Estamos a solo dos meses de un nuevo año y ya somos cientos de millones.
de registros personales han sido comprometidos, incluidos 123 millones de empleados
y registros de clientes del minorista deportivo Decathlon y otros 10.6
millones de registros de antiguos huéspedes de los hoteles MGM Resorts.
Estos anuncios siguieron a la revelación de Wawa de la cadena de combustible y conveniencia de que fue víctima de una violación de nueve meses
sus sistemas de tarjetas de pago en 850 ubicaciones en todo el país.
Además, Microsoft a principios de este mes dijo una violación de datos
durante 14 años expuso 250 millones de sus registros de clientes.
Las violaciones de datos se han vuelto tan comunes que los expertos coinciden en que no es una
cuestión de si, sino más bien cuándo una empresa se convertirá en una víctima. Una recuperación
plan, por lo tanto, debe centrarse en cómo lidiar con una violación de
datos de empleado / cliente / cliente, cómo manejar un ataque de ransomware y qué hacer para asegurarse de que los exploits estén conectados para que los hackers adicionales no vuelvan a usar los mismos.
En el caso de la violación de Wawa, los piratas informáticos afirmaron en sitios web oscuros como el escondite de Joker del bazar de fraude que tenían 30 millones de registros a la venta. Si eso fue cierto o no, destaca la probabilidad de que haya muchos más datos expuestos de los que incluso los piratas informáticos pueden manejar.
Big Data Haul
Los datos que normalmente son robados pueden variar, pero en el caso de
MGM la violación incluyó nombres completos, domicilios, números de teléfono, correos electrónicos
e incluso fechas de nacimiento. Para el Decathlon infringe la información
incluidas contraseñas sin cifrar, información de contrato de trabajo,
Números de Seguridad Social y horario laboral.
Sin embargo, la violación de MGM no incluyó datos de tarjetas de crédito.
"Es importante darse cuenta de que no hubo datos de pagos involucrados en esto
incidente particular ", dijo Gary Roboff, asesor principal de
El grupo de Santa Fe.
Sin embargo, "los efectos de la fuga de datos de este hotel pueden ser aún más
insidioso de lo que algunos esperan ", advirtió Mike Jordan, vicepresidente de
empresa de investigación en gestión de riesgos
Evaluaciones compartidas
La última gran violación de un hotel ocurrió en 2018 cuando Marriott fue
comprometido, pero eso no fue realmente una brecha con fines de lucro.
"Fue atribuido a presuntos atacantes patrocinados por China para el
propósitos de inteligencia y quizás en última instancia coerción ", dijo Jordan
TechNewsWorld.
Actores estatales
Otro factor que contribuye a la gran cantidad de infracciones es que no son
siempre realizado por ciberdelincuentes, como en el ejemplo de Marriott.
"Statecraft por las organizaciones de inteligencia a menudo se basa en básicos
información como cómo y dónde encontrar personas ", explicó Jordan.
"Obtener esta información en masa o usarla para verificar datos existentes
es un componente clave para construir un programa de inteligencia efectivo "
adicional.
"Esta filtración de información sería bastante útil para esos fines,
considerando que hay algunos clientes particularmente ricos en esa lista "
señaló Jordan.
Debido a que la información de MGM se publicó en un foro público, es
muy poco probable que los perpetradores fueran los mismos que los responsables
por la violación de Marriott.
"Sin embargo, esta información podría ser tan útil para los maliciosos
partidos, y más de ellos ahora tienen acceso a él ", sugirió Jordan.
Oferta y demanda
Como resultado de estas infracciones, parece que se está utilizando una gran cantidad de datos
ofrecido a la venta en la Web oscura, casi hasta el punto de que el gran
los datos se están volviendo demasiado grandes para que los ciberdelincuentes los manejen.
"Basado únicamente en la ley de oferta y demanda, el costo de un registro
ha caído significativamente ", dijo Matt Keil, director de producto
marketing en
Seguridad de cedencia.
"Todavía se revelan grandes brechas regularmente", advirtió Jim
Purtilo, profesor asociado de informática en el
Universidad de
Maryland.
