Desde los estudios Skyhigh en Skyhigh Security, soy Scott Schlee, es jueves, 12 de diciembre de 2024, y hoy hacemos un recuento de los 10 principales titulares sobre ciberseguridad de 2024. Este año no han faltado los desafíos: desde las brechas en la sanidad que han dejado al descubierto millones de registros, hasta la interrupción mundial de CrowdStrike que ha perturbado a empresas de todo el mundo, e incluso una brecha que se propagó en cascada de una empresa a otra. Estas historias reflejan las amenazas en constante evolución a las que nos enfrentamos y algunas de las lecciones críticas aprendidas en el camino. Y ahora, sin ningún orden en particular, sumerjámonos en el año que fue, en ciberseguridad".
En julio de 2024, se filtró en un popular foro de piratas informáticos una compilación masiva de casi 10.000 millones de contraseñas únicas en texto plano, apodada "RockYou2024". Este conjunto de datos amalgamaba contraseñas de miles de violaciones anteriores, tanto antiguas como recientes, creando un repositorio sin precedentes de credenciales comprometidas. La filtración aumentó significativamente el riesgo de ataques de relleno de credenciales, en los que los ciberdelincuentes se aprovechan de contraseñas reutilizadas para obtener acceso no autorizado a varias cuentas. Los expertos en seguridad instaron a las personas a restablecer inmediatamente las contraseñas comprometidas, adoptar contraseñas fuertes y únicas para cada cuenta, utilizar gestores de contraseñas y habilitar la autenticación multifactor para mitigar las amenazas potenciales.
En enero de 2024, Microsoft reveló que el grupo ruso patrocinado por el Estado Midnight Blizzard (también conocido como APT29 o Nobelium) se había infiltrado en sus sistemas de correo electrónico corporativo. Los atacantes emplearon un ataque de pulverización de contraseñas para comprometer una cuenta de prueba heredada no de producción que carecía de autenticación multifactor. Esta brecha inicial les permitió escalar privilegios y acceder a un pequeño porcentaje de las cuentas de correo electrónico corporativas, incluidas las de la alta dirección y el personal de ciberseguridad. El grupo exfiltró correos electrónicos y archivos adjuntos, con el objetivo de recabar información sobre el conocimiento que Microsoft tenía de sus operaciones. Desde entonces, Microsoft ha implantado medidas de seguridad mejoradas en todos sus entornos para evitar incidentes similares en el futuro.
En febrero de 2024, Change Healthcare, una filial de UnitedHealth Group, sufrió un ataque de ransomware por parte del grupo ALPHV/BlackCat, que comprometió la información personal y sanitaria de más de 100 millones de personas: la mayor filtración de datos sanitarios de la historia de Estados Unidos. Los datos robados incluían nombres, datos de contacto, números de la Seguridad Social, historiales médicos e información financiera. La filtración interrumpió los servicios sanitarios en todo el país, afectando a la tramitación de reclamaciones y a la atención a los pacientes. UnitedHealth pagó un rescate de 22 millones de dólares a los atacantes y ha estado notificando a las personas afectadas, ofreciéndoles dos años de servicios gratuitos de control de crédito y protección de la identidad.
En abril de 2024, National Public Data, una empresa de comprobación de antecedentes, sufrió una violación masiva de datos que expuso aproximadamente 2.900 millones de registros, afectando hasta a 170 millones de individuos en Estados Unidos, Reino Unido y Canadá. Los datos comprometidos incluían nombres completos, números de la Seguridad Social, direcciones postales, direcciones de correo electrónico y números de teléfono. La brecha se atribuyó a un pirata informático externo que accedió a los sistemas de la empresa en diciembre de 2023, y las filtraciones de datos se produjeron desde abril hasta el verano de 2024. Este incidente dio lugar a múltiples demandas colectivas y a importantes daños a la reputación, lo que finalmente provocó que National Public Data se declarara en quiebra bajo el Capítulo 11 en octubre de 2024.
A mediados de 2024, un grupo de ciberdelincuentes identificado como UNC5537 ejecutó una serie de ataques dirigidos a clientes de Snowflake, una destacada plataforma de datos en la nube. Explotando credenciales cosechadas a través de malware infostealer, los atacantes accedieron a aproximadamente 165 cuentas de clientes que carecían de autenticación multifactor (MFA), lo que condujo a la exfiltración de volúmenes sustanciales de datos sensibles. Entre las víctimas más destacadas se encontraban Ticketmaster, el Banco Santander y AT&T, y la brecha de esta última expuso los registros de llamadas de más de 100 millones de clientes. Los atacantes intentaron extorsionar a las organizaciones afectadas, exigiendo rescates para evitar la divulgación pública de los datos robados. En respuesta, Snowflake colaboró con la empresa de ciberseguridad Mandiant para investigar las brechas y desde entonces ha iniciado planes para imponer la MFA en todas las cuentas de usuario con el fin de mejorar la seguridad.
