Vinny Troia se ha convertido ya en una especie de semihéroe a nivel a mundial. Este investigador de la deep web, conocido desde hace años por alertar de la presencia de agujeros de seguridad a nivel global, descubrió hace poco miles de cuentas expuestas y otro material que nunca debería haber visto la luz.

Se trataba de un servidor, totalmente accesible y desprotegido, que contenía la información personal de 1.200 millones de usuarios de todo el mundo, incluidas sus cuentas de redes sociales (Facebook, Twitter, LinkedIn o GitHub), sus direcciones de correo electrónico, sus lugares de trabajo y hasta sus propios números de teléfono personales.

En total, cerca de 4 terabytes de material privado con el que cualquier ciberdelincuente tendría información más que de sobra para intentar suplantar la personalidad de cualquiera de los 1.200 millones de afectados. Se trata pues, de una de las mayores filtraciones de una única fuente de toda la historia.

El origen, una incógnita_

Como detalló Wired, poco se sabe acerca de la procedencia de estas bases de datos, así como de su forma de obtención. En un principio Vinny Troia apuntó hacia People Data Labs, ya que sus siglas (PDL) aparecían en el etiquetado de las carpetas. También se señaló la posibilidad de que fueran de Oxydata por el marcado OXY.

En cualquier caso, ambas empresas han asegurado que no tienen constancia de haber sufrido ningún robo de este tipo, aunque sí reconocen una opción: que las bases de datos sean suyas, pero hayan sido robadas a alguno de sus múltiples clientes en todo el mundo, especialmente en Estados Unidos.

La base de datos ha sido subida a HaveIBeenPwned, la plataforma gestionada por el investigador Troy Hunt en la que se puede consultar la presencia o no de los datos personales de cada persona. La filtración ha sido de tal calado que incluso el propio Hunt ha asegurado que su información personal se encontraba en dicho servidor.

Según se asegura en Wired, aún hay muchos datos por descubrir y una pregunta esencial: ¿cómo se consiguió dicha base de datos? Lo más probable, según se ha podido averiguar, es que la información fuese conseguida legalmente, pagando a las empresas de recolección de datos. El ilícito, en este caso sería su posterior difusión, así como la obtención previa de la base de datos a través de los sistemas de quien hubiese pagado lícitamente por ella.

Sea cual sea la táctica empleada para obtener esa información, que fue después publicada de manera ilícita en la deep web, hay una cosa que queda clara: la empresa propietaria del servidor no solo descuidó su ciberseguridad, sino que tampoco demostró una diligencia adecuada a la hora de custodiar los datos personales de 1.200 millones de personas procedentes de todos los rincones del mundo.

Cómo evitar estas filtraciones_

Este quizá ha sido uno de los casos más llamativos de los últimos años, pero lo cierto es que cualquier empresa que gestione datos e información privada de sus clientes, usuarios, proveedores o empleados corre el riesgo de exponerse a un ciberataque que desemboque en una brecha de datos más pequeña, pero de carácter muy similar.

infografia-brecha-datos

Para evitar filtraciones de este tipo, las compañías que quieran proteger su ciberseguridad deben llevar a cabo una serie de acciones en el ámbito de la protección de datos:

  1. Distintos servidores. Cuando una compañía dispone de tanta información de usuarios, estos datos deben separarse de manera desagregada y en distintos servidores. De este modo, ante un ciberataque los delincuentes tendrían acceso a una porción de información mucho menos significativa.
  2. Servidores en distintas instancias y offline. En el caso de que la información efectivamente esté distribuida en varios servidores, el siguiente nivel de aislamiento sería separar sus instancias y alojados en redes distintas. Si además necesitamos un nivel de aislamiento mayor, podríamos establecer protocolos de desconexión a internet intermitentes para dificultar las posibles labores de intrusión.
  3. Límite de acceso. El acceso a la información privada de miles o incluso millones de usuarios nunca debe estar permitido a empleados de rango medio o bajo, que en ocasiones son el eslabón más débil de la escalera de custodia de la ciberseguridad de una compañía.

4. Control de acceso y tráfico. Habrá casos en que algunas de las medidas anteriores no puedan ser aplicadas. En tal caso, cualquier servidor debería ser sometido a un exhaustivo control, automatizado y en tiempo real, para analizar su actividad de manera constante, de modo que cualquier alarma podrá ser detectada antes de que ocasione daños.

5. Control de la actividad. Si vemos y registramos todo lo que ocurre tanto en los puestos de trabajo como en los servidores, podremos estar alerta de todo el transcurso del posible ataque. Y este registro debe incluir el perfilado y clasificación de todos los comportamientos de archivos, usuarios y máquinas, para mantener bajo control toda la actividad normal y sospechosa.

De hecho, bajo ese mismo planteamiento, el servicio gestionado Zero-trust Application Service, exclusivo de Cytomic e incluido como funcionalidad en todas nuestras soluciones de seguridad avanzada, asegura que solo las aplicaciones y binarios de confianza puedan ejecutarse en los endpoints. Garantizando, por tanto, que los ataques basados en malware de cualquier tipo son simplemente abortados y no tendrán éxito.

Además, nuestras capacidades EDR completas monitorizan la actividad en el endpoint y ofrecen una visibilidad continua, integral y detallada sobre el comportamiento de programas, endpoints y usuarios. Esta monitorización es la base del servicio Zero-trust Application Service.

Las brechas de datos siguen siendo una de las principales preocupaciones de las organizaciones por motivos reputacionales, financieros y de responsabilidad con sus clientes o usuarios finales. Hacerles frente no es fácil dado el nivel de complejidad que han adquirido los ciberataques – la mayoría, además, en cambio constante para sortear los escollos que se van encontrando -, por lo que es prioritario que mejoren su postura en materia de ciberseguridad, implementando herramientas y servicios avanzados que anticipen y mitiguen los ataques a tiempo, además de analizarlos para conocer los detalles y patrones que hay tras ellos.