"Recuerde que solo porque sus datos estén expuestos una vez no significa
todo sinvergüenza lo tiene. Más infracciones colocan sus datos en más manos,
lo que significa que hay muchas más oportunidades para algunos delincuentes
importa hacer algo con eso ", le dijo a TechNewsWorld.
El problema es qué contienen los datos, dijo James McQuiggan, seguridad
defensor de la conciencia en
KnowBe4.
"La gente necesita considerar que su información está disponible, como
Números de Seguridad Social, nombres, correos electrónicos y contraseñas y direcciones "
le dijo a TechNewsWorld.
"Es importante que la gente monitoree su crédito y sus cuentas, junto con
con estar atentos a los correos electrónicos que reciben ", agregó McQuiggan.
"Si bien no pueden ignorar todos sus correos electrónicos, deben verificar si
algo es demasiado bueno para ser verdad o sospechoso ".
Los cibercriminales tienden a ser muy ingeniosos cuando se trata de encontrar formas rentables de usar datos robados.
"En manos de un mal actor motivado, estos datos pueden usarse en un
ataque de toma de cuenta contra MGM y – basado en el
propensión a reutilizar contraseñas – contra otros resorts ", dijo Keil
TechNewsWorld.
"Si tiene éxito, el valor se vuelve significativamente mayor porque
el mal actor podrá robar o usar puntos de recompensa ",
adicional. "El fraude resultante es un gasto adicional para MGM, y por más tiempo
plazo, impacta negativamente a sus usuarios. Las estadísticas muestran que los clientes
son mucho más propensos a utilizar un proveedor diferente cuando su personal
la información es robada ".
La lotería malvada
Tras las infracciones en Equifax, la Oficina de Personal del gobierno
Gestión y Target, así como innumerables ataques cibernéticos, es muy probable
que la mayoría de los estadounidenses han tenido algunos datos personales expuestos en recientes
años. La buena noticia es que en muchos casos hay tantos datos que
Gran parte de ella no será utilizada por los malos.
Eso no significa que no debamos preocuparnos.
"Nos hemos vuelto inmunes a la regularidad de las violaciones de datos", sugirió Keil.
"Ya no vemos la indignación y la reacción violenta que ocurrió con el
infracciones de antaño – alias Target ".
En este momento no es una cuestión de si o realmente una cuestión de cuándo,
pero con mayor probabilidad con qué frecuencia podrían exponerse nuestros datos. Todos podríamos ser participantes en una "lotería malvada". En lugar de ganar un premio gordo, nos distinguen por lo desagradable que conlleva que nuestros datos realmente sean utilizados por los malos.
Desafortunadamente, eso es cierto, dijo Jordan de Evaluaciones Compartidas.
"Nuestros datos son valiosos para dirigirse a personas que utilizan legalmente actualmente
y medios ilegales: los datos son una materia prima como el cobre o
soja que necesita refinación ", explicó.
Debido a los cambios en nuestra información a lo largo del tiempo, los datos tienen una vida útil, señaló Jordan, "por lo que se necesitan nuevas infracciones para mantener sus datos valiosos".
Violar y repetir
Muchas violaciones de seguridad ocurren porque son fáciles de realizar. Todos
Con demasiada frecuencia, las empresas ven el robo de datos como un costo adicional de hacer negocios. Incluso
La información aparentemente "pública" puede tener valor.
"No es mi intención dibujar una hoja de ruta sobre cómo hacer esto, pero
exponer solo una dirección y DOB puede ser lo suficientemente problemático ", explicó
Purtilo de la Universidad de Maryland.
"Alguien que adquiere a aquellos en un gran éxito y agarra en algún sitio puede voltear
ellos por una cantidad trivial por registro y seguir adelante – no es del todo
dinero gratis, pero cerca de él ", dijo.
Se produce un impacto más severo cuando los datos se agregan en manos de alguien con paciencia.
"La dirección y el DOB de uno son suficientes para abrir todo tipo de cosas inocuas
cuentas a nombre de alguien, lo que crea un delgado telón de fondo de
credibilidad para cuando el hacker "simula" o finge ser
esa persona para persuadir a una empresa de servicios públicos, financiera
empresa o proveedor médico para restablecer una cuenta para el ladrón de identidad "
Purtilo explicó.
