Nuestros datos están por todas partes. Muchas de nuestras acciones diarias generan datos que son almacenados por terceros en sus servidores o en la nube pero… ¿qué sucede con esos datos?
Podemos encontrar diferentes formas de denominarlo como data leak, data breach o simplemente fuga de datos. Pero lo que sí está claro es que el 2019 fue un año estrella en este tipo de incidentes y todo apunta a que 2020 la tendencia seguirá en aumento.
Si ponemos como ejemplo la filtración de 3.500 tarjetas de crédito en Chile vemos el peligro inmediatamente, ya que existe la posibilidad de la clonación y utilización de la tarjeta. Sin embargo, si pensamos en otro tipo de fuga de datos como puede ser el reciente caso de Cineplanet en Perú donde la brecha de seguridad reveló aproximadamente 14 millones de registros de inicio de sesión y más de 205 millones de registros de datos de los clientes, no parece tan peligroso.
Robo de datos de Cineplanet Perú
Analicemos el caso un poco más para ver su posible peligrosidad.
Los datos de los usuarios se guardaban en una base de datos alojada en un servidor en la nube de Microsoft Azure. Esta nube no estaba securizada adecuadamente y ese fue el punto de entrada para que se filtrase una cantidad tan elevada de datos.
La información era referente a los clientes por lo que contenía:
- Historial de compras: día, hora, película, cine
- Información personal como: nombre completo, dirección de correo electrónico, contraseñas sin cifrar, información parcial de pago y números de teléfono. En el caso de algunos usuarios también se detallaba su estado civil y laboral.
- Información técnica: Tipo de dispositivo, navegador, dirección IP.
¿Qué hacen con los datos robados?
¿Qué repercusión tiene esto desde un punto de vista de ciberseguridad? Toda esta valiosa información puede ser utilizada para campañas de phishing. Estos datos permiten generar un perfil de la persona y dirigir emails, llamadas o sms con información y detalles que lleven al usuario a confiar en el remitente y en el contenido que recibe redireccionándole a sitios maliciosos, a una descarga involuntaria de malware y/o robo de credenciales.
Pongamos un ejemplo y así es mucho más fácil de visualizar: Luis Pérez con NIF 00000000-F suele ir al cine a ver películas de acción, sabemos a qué cine en concreto y a qué sesiones suele ir y, por supuesto, también tenemos su número de tarjeta de socio. Pensemos que recibe un email con una invitación para el próximo estreno en su cine habitual. En el texto se dirigen a él por su nombre y apellidos, le agradecen su fidelidad y señalan su número de tarjeta de cliente que deberá presentar junto a la invitación para poder acceder gratis a la premier. ¿Crees que desconfiará o pinchará en el link de la invitación? Es muy probable que confíe en el email puesto que le da muchos detalles correctos, pero al hacerlo se habrá convertido en una nueva víctima de Phishing. La supuesta invitación le llevará a un sitio web malicioso, con un aspecto muy parecido al legítimo e incluso, si se fija en la barra de direcciones, verá un dominio casi igual. Estas prácticas tienen un nombre:
- Phishing: Tanto el e-mail como la página, tienen el mismo aspecto que la original a la que suplanta y está encaminada a obtener información de la víctima.
- Cibersquatting: El dominio que podemos observar en la barra de direcciones parece el legítimo pero ya se sabe que no es oro todo lo que reluce. Si nos fijamos atentamente, a veces tiene alguna letra cambiada de orden o incluso una letra de otro alfabeto que se parece al símbolo que quiere suplantar. Por ejemplo un “an” puede suplantar a una “m” o podemos ver escrito “cl” para sustituir a una “d” en una dirección web.
- www.cineplanet.com vs. www.cienplanet.com
- www.ingdirect.es vs. www.ingdrect.es
- www.bancofalabella.com vs. www.bancofallabela.com
Pero esto no es todo, si además los ciberdelincuentes tienen la suerte de que Luis trabaja en un banco y ha registrado su cuenta con la dirección de correo del trabajo…, en este caso al descargar la invitación se puede crear una puerta de acceso al sistema empresarial.
Imaginemos ahora que los datos filtrados fueran mucho más completos: nombre completo, fecha de nacimiento, domicilio, género, número de identificación nacional, número de la seguridad social y de contribuyente, historial de multas, saldos de cuentas bancarias, historial laboral y algunos registros más que no se han hecho públicos. Esto le sucedió a 20 millones de ecuatorianos por una filtración de la empresa Novaestrat. Toda la información obtenida salió de un servidor que la empresa tenía en Miami y que no estaba protegido ni cifrado. Esta falta de seguridad hizo que la información estuviese un mínimo 5 meses a disposición pública, cualquiera podía acceder a esa base de datos. Obviamente, las posibilidades de que alguien hiciese un uso delictivo de toda esta información eran muy altas y finalmente el robo de datos se produjo.
¿Cómo evitar el cibersquatting y el phishing?
En BOTECH somos pioneros tanto en la detección de Cibersquatting, con técnicas de Machine Learning, como en la lucha contra el fraude, lo que nos permite evitar campañas de phishing en muchas ocasiones antes de su inicio.
Hemos podido comprobar que, aunque no fueran datos bancarios o contraseñas de algún servicio, los datos filtrados pueden ser utilizados para campañas de phishing más específicas y con mayor probabilidad de éxito. Los ciberdelincuentes nunca dejan de innovar para buscar rentabilidad a sus acciones. Esto hace que nosotros también tengamos la innovación como una máxima para poder estar un paso por delante y proteger a nuestros clientes.
Sira de la Fuente Gregorio
Junior Developer BOTECH