En mayo de 2024, Ticketmaster sufrió una importante filtración de datos que expuso la información personal de aproximadamente 560 millones de clientes de todo el mundo. El grupo de piratas informáticos ShinyHunters se atribuyó la responsabilidad, ofreciendo 1,3 terabytes de datos robados -incluidos nombres, direcciones, números de teléfono y datos parciales de tarjetas de crédito- por 500.000 dólares en la dark web. Ticketmaster detectó la actividad no autorizada el 20 de mayo y desde entonces ha colaborado con las fuerzas de seguridad y expertos en ciberseguridad para investigar la brecha. La empresa aseguró a los clientes que sus cuentas siguen siendo seguras y ofreció a las personas afectadas 12 meses de servicios gratuitos de control de identidad. Se aconseja a los clientes que vigilen sus cuentas financieras en busca de actividades sospechosas y que estén atentos a posibles intentos de suplantación de identidad.
En julio de 2024, AT&T reveló una importante violación de datos que comprometió los registros de llamadas y mensajes de texto de casi todos sus clientes de telefonía móvil. La brecha afectó a aproximadamente 110 millones de individuos, exponiendo metadatos como números de teléfono, duraciones de las llamadas y ubicaciones de las torres celulares asociadas. Aunque no se incluyó el contenido de las comunicaciones ni información personal sensible como los números de la Seguridad Social, los datos expuestos aún podían ser explotados para ataques de phishing dirigidos y otras actividades maliciosas. Desde entonces, AT&T ha asegurado la brecha, ha notificado a los clientes afectados y está colaborando con las fuerzas de seguridad, lo que ha provocado al menos una detención relacionada con el incidente.
En mayo de 2024, Ascension, un importante sistema sanitario estadounidense, sufrió un ataque de ransomware iniciado por un empleado que descargó inadvertidamente un archivo malicioso. El grupo Black Basta, vinculado a Rusia, fue identificado como el autor. La brecha interrumpió las operaciones en los 140 hospitales de Ascension, lo que provocó desvíos de ambulancias, aplazamientos de procedimientos médicos y una interrupción de seis semanas de los historiales médicos electrónicos (HCE). Desde el punto de vista financiero, el ataque contribuyó a una pérdida neta de 1.100 millones de dólares en el ejercicio fiscal que finalizó el 30 de junio de 2024, debido a los retrasos en los procesos del ciclo de ingresos y al aumento de los costes de reparación. Desde entonces, Ascension ha restablecido el acceso a la HCE y está colaborando con expertos en ciberseguridad para reforzar sus defensas y prevenir futuros incidentes.
En junio de 2024, CDK Global, proveedor líder de software para concesionarios de automóviles, fue víctima de un ataque de ransomware por parte del grupo BlackSuit, lo que provocó interrupciones operativas generalizadas en aproximadamente 15.000 concesionarios de Norteamérica. La brecha obligó a muchos concesionarios a volver a los procesos manuales, ralentizando significativamente las operaciones de ventas y servicios. Para acelerar el restablecimiento del sistema, CDK Global pagó al parecer un rescate de 25 millones de dólares a los atacantes. El incidente no sólo puso de manifiesto las vulnerabilidades de la infraestructura digital del sector del automóvil, sino que también subrayó los importantes riesgos financieros y operativos asociados a los ciberataques.
En julio de 2024, una actualización de software defectuosa de la empresa de ciberseguridad CrowdStrike provocó un apagón informático mundial que perturbó numerosas industrias. La actualización defectuosa provocó caídas generalizadas del sistema, en particular mostrando la "pantalla azul de la muerte" en los dispositivos Windows. Este incidente afectó a más de 8,5 millones de dispositivos en todo el mundo, dejando en tierra miles de vuelos, deteniendo las transacciones financieras y perjudicando los servicios sanitarios. El proceso de recuperación fue complejo y requirió intervenciones manuales y reinicios del sistema, lo que prolongó el tiempo de inactividad de muchas organizaciones. El apagón puso de manifiesto la necesidad crítica de realizar pruebas sólidas del software y las vulnerabilidades inherentes a las soluciones de ciberseguridad centralizadas.
Y esos son sus principales titulares para el año 2024. Gracias de nuevo por escuchar Skyhigh CloudCast. Si ha disfrutado de este episodio, asegúrese de suscribirse en su plataforma de podcast favorita para no perderse nunca una actualización. Si le ha gustado el programa, déjenos una reseña. Ayuda a otros a encontrar el podcast. Para más información sobre Skyhigh Security o CloudCast, visite SkyhighSecurity.com.
Nota: Todas las transcripciones se generan utilizando software de reconocimiento de voz y transcripción humana, y pueden contener errores. Por favor, compruebe el audio correspondiente antes de citarlo impreso.