El resultado es que en muy poco tiempo un propietario de datos legítimo
se encuentra excluido de los servicios mientras el hacker lo limpia.
"Cuantos más datos se derramen en una brecha, menor será la historia
fabricado para persuadir a las empresas a regalar sus productos, pero incluso
se pueden explotar algunos datos cuando se combinan con paciencia "
dijo Purtilo.
Tampoco es tarea fácil para los cibercriminales lograr esto.
A diferencia de lo que sugieren las películas y los programas de televisión, no se trata de forma instantánea
Convertir los datos en bitcoins: se necesita un esfuerzo real para hacer los datos
vale algo sin alertar a las autoridades.
"Descubrir cómo probar la precisión de la identidad robada
credenciales pero sin activar una alerta en una empresa de informes de crédito
se convierte en un verdadero arte ", dijo Purtilo." Un ladrón de identidad puede trabajar todo
alrededor de la periferia del perfil digital de alguien creando un telón de fondo
antes de entrar por una violación más exclusiva en alguna empresa financiera ".
Más allá de las infracciones
Hay otras amenazas cibernéticas importantes que es poco probable que se detengan,
por lo que, desafortunadamente, la recuperación se ha convertido en el siguiente mejor curso de acción.
"Se está ganando tanto dinero en ataques de ransomware que el
los atacantes pueden permitirse desarrollar y probar creativamente nuevas formas de atacar
organizaciones ", dijo Erich Kron, defensor de la conciencia de seguridad en
KnowBe4.
"Los costos de los ataques de phishing: alrededor de (US) $ 65 para enviar 50,000 phishing
correos electrónicos de operadores de Dark Web: es tan bajo, tiene un riesgo tan bajo de
ser atrapado, y tiene un pago tan alto, que es casi imposible
para que los cibercriminales se resistan ", dijo a TechNewsWorld.
Estos ataques han demostrado su valía durante décadas y han dominado
la capacidad de manipular el comportamiento humano, agregó Kron.
"La clave para evitar estos ataques es entrenar a las personas para detectarlos
e informarlos dentro de la organización ", sugirió." También
necesita monitorear el tráfico dentro y fuera de la red, buscando
datos confidenciales o patrones de tráfico inusuales. Además, datos en reposo
debe cifrarse siempre que sea posible para minimizar el riesgo de
datos confidenciales que se filtran, incluso si se filtran ".
Tecnología contraatacando
Afortunadamente, ahora hay métodos simples pero efectivos para ayudar a hacer
algunos de los datos valen menos para los piratas informáticos, si no son exactamente inútiles. La autenticación de dos factores puede representar muchas de las contraseñas expuestas
inútil, mientras se agregan características de seguridad a las soluciones de pago.
"Desde que finalmente se introdujeron las tarjetas con chip en este país, hemos
visto una fuerte disminución en la cantidad de tarjeta de crédito y débito utilizable
información capturada en el punto de venta físico ", dijo Roboff del Grupo Santa Fe
TechNewsWorld.
"El uso de datos de pagos dinámicos generados por tarjetas compatibles con EMV y
El mayor uso de tokens de pagos en línea, y la biometría para
autenticar a los usuarios que inician pagos basados en tokens en Apple y
Dispositivos Android: ha ayudado a reducir el fraude en los pagos ", agregó.
Sin embargo, la mejor solución puede ser mejores prácticas por parte de los individuos.
"Los usuarios necesitan tomar más control, prestando más atención a sus
contraseña de higiene. Pasar a usar un administrador de contraseñas para todos los usos, no solo
los importantes ", agregó Cequence Security's Keil", y donde sea
posible, la autenticación de dos factores debería estar habilitada ".
Peter Suciu ha sido reportero de ECT News Network desde 2012. Sus áreas de enfoque incluyen seguridad cibernética, teléfonos móviles, pantallas, medios de transmisión, televisión de pago y vehículos autónomos. Ha escrito y editado para numerosas publicaciones y sitios web, incluidos Newsweek, Cableado y FoxNews.com.
Email Peter.