Los 11 mayores hackeos y brechas de seguridad de la década pasada en EEUU que a día de hoy siguen teniendo repercusión

Cada año, los registros y los datos que se almacenan en línea crecen. Y los ciberdelincuentes mejoran sus métodos también cada año para poder robarlos.

La frecuencia con la que se dan las grandes brechas en las que los datos de decenas de millones de personas se ven comprometidos sigue creciendo. Desde 2011 se han registrado más de 7.000 incidentes similares, según una investigación de Privacy Rights Clearinghouse. En la práctica, supone más de 4.000 millones de datos robados.

Solo el año pasado, los ciberdelincuentes sofisticaron y desplegaron una serie de nuevas tácticas aprovechando la ola de la computación en la nube para poder poner la diana en objetivos vulnerables como proveedores de software. La idea es siempre maximizar el número de víctimas sobre el que puedan impactar. Cada gran hackeo puede tener múltiples consecuencias. Tráfico de información robada, ciberdelincuentes aprovechando el material para nuevas estafas e incluso para acceder a los sistemas de organizaciones o empresas e instalar ransomware y causar todavía más daño.

Un ejemplo de gran brecha es el listado de números de teléfonos y datos personales de más de 500 millones de usuarios de Facebook, que se filtró gratuitamente esta semana. Un portavoz de la red social aseguró que los datos habían sido robados hace un par de años por una vulnerabilidad que ya ha sido subsanada, y que permitía a los ciberdelincuentes recopilar información de usuarios de la plataforma violando de forma masiva los términos de servicio de la red social.

Aunque esta vulnerabilidad ya fue subsanada en 2019, la magnitud de los datos robados revelan cómo de masivos pueden llegar a ser estas filtraciones de información.

Uno de los mayores hackeos de la historia tuvo lugar a raíz de un puñado de errores comunes. En su libro, Big Breaches, que se ha publicado este mismo mes, los expertos en ciberseguridad Neil Daswani y Moudy Elbayadi detectan que todas las grandes brechas de información que se han conocido sucedieron a raíz de alguno de los siguientes factores: phishing, malware, un ataque a terceros, datos sin cifrar, vulnerabilidades en el software, y errores no intencionados de empleados.

Guerra, espionaje, extorsión y muertes: estos han sido los mayores hackeos e incidentes informáticos en el año de la pandemia

"Este problema es cada vez más urgente", aseguraba Daswani en una rueda de prensa hace unos días. "Las cosas solo van a ir a peor".

Entre tanto, la industria de la ciberseguridad en Estados Unidos trata de cerrar su brecha de talento: solo en el país norteamericano, hay más de 500.000 ofertas de empleo sin cubrirse. Y aunque legisladores han sido relativamente lentos a la hora de adaptar la legislación norteamericana para impulsar la ciberseguridad, el Congreso está debatiendo una serie de partidas que podría inyectar más dinero público en el sector.

Estos son los 11 mayores hackeos que se produjeron en la década pasada solo en EEUU, y que todavía tienen consecuencias. Los 11 incidentes están ordenados según la severidad y sensibilidad de la información robada.

11. Brecha a una enorme aseguradora, Anthem, en 2015: se robó la información personal de 78 millones de personas

El segundo mayor proveedor de seguros de salud en EEUU reconoció en 2015 que ciberdelincuentes habían accedido a sus redes y robado información personal que identificaba a empleados y extrabajadores de la firma, así como a millones de clientes.

El plan del nuevo jefe de Seguridad de GitHub para evitar que los desarrolladores sigan filtrando secretos y contraseñas de empresas accidentalmente

Según Bloomberg, los investigadores que siguieron el caso determinaron que detrás podía estar un grupo de ciberdelincuentes respaldado por China.

10. JPMorgan Chase descubrió en 2014 una filtración que comprometió los datos personales de 83 millones de clientes

Fue una de las mayores filtraciones en la historia de la banca estadounidense. Los ciberdelincuentes lograron acceder de forma no autorizada en las redes de JPMorgan Chase en 2014 después de comprometer la seguridad de Simmco, una firma de servicios web que alojaba uno de los portales de la entidad afectada.

Los criminales no se hicieron con datos sensibles como el número de seguridad social o la información financiera de los clientes, aseguró el banco. Pero sí se llevaron nombres, direcciones de correo electrónico, direcciones postales y números de teléfono, lo que elevó la preocupación de que toda esa información se pudiese emplear para preparar campañas de phishing o suplantaciones de identidad, así como otros tipos de estafas y fraudes.

