Mires donde mires, parece que los ciberataques son cada vez más comunes. Los hackers criminales aparecen a diario en los titulares, robando la información personal de millones de personas, desde fechas de nacimiento hasta números de la Seguridad Social.
Estos hackers se centran cada vez más en las cadenas de suministro de software y los servicios de terceros de los que dependen las organizaciones. ¿Por qué, se preguntará?
Porque atacar una cadena de suministro les permite comprometer a muchas personas a la vez, en lugar de tener que atacar a cada organización por separado. No estamos hablando solo de decenas o cientos, sino a menudo de decenas de miles de personas a través de una sola brecha.
Además, este tipo de ataque elude las medidas de seguridad de la víctima y, a menudo, da lugar a que el pirata informático tenga un mayor nivel de acceso interno. Este tipo de ataques son muy difíciles de detectar, lo que permite a los piratas informáticos disponer de más tiempo para infiltrarse, robar datos e instalar ransomware.
Así que, con esta nota sombría, echemos un vistazo a algunas de las filtraciones de datos más notables que hemos visto últimamente causadas por violaciones de terceros este año.
¿Ejemplos de violaciones de seguridad por parte de terceros en 2021?
Kaseya
KaseyaLa empresa de tecnología de la información Kaseya, con sede en Florida, fue objeto de lo que se considera el mayor ataque de ransomware jamás registrado. A principios de julio, se descubrió que unos piratas informáticos habían aprovechado una vulnerabilidad en Kaseya VSA (Virtual System Administrator), un paquete de software de supervisión y gestión remota.
Los afiliados del grupo ruso REvile ransomware se atribuyeron la responsabilidad y exigieron 70 millones de dólares en criptomonedas a cambio de una clave de software descifradora universal para desbloquear todos los sistemas afectados. ¿Por qué fue este ciberataque especialmente cruel?
Kaseya es un «proveedor de servicios gestionados», lo que significa que sus sistemas son utilizados por empresas que son demasiado pequeñas o carecen de los recursos financieros necesarios para tener sus propios departamentos de TI. Kaseya lanza regularmente actualizaciones que se supone que protegen los sistemas de sus clientes; sin embargo, los piratas informáticos lograron utilizar esas mismas funciones para enviar software malicioso a sus clientes.
En términos de daños, más de 1500 empresas se vieron afectadas por este ataque en todo el mundo. Muchas tuvieron que cerrar por completo. Este acto de atacar sistemas que se supone que protegen a los clientes y utilizar sus funciones en su contra es lo que hace que este ataque sea especialmente atroz.
Audi y Volkswagen
Audi y Volkswagen En marzo de 2021, Audi y Volkswagen fueron informadas de que un proveedor había dejado datos sin proteger entre agosto de 2019 y mayo de 2021. Estos datos de clientes fueron obtenidos por un tercero no autorizado.
Los datos incluían información recopilada con fines comerciales y de marketing, y abarcaban desde datos de contacto hasta números de permisos de conducir y números de préstamos. Según ellos, el asunto aún se encuentra bajo investigación, pero aproximadamente 3,3 millones de clientes y compradores interesados se vieron afectados.
Aunque este incidente no parece haber incluido un rescate, como en el caso de Kaseya, es un ejemplo formidable de lo que puede suceder cuando se dejan expuestos datos confidenciales. En la era del RGPD, especialmente, se trata de una pesadilla en materia de riesgos de los proveedores, que puede acarrear graves sanciones.
¿La lección? Para proteger los datos de los clientes, las organizaciones deben comprobar que los proveedores los protegen de forma segura en la nube. No se trata solo de creer en su palabra cuando se trata de medidas de ciberseguridad.
Accellion
De acuerdo, técnicamente este caso es de diciembre de 2020, pero el número de personas afectadas por este desafortunado ejemplo de riesgo de proveedor sigue creciendo, por lo que merece la pena echarle un vistazo.
Según la descripción de Bloomberg, «Accellion, Inc. ofrece soluciones seguras de colaboración y transferencia gestionada de archivos. La empresa ofrece productividad, contenido empresarial, intercambio y sincronización de archivos, almacenamiento, sustitución, copias de seguridad y recuperación. Accellion presta servicio a clientes de todo el mundo». Según su propia página web, han protegido a más de 25 millones de usuarios finales en más de 3000 empresas y organismos gubernamentales de todo el mundo.
Desgraciadamente, se trata de un gran número de usuarios finales y existe la posibilidad de que se haya robado mucha información personal. Y eso es lo que ha ocurrido: el mes pasado, el número de víctimas afectadas por esta filtración había alcanzado la impactante cifra de 3,5 millones. Y, como hemos mencionado, este número sigue creciendo.
Los hackers aprovecharon las vulnerabilidades del FTA (File Transfer Appliance) de Accellion para exponer datos confidenciales y personales, como información bancaria y sanitaria. El FTA se lanzó hace aproximadamente veinte años para permitir a las organizaciones compartir de forma segura archivos demasiado grandes para enviarlos por correo electrónico. Según la guía HIPAA, «el sitio de fuga de datos de la banda de ransomware Clop se utilizó para publicar algunos de los datos robados con el fin de fomentar el pago del rescate».
Esto ha dado lugar a una serie de demandas contra Accellion por parte de víctimas en los tribunales de California y del estado de Washington, y ¿quién puede culparlas? Si eres una empresa que confiaba en ellos, es posible que también sufras un daño a tu reputación.
Cómo defenderse para no convertirse en un caso de riesgo de proveedor
Nos detendremos aquí antes de que esto se vuelva demasiado deprimente. La mayoría de estas infracciones se han resuelto o se están resolviendo, pero el riesgo que suponen los proveedores externos es un problema real que todas las organizaciones deben tener en cuenta y tomar medidas para solucionarlo.
Asegúrese de contar con una gestión eficaz programa de gestión de riesgos de proveedores (VRM) para que tanto usted como sus clientes puedan dormir tranquilos por la noche. ¡Y para que pueda evitar aparecer algún día en listas como esta...!
Más para ti:
Guía del experto: Las 7 señas de identidad de un cumplimiento eficaz
Casos prácticos: Explore nuestros Casos de Uso de Automatización de Flujos de Trabajo de Riesgo y Cumplimiento.
Infografía: GRC Hurdles & High Jumps in Building a Culture of Compliance (Obstáculos y grandes saltos de GRC en la creación de una cultura de cumplimiento)
Vea nuestra cumbre «El futuro del cumplimiento normativo », ¡ahora disponible bajo demanda!
Escuche los consejos de los mejores expertos en riesgos y cumplimiento sobre cómo crear resistencia y continuidad para su empresa.
