El aumento del número de infracciones y los cambios en los patrones de ataque indican que se avecinan tiempos difíciles

Si pensaba que las violaciones de datos eran malas, abróchese el cinturón; están empeorando. En enero, el Centro de Recursos contra el Robo de Identidad de EE. UU. (ITRC) publicó su Informe de violación de datos de 2023. Los hallazgos son nefastos. El informe, ahora en su decimoctavo año, documentó un enorme aumento en el número de incidentes de violación de datos. Realizó un seguimiento de 18 compromisos totales en 3,205, un 2023% más que un máximo histórico de 72 en 1,860.

A los expertos les preocupa que las cadenas de suministro expuestas y la falta de una ley nacional de protección de datos estén dando a los adversarios una ventaja.

Una madre de todas las violaciones

Ese mismo mes, vimos una de las mayores filtraciones de datos de la historia. Apodada la “Madre de todas las infracciones” (MOAB), vio más de 26 mil millones de registros robados de Leak-Lookup, un motor de búsqueda de registros personales vulnerados recopilados de más de 4,000 infracciones que se remontan a años atrás.

Bob Diachenko, fundador de Security Discovery, encontró los registros robados en una instancia mal configurada en línea, lo que significa que cualquiera podría haber accedido a ellos.
Empresa de ciberseguridad SpyCloud encontrado que si bien la mayoría de los registros eran antiguos y habían sido expuestos anteriormente, los datos todavía contenían aproximadamente 1.6 millones de registros de 274 violaciones que no estaban en su propia base de datos existente de registros comprometidos. Alrededor de 30 de las infracciones no reveladas anteriormente contenían duplicados o datos inventados, pero los registros también incluían algunos datos de infracciones que se habían ofrecido previamente para venta privada en línea.

Una doble amenaza

Las violaciones de datos que conducen a la publicación de información personal en línea conllevan varios peligros. La primera es que se pueden utilizar para ataques de relleno de credenciales, en los que los atacantes automatizan ataques de fuerza bruta en varias cuentas utilizando las credenciales expuestas de un ataque.

"Lo más aterrador para un equipo de seguridad es que alguien obtenga acceso a las credenciales y pueda persistir dentro de una organización", le dice a ISMS.online Will Lin, director ejecutivo de la startup de seguridad sigilosa AKA Identity.

Los registros filtrados en línea también son una herramienta útil para lanzar ataques dirigidos, dice Venky Raju, CTO de campo de ColorTokens. Raju observa una caída en el número promedio de víctimas por infracción en los últimos tiempos. Si bien los incidentes de vulneración se dispararon en 2023, el número total de víctimas cayó un 16%, de 425.2 millones en 2022 a poco más de 353 millones el año pasado. Hace seis años, 2.2 millones de registros quedaron expuestos en 1,175 filtraciones, según el ITRC.

“La razón por la que el número de víctimas está disminuyendo es porque [los ataques] ahora están muy dirigidos”, dice Raju a ISMS.online. "Se puede ganar más dinero apuntando a un pequeño número de personas de las que se sabe más que simplemente realizando ataques de rociar y rezar".

Los registros violados pueden contener cualquier cosa, desde simples credenciales de acceso hasta información médica detallada o datos financieros. En enero, el grupo asegurador Chaucer dijo que los datos financieros de 53 millones de personas se vieron comprometidos en violaciones el año pasado.

Los datos personales de las filtraciones permiten a los atacantes aprender más sobre sus víctimas, dice Raju, lo que significa que pueden atacar a individuos de manera más efectiva. Advierte que los atacantes mejoran estos datos con aún más información comprada a intermediarios de datos. Estos pueden usarse para estafas que incluyen la matanza de cerdos, en las que los atacantes atraen a las personas a entablar relaciones y luego las persuaden para que inviertan en empresas falsas. Estos ataques dependen en gran medida de la ingeniería social.

Cadenas de suministro en riesgo

El director de operaciones del ITRC, James Lee, sostiene que MOAB, con su gran proporción de registros ya expuestos, no tendrá mucho impacto. Le preocupa otra tendencia destacada en el informe.

"Estoy mucho más preocupado por el aumento de los ataques a la cadena de suministro y la creciente capacidad de los actores de amenazas para acceder al código fuente del software para encontrar fallas de día cero y explotarlas", le dice a ISMS.online. Las estadísticas del ITRC muestran un aumento del 2,600 % en el número de organizaciones objeto de ataques a la cadena de suministro desde 2018, y un aumento del 1,400 % en el número de víctimas.

Entonces, ¿cómo podemos evitar que las cifras de infracciones sigan aumentando?

"La falta de estándares uniformes de ciberseguridad, junto con la falta de estándares uniformes de notificación y remediación de violaciones de datos [en los EE. UU.], son los principales factores que explican por qué no hemos logrado avances contra las violaciones de datos", dice Lee. Pide mecanismos de presentación de informes más estandarizados, junto con iniciativas para el cumplimiento.

La necesidad de reglas estándar para la presentación de informes

Delegar leyes de privacidad a estados individuales de EE. UU. crea un mosaico confuso. A falta de una ley nacional de privacidad, debemos elegir la siguiente mejor opción, afirma.

"La única manera de mejorar el status quo es lograr que cada estado actualice sus leyes y regulaciones para cumplir con ciertos estándares mínimos", explica Lee. "No es imposible, pero no es rápido ni ideal".

Las reglas de presentación de informes recientemente introducidas por la SEC ayudarán a que las empresas que cotizan en bolsa sean más responsables. Sin embargo, estas empresas informaron menos del 10% de las infracciones el año pasado, añade. Quizás el reglamento aumente esa proporción este año. Lee señala que las empresas ya están informando sin esperar a determinar si una infracción tiene un efecto material o no. Sin embargo, la mayoría de las infracciones seguirán quedando fuera del alcance de la SEC, advierte.

Lo que puedes hacer ahora

Si bien la regulación federal de la SEC sin duda ayudará, el desafío sigue siendo enorme a medida que los atacantes continúan apuntando a la parte más vulnerable de la economía. Las infracciones siguen llegando, ya que en enero se produjo un atacar on Global Affairs Canada, aunque no se reveló su alcance completo. En febrero, un ataque de ransomware en la filial de UnitedHealth, Change Healthcare, interrumpió las recetas y amenazó vidas. Los ciberdelincuentes cercanos a BlackCat, que reivindicó el ataque, afirmó que UnitedHealth pagó 22 millones de dólares para evitar la publicación de los datos filtrados.

Las empresas pueden tomar medidas creando controles de seguridad sólidos basados ​​en estándares como ISO 27001, junto con otras certificaciones aprobadas por la industria apropiadas para su propia región, sector y tamaño. Quizás no seamos capaces de sofocar una marea creciente de ataques cada vez más selectivos, pero al menos podemos prestar atención y trasladarnos a terrenos más elevados.