Las diez peores violaciones de seguridad en 2014

Terminamos el ao con las diez peores violaciones de seguridad en 2014. Un resumen

que muestra que la introduccin del malware en todo tipo de plataformas, el robo
de datos y la invasin a la privacidad, cotizan al alza en la Internet
mundial, obligando a usuarios y empresas a tomar medidas pro-activas para su
control.
Tambin preocupantes los ciberataques de todo tipo con los que se salda 2014, tanto
DDos a servicios comerciales como el uso de estrategias de ciberespionaje para
rastrear y recoger datos valiosos en ataques dirigidos a empresas estratgicas.
Recuperar la confianza del consumidor en la capacidad de los proveedores de
productos y servicios para proteger sus datos ser clave para el prximo ao a la vista
de las mayores violaciones de seguridad en 2014 y que resumimos:

Caso Sony Pictures

El ciberataque a Sony Pictures ha sido uno de los ltimos del ao pero quiz el ms
relevante por todas sus repercusiones. A finales de noviembre, un ataque informtico
a Sony Pictures realizado por el grupo por un grupo denominado GOP, dej sin
servicio externo y paraliz la red interna corporativa de esta filial con sede en Estados
Unidos que gestiona la distribucin de producciones cinematogrficas y televisivas de
la compaa japonesa.
Solo era el comienzo. Con los datos recogidos, el grupo tambin consigui hackear
varias cuentas de Twitter de pelculas producidas por Sony Pictures, rob datos
y salarios de empleados, informacin financiera, planes de marketing, contratos
con socios de negocios y un largo etc. Despus vino el filtrado de pelculas que an

no han llegado a la gran pantalla y un montonazo de cotilleos a base de correos

electrnicos entre actores, directores y productores, incluyendo el regalo de Navidad
que prometi el grupo y que consisti en 12.000 correos electrnicos del presidente
del estudio, Michael Lynton, que habran sido robados en el ataque a la compaa.
Los atacantes, incluso lograron a base de amenazas, paralizar la distribucin de la
pelcula The Interview, segn algunos analistas el motivo del ataque ciberntico
a Sony Pictures realizado desde o por encargo de Corea del Norte. Dos exempleados han presentado una demanda contra Sony Pictures por no proteger sus
datos y el suceso se ha metido de lleno en las ya complicadas relaciones entre
Estados Unidos y Corea del Norte. El caso ya est siendo valorado como el peor
ataque a una compaa comercial de la historia de Internet.

Ataque a Home Depot

El gigante minorista del bricolaje, The Home Depot, confirm en septiembre el gran
alcance
del
ataque
informtico
a
sus
servidores reconociendo
el
compromiso para 56 millones de tarjetas de compra nicas.
La brecha de seguridad fue una de las mayores conocidas en una red corporativa y
afect potencialmente a todos los clientes que hubieran realizado una compra entre

abril y septiembre en cualquiera de las casi 4.000 tiendas que la compaa tiene en
Estados Unidos y Canad.
Se cree que para el ataque se utiliz la herramienta conocida como BlackPOS que
explota una vulnerabilidad de seguridad. Los expertos criticaron a Home Depot por no
haber informado antes sobre el incidente (con ataques desde hace cinco meses) y
hacerlo slo cuando investigadores externos sacaron el caso a la luz, a travs de la
informacin de trabajadores annimos de la compaa que habran encontrado una
variante del BlackPOS en sus sistemas.
Los mismos trabajadores comentaron que Home Depot ignor mltiples alertas de
seguridad durante aos. El caso es tan grave que son varias las agencias
estadounidense que lo estn investigando ya que pone en duda la seguridad de los
sistemas de pago de las grandes cadenas minoristas.

Roban fotos comprometidas de iCloud

El servicio de almacenamiento en nube de Apple ha sido fuente constante

de ataques en 2014. El ms noticiosoocurri en el mes de septiembre
cuando imgenes comprometidas de ms de cien celebridades salieron a la luz
tras un un ataque a iCloud. Los hackers robaron las fotografas alojadas en la nube y
las subieron al portal 4chan, desde donde fueron colgadas en Twitter y en todo
Internet.

