mucho peso dentro de la organización, a los cuales se les realiza un tipo de ataque especial llamado Spear Phishing). En cambio, es muy probable que le afecte indirectamente esta fuga de datos, así que es recomendable cambiar la contraseña de todos los servicios que hayan podido ser afectados. También podemos acudir a páginas web que permiten comprobar si nuestro correo o nuestro nombre de usuario ha sido comprometido en algún servicio como haveibeenpwned.com y breachalarm.com.

¿Cómo podemos evitar la fuga de datos? Un factor clave es analizar y eliminar la información que ofrecen al exterior nuestros metadatos. Hay muchas empresas que se toman en serio este problema y existen herramientas como Metashield Protector que ayudan a filtrar y controlar la información contenido por ejemplo en gestores documentales. Si tienes alguna consulta relacionada con metadatos y como tratarlos.