Los 5 peores ataques e infracciones de 2016 y lo que significan para 2017

2016 no fue un gran año para la seguridad, al menos en lo que respecta a las infracciones de alto perfil, los piratas informáticos y las fugas de datos. El año vio una nueva lista de grandes compañías, organizaciones y sitios web afectados por ataques distribuidos de denegación de servicio (DDoS), enormes cachés de datos de clientes y contraseñas que llegaron al mercado negro para la venta al mejor postor, y todo forma de intrusiones de malware y ransomware.

Las empresas pueden hacer muchas cosas para mitigar estos riesgos. Por supuesto, puede invertir en una solución de seguridad de punto final, pero también es importante seguir las mejores prácticas de seguridad de datos y hacer uso de los marcos y recursos de seguridad disponibles.

No obstante, en 2016, LinkedIn, Yahoo, el Comité Nacional Demócrata (DNC) y el Servicio de Impuestos Internos (IRS) se convirtieron en el centro de atención a raíz de ataques y brechas cataclísmicas. Hablamos con Morey Haber, vicepresidente de tecnología del proveedor de gestión de identidad y vulnerabilidad BeyondTrust, sobre lo que la compañía considera los cinco peores ataques del año, y las lecciones críticas que las empresas pueden aprender de cada uno.

1. Yahoo

El gigante de Internet caído tuvo un año de seguridad históricamente malo para complementar sus caídas financieras, arrebatando la derrota de las garras de la victoria después de una serie de revelaciones de violaciones de alto perfil y filtraciones de datos de clientes que dejaron a Verizon luchando por encontrar una salida a su adquisición de $ 4.8 mil millones. Haber dijo que las infracciones de Yahoo pueden enseñar a las empresas tres valiosas lecciones:

• Confíe en sus equipos de seguridad y no los aísle.
• No ponga todas sus joyas de la corona en una base de datos.
• Siga la ley y la ética para la divulgación adecuada de incumplimiento.

"Es la primera vez que una corporación importante, a la venta, se sumergió dos veces por una violación en un año, y posee el título de la violación más grande de una sola compañía", dijo Haber. "Lo que hace que esto sea aún más convincente como la peor infracción de 2016 es la infracción ocurrida tres años antes de la divulgación pública y la segunda infracción solo se descubrió debido a los análisis forenses de la primera infracción. Más de mil millones de cuentas en total se vieron comprometidas, lo que representa para todos empresas sobre cómo no administrar las mejores prácticas de seguridad dentro de su negocio ".

2. Comité nacional democrático

En las infracciones de seguridad más infames de la temporada electoral, el Comité Nacional Demócrata (DNC) fue pirateado en más de una ocasión, lo que resultó en correos electrónicos de funcionarios (incluida la presidenta de DNC Debbie Wasserman Schultz y el gerente de campaña de Clinton, John Podesta) que se filtraron a través de WikiLeaks. En los ataques que los funcionarios estadounidenses han rastreado hasta el gobierno ruso, Haber señaló las pautas y recomendaciones de la Oficina Federal de Investigaciones (FBI), el Departamento de Seguridad Nacional (DHS) y el Instituto Nacional de Estándares y Tecnología (NIST) que podría haber mitigado las vulnerabilidades de seguridad del DNC:

• Las pautas para privilegios, evaluación de vulnerabilidades, parches y pruebas con lápiz existen en marcos establecidos como NIST 800-53v4.
• Las agencias deben hacer un mejor trabajo al implementar los marcos establecidos (como el Marco de Seguridad Cibernética del NIST) y medir su éxito.

"El FBI y el DHS han publicado un documento que describe cómo dos amenazas persistentes avanzadas utilizaron el phishing y el malware para infiltrarse en el sistema político de los EE. UU. Y proporcionar operaciones encubiertas para alterar el proceso electoral de los EE. UU.", Dijo Haber. "La culpa está directamente dirigida a un ataque de nación-estado, y recomienda los pasos que todas las agencias gubernamentales y políticas deberían tomar para detener este tipo de intrusión. El problema es que estas recomendaciones no son nada nuevo y forman la base de las pautas de seguridad ya establecidas a partir de NIST ".