Las primeras informaciones apuntaron a una vulnerabilidad en el servicio Buscar mi

iPhone por el cual podran haber conseguido acceso a las cuentas de las vctimas.
Tambin por fallos en el propio iCloud, a travs de unataque de fuerza bruta que
consiste en automatizar la prueba de contraseas hasta dar con la correcta, en este
caso con un script en Python subido a GitHub.
Apple neg que se tratara de un fallo de seguridad en iCloud asegurando que
ciertas cuentas de celebridades fueron comprometidas por un ataque muy especfico
sobre nombres de usuario, contraseas y preguntas de seguridad. Apple inculp
directamente a las mismas celebrities por el uso de contraseas dbiles y stas se
defendieron amenazando al mismo Google por los enlaces a sus imgenes.
El escndalo tambin sirvi para discutir sobre el uso de este tipo de servicios para
subir fotos comprometidas y los fallos de configuracin de los terminales para envo
automtico a iCloud.

Ataque a eBay

eBay inform en abril de un ataque ciberntico exitoso que habra vulnerado su

seguridad y robado datos de clientes como correos electrnicos, direcciones o
fechas de nacimiento. El ataque fue posible previa vulneracin de cuentas de algunos
empleados lo que permiti a los asaltantes hacerse con las credenciales de acceso a
la red corporativa.

La firma de comercio electrnico y subastas dijo no tener constancia de que los

asaltantes lograran acceder adatos financieros o de tarjetas de crdito de
usuarios que se procesan en un servidor independiente, con cifrado de datos.
Tampoco habran accedido a los datos del servicio de pagos on-line de su
propiedad PayPal.
En todo caso, el problema de seguridad fue muy serio ya que se trata de una de las
mayores empresas mundiales de comercio electrnico con 128 millones de usuarios
activos.
Meses
antes,
el
grupo
hacker
autodenominado Ejrcito
Electrnico
Sirio (SEA) hacke los portales de comercio electrnico britnicos eBay UK y PayPal
UK. El hackeo no fue ms all de la desfiguracin de las pginas de los sitios web
pero avanz el ataque posterior.

Violacin de datos en JP Morgan Chase

Piratas informticos lanzaron una serie de ciberataques contra el JP Morgan y otras

entidades financieras estadounidenses en operaciones coordinadas que se
sospecha llegaron de Rusia.
Los atacantes habran accedido a una gran cantidad de datos personales y
financieros sensibles de 77 millones de clientes y 7 millones de empresas. An hoy
se desconoce si sus motivaciones fueron econmicas o se trat de operaciones de
inteligencia ya que no se han encontrado fraudes por el ataque.
La sofisticacin del ataque al mayor banco de Amrica y los indicadores tcnicos
extrados de los ordenadores de los bancos proporcionaron evidencias de vnculo con
el gobierno ruso. Tambin se consider la posibilidad que fueran criminales
cibernticos de Rusia o de Europa del Este.
JP Morgan Chase reconoci el ataque aunque seal que no se habra vulnerado
ninguna informacin financiera. Los piratas informticos accedieron a las cuentas
en ms de 90 servidores. La entidad sigue trabajando conjuntamente con el FBI y el
servicio secreto americano para identificar el origen de un ataque que ya se ha
calificado como uno de los mayores ciberataques de la historia a una entidad
financiera.

Ataque a Target

El ataque exitoso a una base de datos del minorista estadounidense Target sucedido a
finales de 2013, ha seguido llenando titulares este ao y ms tras la violacin de
seguridad en Home Depot, previo a otro agujero de seguridad en Neiman Marcus.
El ataque comprometi al menos 40 millones de tarjetas de crdito y dbito y
pudo incluir el robo de nmeros de identificacin personal (PIN), algo negado por
la compaa.
Sin embargo, JPMorgan Chase & Co y Santander Bank bajaron los lmites de la
cantidad de dinero que los consumidores podan retirar de cajeros automticos y
gastar en tiendas. Una medida inusual que para los expertos de seguridad reflejaba
las preocupaciones de que los PIN hubieran cado efectivamente en manos de
criminales, incluso aunque estn codificados.
Un caso que afect gravemente a la credibilidad de la compaa a pesar de los
descuentos de precio y la promesa de mejorar la seguridad. Al menos dos estados,
California y Oregon, presentaron demandas contra Target y lo sucedido abri el debate
de la seguridad en el retail.

