Poco se sabe sobre su identidad, si se trata de un grupo, o es una persona sola… Lo único que se conoce con certeza es que lleva años generando alarma entre grandes compañías de todo el mundo. Y en este caso le ha tocado a un banco de una procedencia polémica como lo son las Islas Caimán.

Hace pocos meses, el Banco Nacional de las Islas Caimán reconoció públicamente que había sufrido un robo de datos y que estaba investigando el incidente. La entidad no identificó al autor, pero él mismo sí lo hizo: se trataba de Phineas Fisher, un conocido en el mundo del hacktivismo, así como en el del cibercrimen a nivel internacional.

¿Quién es Phineas Fisher?_

Phineas Fisher saltó a la primera línea de la actualidad en 2014, cuando se adentró en los sistemas informáticos de Gamma International, una empresa alemana conocida por suministrar y vender programas de vigilancia a diversos gobiernos de todo el mundo. Los 40GB sustraídos por Fisher fueron inmediatamente liberados y difundidos.

Un año después, en 2015, el hacktivista hizo lo mismo con HackingTeam, una empresa italiana especializada en trabajar con gobiernos de toda índole y agencias de inteligencia, a las que también les vendía software de vigilancia.

Tras cuatro años sin apenas noticias suyas, Phineas Fisher ha vuelto a ser conocido en 2019 por la filtración de datos del Banco Nacional de las Islas Caimán, accediendo a 1.400 cuentas de clientes y a la información financiera de 3.800 empresas. La filtración, definida como la más explosiva desde los Papeles de Panamá, fue entregada a Distributed Denial of Secrets, una agencia de la periodista y activista Emma Best, que liberó los más de 2 terabytes de archivos.

¿Cómo entró al banco?_

Muchos se preguntaban cómo había podido Phineas Fisher acceder a los datos de la entidad financiera, pero él mismo lo ha contado en un manifiesto público. No se trató de un ciberataque elegido ni dirigido, sino que preparó varios exploits y escaneó información de todos los bancos analizados buscando dispositivos vulnerables. Hasta que dio con las Islas Caimán.

Fisher descubrió que las contraseñas de acceso eran las mismas del dominio de Windows, así que le resultó sencillo entrar a toda la red del banco. Además, gracias a un keylogger, consiguió analizar y capturar la actividad de muchos de los empleados de la entidad financiera, con lo que atesoró también sus credenciales. El hacktivista necesitaba conocer el proceso que conllevaba hacer una transferencia y descubrió que pasaba por tres trabajadores distintos: uno para crearla, otro para verificarla y un tercero para autorizarla. Ninguno de ellos hacía luego una revisión de los movimientos ejecutados, así que pudo empezar a robar dinero sin ser descubierto. De hecho, su ciberataque no terminó por una interceptación ajena, sino por una equivocación suya al escribir el código de una transferencia internacional que acabó enviando un mensaje de error, haciendo saltar todas las alarmas de ciberseguridad del banco.

En todo este proceso, hubo una herramienta esencial para que Phineas Fisher consiguiera sus objetivos: se trataba de Powershell, una herramienta legítima de Windows, cuya vulnerabilidad le permitió ejecutar acciones desde dentro de la red sin que nadie se percatase de ello ni hubiese ningún tipo de alerta en el sistema, convirtiéndose en un claro ejemplo de ataque Living off the Land (LotL) ejecutado con éxito. Además, con Mimikatz consiguió hacerse con nuevas credenciales de redes y empleados.

¿Cómo evitar estos ciberataques?_

Este caso nos confirma, una vez más, que las brechas de datos siguen siendo una de las mayores preocupaciones para organizaciones de todo tipo; y que la aparición de nuevas amenazas, así como la profesionalización de ciberatacantes como Phineas Fisher, provoca que el riesgo de no proteger los datos en el endpoint de forma adecuada sea cada vez más alto.

En Cytomic consideramos que, dentro de las políticas de ciberseguridad corporativas, el control y la gestión de los datos personales y sensibles en los endpoints debe jugar un papel esencial. Por eso disponemos de la solución Cytomic Data Watch, uno de los módulos de Cytomic Platform que permite a las organizaciones alinearse con un programa de seguridad más maduro, consiguiendo reducir así la superficie de ataque, en este caso, sobre los datos personales e información sensible. Esta solución monitoriza los ficheros en los dispositivos en búsqueda de datos personales y sensibles, permitiendo el borrado de ficheros desde la consola única de Cytomic para, así, mitigar el riesgo.

Si bien la escala y la frecuencia de las brechas de datos actuales son alarmantes, demasiadas organizaciones con entornos de red altamente flexibles y adaptables todavía dependen de soluciones y estrategias de seguridad aisladas y de segunda generación para protegerlas. Lo importante en estos casos es contar con un sistema de seguridad avanzada para evitar ser víctima de los ciberdelincuentes, y actuar con rapidez siguiendo las recomendaciones de los expertos en caso de sufrir uno de estos ataques.