3. Mirai

2016 fue el año en que finalmente presenciamos la magnitud del ciberataque del que es capaz una botnet global. Millones de dispositivos de Internet de las cosas (IoT) inseguros fueron arrastrados a la botnet Mirai y se utilizaron para sobrecargar masivamente al proveedor del sistema de nombres de dominio (DNS) Dyn con un ataque DDoS. El ataque noqueó a Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter y muchos otros sitios web importantes. Haber señaló cuatro lecciones sencillas de seguridad inferior que las empresas pueden aprender del incidente:

• Los dispositivos que no pueden tener su software, contraseñas o firmware actualizados nunca deben implementarse.
• Se recomienda cambiar el nombre de usuario y la contraseña predeterminados para la instalación de cualquier dispositivo en Internet.
• Las contraseñas para dispositivos IoT deben ser únicas por dispositivo, especialmente cuando están conectadas a Internet.
• Siempre aplique parches a los dispositivos IoT con el último software y firmware para mitigar las vulnerabilidades.

"El Internet de las cosas se ha apoderado de nuestras redes domésticas y corporativas, literalmente", dijo Haber. "Con el lanzamiento público del código fuente del malware Mirai, los atacantes crearon una botnet que predetermina las contraseñas y las vulnerabilidades sin parches para crear una sofisticada botnet mundial que puede causar ataques DDoS masivos. Se usó con éxito varias veces en 2016 para interrumpir Internet en los EE. UU. a través de DDoS contra los servicios DNS proporcionados por Dyn a las telecomunicaciones en Francia y a los bancos en Rusia ".

4. LinkedIn

Cambiar sus contraseñas con frecuencia siempre es una idea inteligente y se aplica a sus cuentas comerciales y personales. LinkedIn fue víctima de un gran hack en 2012 que se filtró públicamente a fines del año pasado, así como un hack más reciente de su sitio web de aprendizaje en línea Lynda.com que afectó a 55, 000 usuarios. Para los gerentes de TI que establecen políticas de seguridad y contraseña de negocios, Haber dijo que el hack de LinkedIn se debe principalmente al sentido común:

• Cambia tus contraseñas con frecuencia; una contraseña de cuatro años probablemente solo esté buscando problemas.
• Nunca reutilice sus contraseñas en otros sitios web. Esa violación de cuatro años podría llevar fácilmente a que alguien pruebe esa misma contraseña en otro sitio web de redes sociales o cuenta de correo electrónico y podría comprometer otras cuentas simplemente porque la misma contraseña se usó en varios lugares.

"Un ataque hace más de cuatro años se filtró públicamente a principios de 2016", dijo Haber. "Los usuarios que no habían cambiado sus contraseñas desde entonces encontraron sus nombres de usuario, direcciones de correo electrónico y contraseñas disponibles públicamente en la web oscura. Opciones fáciles para un hacker".

5. Servicio de Impuestos Internos (IRS)

Por último, Haber dijo que no podemos olvidarnos de los hacks del IRS. Esto sucedió dos veces, en 2015 y nuevamente a principios de 2016, y afectó datos críticos, incluyendo declaraciones de impuestos y números de seguridad social.

"El vector de ataque fue contra el servicio 'Obtener Transcripción', utilizado para todo, desde préstamos universitarios hasta compartir sus declaraciones de impuestos con terceros autorizados. Debido a la simplicidad del sistema, se podría usar un número de seguro social para recuperar información y luego crear declaraciones de impuestos falsas, equivalentes a un reembolso y electrónicamente a una cuenta bancaria no autorizada ", explicó Haber. "Esto es notable porque el sistema, como Yahoo, fue violado dos veces, reparado, pero aún tenía fallas severas que permitieron que se volviera a violar. Además, el alcance de la violación se subestimó enormemente, desde las primeras cuentas de 100, 000 usuarios hasta más de 700, 000 al final. Se desconoce si esto volverá a surgir para los retornos de 2016 ".

Haber señaló dos lecciones principales que las empresas pueden aprender de los hacks del IRS:

• Las soluciones de pruebas de penetración son cruciales; el hecho de que haya solucionado una falla no significa que el servicio sea seguro.
• El análisis forense es crítico después de un incidente o incumplimiento. Tener una magnitud de orden de siete veces en el número de cuentas afectadas indica que nadie realmente entendió el alcance del problema.

"Para 2017, creo que esperaremos más de lo mismo. Los estados nacionales, los dispositivos IoT y las compañías de alto perfil serán el foco de los informes de incumplimiento", dijo Haber. "Creo que habrá un aumento en la cobertura de las leyes de privacidad que rigen los dispositivos IoT y el intercambio de información contenida en ellos. Esto cubrirá todo, desde dispositivos como Amazon Echo hasta información que fluye desde EMEA, EE. UU. Y Asia-Pacífico dentro de las empresas".