Un repaso mes a mes de las mayores brechas de datos de 2019

Aquí estamos, otro año más. Aún con la resaca del champán y las uvas de nochevieja, dispuestos a comenzar este 2020 que no sabemos lo que nos deparará en materia de seguridad. Una buena manera de abordar el comienzo de cada año es hacer balance de lo que ha sucedido en el ciclo de 365 días que ya toca a su fin. Y es que este 2019 que ya dejamos atrás ha sido un año bastante movido en lo que a noticias de seguridad se refiere.

Incidentes por ransomware en grandes empresas que han generado bastante revuelo mediático, vulnerabilidades sonadas como BlueKeep, y como no podía faltar, muchísimos sucesos relativos a fugas de información y data breaches. Precisamente a estos últimos son los que vamos a dedicar un repaso en este post.

En el pasado 2019, según el estudio realizado por la firma “Risk Based Security”, hasta el último trimestre se habían registrado 5.183 incidentes de brechas de datos, que exponían aproximadamente 8.000 millones de registros. Esto supone un 33% más de incidentes que a la misma altura de año en 2018, y supera con creces la cifra del total de brechas de datos en 2017.

Entre las organizaciones afectadas las hay de todo tipo: compañías del sector sanitario, financiero, entidades públicas e incluso gigantes tecnológicos. Prácticamente cualquier tipo de organización que podamos imaginar habrá sufrido una brecha de datos el pasado año. De hecho, un aspecto a señalar es que gran parte de los incidentes notorios que se han conocido no han venido dados por ataques complejos o sofisticados ni explotación de vulnerabilidades zero day, sino más bien por fallos de seguridad que implican malas prácticas respecto a autenticación, laxos o nulos controles de acceso, servidores expuestos con información sensible o acceso a información sin necesidad de contraseña.

Llama bastante la atención, sobre todo cuando hablamos además en algunos casos de empresas multinacionales de entidad y conocidas de la industria tecnológica. Comencemos pues a repasar de manera cronológica las brechas de seguridad más relevantes que conformarían el “Hall of Shame” del pasado 2019.

¿Cómo empezó el año?

Enero arrancaría con el mediático incidente que afectó a la conocida cadena de hoteles Marriott. La compañía anunció una brecha que afectaba a alrededor de 383 millones de huéspedes. En el mismo mes, investigadores de Check Point descubrieron una vulnerabilidad que permitía a un atacante robar información personal de los usuarios del popular juego Fortnite y que podría afectar a alrededor de 200 millones de gamers.

También se descubrió un leak de un servidor de ElasticSearch que exponía información de un casino online con datos privados de apuestas de más de 108 millones de jugadores. Pero sin duda alguna, la noticia del mes de enero en materia de seguridad y en concreto de brechas de datos fue la de Collection 1, conocida hasta la fecha como la mayor filtración de datos de la historia. Una colección de leaks formada por 12.000 archivos que constituían 87 GB y que residía en los servidores de MEGA. Incluía información de 773 millones de direcciones de que pertenecían a cuentas de usuario de diferentes servicios conocidos, ya que aglutinaban más de 2.000 bases de datos. Fue descubierta por Troy Hunt y cargada a su famoso portal “Have I Been Pwned?”.

En febrero salió a la venta en la Dark Web una colección de cuentas de 16 servicios entre los que se incluían Dubsmash, Armor Games, Whitepages o MyFitnessPal que sumaban en total la friolera de 620 millones de registros.

En el mes de marzo conocimos la noticia de que las cuentas de cientos de millones de usuarios de Facebook e Instagram se almacenaban en texto plano en algunos de sus servidores, por lo que los empleados de la compañía podrían haber tenido acceso a las mismas.

Una de las brechas de datos más importantes del año se descubrió también en dicho mes. El conocido servicio de validación Verficiations.io dejó al descubierto una base de datos MongoDB de 150GB que contenía más de 808 millones de registros.