Publican millones de cuentas y contraseas de Gmail

Peter Kruse, director de tecnologa del grupo de seguridad CSIS en Copenhague,

inform en septiembre de la aparicin en un foro ruso de 5 millones de cuentas y
contraseas de Gmail.
Se trataba de una base de datos con nombre y contrasea de cuentas (principalmente
rusas, britnicas y espaolas) para acceso al cliente de correo electrnico de Google,
que poda descargarse libremente y que todava anda circulando por las redes P2P.
Varios expertos aseguraron que ms del 60% de las combinaciones de usuarios y
contraseas eran vlidas.
Ante la preocupacin general que un servicio que utilizan a diario decenas de millones
de uuarios estuviera comprometido, Google asegur no tener evidencia de ninguna
violacin de seguridad. La base de datos corresponda a una recopilacin de
credenciales recopilada mediante tcnicas de phishing en distintos foros y sitios
web durante los ltimos tres aos. La mayora de contraseas eran invlidas y Google
dice que sus sistemas automatizados bloquearon los intentos de secuestro de
cuentas.

Ciberataques a sistemas de salud

Una
empresa que opera en 206 hospitales en Estados Unidos fue hackeada en el mes de
agosto, vulnerando la seguridad de datos de 4,5 millones de pacientes.
Es solo la punta del iceberg. Un informe de las firmas de seguridad Norse y
SANS encontraron 50.000 ataques maliciosos a organizaciones dedicadas al
sector de la Salud, 375 de ellos exitosos, confirmando que los delincuentes
cibernticos han puesto sus ojos en esta industria.
Los dgitos de tarjetas de crdito o seguro social son poca cosa para los
defraudadores del mercado negro. Lo ltimo que est funcionando bien son los
registros mdicos. Estn llenos de datos personales de lo ms sensibles que revela
una instantnea de todo tu ciclo vital. Es por ellos que los ataques cibernticos
dirigidos a la industria del sector de la salud estn aumentando.
Para el estudio, los investigadores recogieron datos mediante la creacin de trampas
honeypot con el objetivo de detectar el trfico malicioso. Los datos confirmaron
anteriores informes que indican la amenaza. Solo un dato: el sector de la salud sufri
el pasado ao en Estados Unidos, ms ataques cibernticos que cualquier otra,
incluyendo la de negocios algo que era improbable hasta la fecha.

Hackean Dominos Pizza

Piratas informticos hackearon los servidores que la multinacional de comida rpida

Dominos Pizza tiene en Francia y Blgica, robando los datos de ms de 600.000
clientes.
Los datos incluyeron los nombres de los clientes, direcciones, nmeros de telfono,
direcciones de correo electrnico, contraseas e instrucciones de entrega. Segn la
compaa, los datos de las tarjetas de crdito no se vieron afectados.
Un mensaje annimo en Twitter de un presunto portavoz de una organizacin hacker
conocida como Rex Mundi se responsabiliz del ataque y amenaz con publicar la
base de datos si Dominos Pizza no les entregaba 30.000 euros.
Firmas de seguridad como Sophos aconsejaron el cambio inmediato de las
contraseas usadas en Dominos Pizza y de paso seguir las recomendaciones
generales para la construccin de una contrasea lo ms robusta posible y no
utilizar la misma para varios sitios en Internet.

Comprometen AOL Mail

AOL investig una brecha en la seguridad de su servicio de correo electrnico por la

que un nmero significativo de cuentas habran sido comprometidas. La
informacin afectada incluy nombres de usuario, contraseas cifradas, respuestas de
seguridad cifradas y agendas de contactos.
AOL indic no tener constancia de que los datos cifrados hubieran sido vulnerados
pero la recomendacin para cualquier usuario de la compaa estadounidense fue la
de costumbre: cambiar cuantos antes sus contraseas y frases de seguridad.
Aunque no es muy popular por estos lares, AOL Mail es un servicio ampliamente
utilizado en Estados Unidos y otros pases de Amrica y segn fuentes externas pudo
comprometer hasta 80 millones de cuentas.