Los fiscales federales de EEUU después presentaron cargos contra cuatro personas que estuvieron involucradas con esta filtración, entre las cuales se encontraban dos ciudadanos israelíes y uno estadounidense. Están a la espera de juicio.

9. En 2021 unos criminales han aprovechado una vulnerabilidad en un software de servidores de correo Microsoft, lo que está provocando ataques a miles de empresas

Microsoft reconoció en marzo de este año que unos ciberdelincuentes presuntamente vinculados con el Gobierno chino estaban aprovechándose de una vulnerabilidad hasta ahora desconocida en Exchange Server, un software para servidores de correo electrónico. Así, habían conseguido poner la diana en miles de empresas en todo EEUU. 

Desde entonces, investigadores de ciberseguridad han advertido que otros muchos colectivos de criminales informáticos están aprovechándose de la vulnerabilidad para seguir ejecutando ataques contra los servidores que no hayan actualizado el software para corregir ese agujero.

Aunque de momento el alcance absoluto de todos estos ataques se ignora, muchos especialistas avanzan que millones de personas se podrían ver afectadas. De hecho ya hay pruebas de una segunda consecuencia de este incidente: muchos ciberdelincuentes están enviando ransomware a empresas que ya se habían visto afectadas por este agujero de seguridad.

8. Ciberdelincuentes rusos se infiltraron en las redes de docenas de administraciones en EEUU y de multinacionales tras comprometer la seguridad de un proveedor de software, SolarWind

Cientos de organizaciones, incluyendo grandes multinacionales o agencias gubernamentales de EEUU del más alto nivel, se vieron afectadas en 2020 por una brecha masiva después de que los ciberdelincuentes comprometieran la seguridad de una proveedora de software llamada SolarWinds, y camuflaran un código malicioso en lo que parecía una actualización rutinaria de sus programas.

Microsoft confirma que ha sido golpeada por el ciberataque de SolarWinds, pero tranquiliza a sus usuarios diciendo que no ha encontrado evidencias de que sus productos o los datos de sus clientes hayan sido afectados

El hackeo a SolarWind lo ejecutó un sofisticado colectivo de ciberdelincuentes aparentemente sin móvil económico: solo pretendían espiar a sus víctimas, según destacaron investigadores de la firma de ciberseguridad FireEye, que también se vio afectada por este incidente.

La dimensión total de la cantidad de empresas y organizaciones que se han visto afectadas por este hackeo masivo todavía no se ha podido determinar. Pero este golpe es notable por el alto nivel de las empresas y administraciones que han resultado víctimas. Los investigadores advierten que los criminales continúan activos en las redes de muchas de ellas, espiando sus correos electrónicos y trabajando en nuevas herramientas para evitar ser detectados.

7. Yahoo reconoció en 2016 que había sido víctima de dos agujeros de seguridad que podrían haber afectado a los datos de sus 3.000 millones de usuarios

Las redes de Yahoo se vieron comprometidas en 2013 y en 2014 por unos ciberdelincuentes que consiguieron robar nombres, fechas de nacimiento, direcciones de correo y las contraseñas encriptadas de los 3.000 millones de usuarios de esta plataforma. Yahoo reconoció estos hechos hasta 3 años tarde, en 2016. Es la brecha de datos más grande de la historia en términos de personas afectadas.

Los ciberdelincuentes primero consiguieron acceder a las redes de Yahoo enviándole un link fraudulento mediante un phishing a un empleado de la compañía, según concluyó después el FBI. Pero muchos detalles del incidente todavía no se han aclarado, porque los ciberdelincuentes utilizaron una herramienta para ir limpiando el rastro que iban dejando en los sistemas de su objetivo.

El Departamento de Justicia de Estados Unidos presentó cargos contra cuatro ciudadanos rusos, de los cuales dos eran agentes de los servicios de inteligencia de la potencia del este, y dos ciberdelincuentes freelance. El Kremlin ha rechazado estar detrás del ataque.

6. Target fue hackeada en 2013, exponiendo los datos de 40 millones de tarjetas de crédito y débito

Un periodista independiente especializado en ciberseguridad, Brian Krebs, aseguró que Target, una gigantesca cadena de grandes almacenes de EEUU, se vio afectada por un ciberataque que en un principio estaba dirigido contra otra compañía: su proveedor de sistemas de aire acondicionado y calefacción.

Tras acceder a los sistemas de Target, los ciberdelincuentes inocularon código malicioso en los puntos de venta de la compañía, con lo que consigiueron robar datos de unas 40 millones de tarjetas de crédito y débito con los que los clientes de la marca habían hecho sus compras.

La brecha tuvo lugar en 2013 aunque no se dio a conocer hasta 2014, lo que supuso la apertura de una investigación por parte de los servicios secretos estadounidenses.