¿Qué sucedió en el segundo trimestre?

En abril le volvió a tocar el turno a Facebook. Esta vez por almacenar en un servidor de Amazon información públicamente accesible de user IDs, nombres, likes y comentarios de más de 540 millones de usuarios. También en este mes, una entidad pública del Gobierno de la India dejó al descubierto información médica de más de 12,5 millones de mujeres embarazadas.

En mayo el protagonismo en materia de brechas de datos fue para la compañía First American Financial, una importante empresa que forma parte del Fortune 500 y que exponía información de 885 millones de registros de transacciones relacionadas a hipotecas y préstamos. No era necesario estar autenticado. Bastaba con cambiar un dígito en el link de acceso para poder acceder a los registros.

¿Y en los meses de verano?

Llegamos al mes de junio, donde también hubo incidentes en este sentido. Información expuesta por parte de AMCA de 20 millones de estadounidenses que incluía nombres, números de seguridad social, direcciones, fechas de nacimiento e información de tarjetas de crédito.

El mes de julio fue para Capital One, que reportó una brecha de seguridad que afectaba a 100 millones de ciudadanos americanos y 6 millones de canadienses. En agosto conocimos la noticia de que la compañía MoviePass había expuesto una base de datos sin cifrar, lo que dejaba al descubierto la numeración de tarjetas de crédito de 161 millones de usuarios.

En Inglaterra, un leak masivo exponía información biométrica que pertenecía a la policía metropolitana, bancos y otras compañías.

Algunos casos de finales de año

Septiembre nos trajo otros incidentes relevantes. El más grave fue el de la compañía Zynga anunció una brecha que afectaba a 218 millones de usuarios de los conocidos juegos “Draw Something” o “Words with Friends”.

Bob Diachenko, investigador responsable de varias de las brechas comentadas hasta ahora, descubrió en octubre junto a otro investigador un servidor desprotegido de Elasticsearch, que incluía 1.200 millones de registros de datos personales de usuarios.

Facebook volvió a salir a la palestra en el mes de noviembre. En esta ocasión por dar acceso inapropiado a 100 desarrolladores a datos a los que no deberían haber podido acceder.

¿Qué podemos sacar en claro?

Como podemos observar, ha sido un año bastante impactante. Entre los incidentes comentados podemos registrar 10 casos donde se han expuesto más de 100 millones de registros. Es muchísima la información comprometida y, a día de hoy, prácticamente nada nos sorprende. Leemos noticias de incidentes en las que se exponen y filtran cantidades ingentes de información y con el paso de los años nos hemos acostumbrado a ello.

Como señalamos, además al comienzo de este post y hemos ido viendo a lo largo de este repaso, prácticamente todos estos incidentes no han llevado consigo la explotación de una vulnerabilidad compleja o desconocida. En la mayoría de los casos se trata de bases de datos desprotegidas en servidores expuestos públicamente, o acceso a información en repositorios y sitios webs de entidades que están disponibles sin necesidad de autenticación o contraseña.

Paradójico que en el momento en el que nos encontramos, donde la ciberseguridad está en boga y la regulación presiona a las organizaciones con sanciones económicas por este tipo de incidentes, sigan sucediéndose brechas de datos con tanta asiduidad. Un ejemplo más de que es muy complicado proteger todos los flancos de una organización y de que la seguridad 100% es imposible de alcanzar. No sólo hace falta actualizar sistemas y parchear vulnerabilidades sino también monitorizar todos los activos expuestos y conocer el nivel de profundidad de nuestra exposición digital.

En este sentido, soluciones como Faast o Cyberthreats pueden ser de ayuda para prevenir y detectar este tipo de incidentes.

Comenzamos este 2020 expectantes, en aras de ver si la evolución en número de brechas de seguridad sigue al alza o si conseguimos una reducción en el número de millones de registros expuestos. Lo sabremos dentro de 12 meses.

Sobre el autor

RELACIONADOS