5. En 2017, Equifax sufrió un incidente que supuso el robo de información sensible de 143 millones de sus clientes

Equifax, una firma especializada en la elaboración de informes de solvencia y auditorías, sufrió un ciberataque que reconoció en 2017 y que supuso una brecha masiva de datos de hasta 143 millones de personas.

Los criminales informáticos robaron nombres, números de la seguridad social, direcciones, fechas de nacimiento, los carné de conducir e incluso datos sobre los pasaportes de algunos de los clientes de la compañía. Equifax tuvo que asumir una indemnización de 575 millones de dólares por no haber protegido debidamente los datos personales de sus clientes.

EEUU, Rusia y China protagonizan una ciberguerra que se ha convertido en el juego de espías más sofisticado de la historia: estas son las armas con las que cuenta cada uno

Los fiscales federales después presentaron cargos contra cuatro agentes del ejército chino, a quienes responsabilizó de haber preparado este ciberataque y robado los datos. Unos cargos que el Gobierno chino rechaza.

4. Marriott fue hackeada en 2018 y los ciberdelincuentes se llevaron la información personal de más de 500 millones de personas

La información de medio millón de clientes de la hotelera Marriott fue usurpada: nombres, direcciones, tarjetas de crédito y números de teléfono. También la información sobre los itinerarios de sus viajes, como datos de sus pasaportes o detalles sobre sus fechas de llegada o marcha.

El FBI emprendió una investigación y los expertos advirtieron entonces que la industria hotelera era uno de los objetivos prioritarios para los criminales informáticos que cuentan con el respaldo de potencias extranjeras: pretenden así extraer información de viajes de personalidades y celebridades. No se ha traslucido quién podría estar detrás del ataque, pero algunos agentes de las fuerzas de seguridad han reconocido de forma anónima a The New York Times que varias tesis apuntan a China.

3. Un ciberdelincuente accedió a los sistemas de Capital One, extrayendo datos como cuentas bancarias o números de la seguridad social de 100 millones de personas

Un criminal informático logró robar millones de apps de tarjetas de crédito después de acceder a los sistemas de Capital One.

La brecha incluyó también el compromiso de información altamente sensible, como números de la seguridad social o detalles bancarios. La Justicia estadounidense presentó cargos contra un ingeniero de software de Seattle que antes había trabajado para Amazon Web Services.

2. Una vulnerabilidad de Facebook filtra los datos de más de 500.000 usuarios

Investigadores descubrieron en abril de 2019 que una vulnerabilidad en la configuración de servidores de Facebook hacía posible extraer datos personales de los usuarios —como sus números de teléfono, nombres, identificadores de cuenta, me gustas, comentarios o publicaciones— violando los términos de servicio de la propia plataforma.

Facebook corrigió esta vulnerabilidad el mismo año, pero los datos ya empezaron a circular por la red. En enero, un ciberdelincuente creó un bot que vendía los números de teléfono de los usuarios de la red social a cambio de un precio, según detallóMotherboard.

El teléfono de Mark Zuckerberg es uno de los números que se ha filtrado entre el hackeo masivo de datos de Facebook, según un investigador

En abril de este año, los datos de 533 millones de usuarios se publicaron en un foro de hacking muy popular, haciendo esta base de datos más gratuita y accesible que nunca.

1. La aseguradora de hogar First American filtró sin querer 885 millones de datos de 2017 a 2019, incluyendo números de la seguridad social o fotos del carnet de conducir

El gigante de las aseguradoras de hogar estadounidenses, First American, dejó accesibles números de la seguridad social, documentos fiscales e información personal todavía más sensible en su propia página web. Allí estuvieron, a la vista de todos,entre 2017 y 2019, cuando el periodista Brian Krebs detectó la brecha después de haber avisado primero a la compañía.

First American después reconoció que un bot creado por ciberdelincuentes había recopilado de forma masiva grandes cantidades de esta información personal antes de que se eliminara de la red. Aunque no está claro a cuánta gente se pudo afectar, sí se sabe que se comprometieron 885 millones de registros, y a muchos de ellos podrían haber tenido acceso los criminales.

Cómo comprobar si tus datos se han filtrado en una brecha de seguridad o ciberataque, y cómo protegerte llegado el caso

El año siguiente, el Departamento de Servicios Financieros de Nueva York anunciaron cargos contra First American por no proteger debidamente los datos de sus clientes. Fue la primera vez que la entidad iniciaba una acción legal con un trasfondo en la ciberseguridad. First American consideró que los cargos no fueron justos. Se está a la espera de juicio.