Un robo a centros de datos en Asia pone en jaque a 2.000 empresas, entre las que hay multinacionales muy conocidas, pero también deja una enseñanza
- Un grupo de ciberdelincuentes ha comprometido la base de usuarios de 2 grandes proveedores de centros de datos en China y Singapur.
- El ataque se conoció en 2021 y un grupo de criminales ha tratado de explotar las credenciales desde entonces. Entre las afectadas hay grandes multinacionales.
- Las dimensiones del incidente ponen de relieve lo vulnerables que son estas cadena de valor: sus incidentes comunes en los diagnósticos de ciberseguridad.
La ciberseguridad tiene múltiples analogías con la seguridad en el mundo físico. Si guardar tus pertenencias en un armario para el que muchas personas tienen copias de la llave, será más probable que alguien extravíe la suya y, en consecuencia, la seguridad de tus bienes quede en entredicho.
En el mundo digital sucede lo mismo. Pero plantear en una era globalizada y conectada que una empresa o una organización se aíslen para proteger sus bienes, como si de una caja fuerte se tratara, es una quimera. La información es un activo económico, y los datos son a menudo indispensables para trabajar con proveedores o para simplemente prestar un servicio.
Los riesgos siguen estando ahí, eso sí. Y lo que recoge Bloomberg en este reportaje es prueba de ello. Una compañía de ciberseguridad, Resecurity, avanzó a mediados de febrero que un grupo de ciberdelincuentes había conseguido obtener las credenciales de acceso a paneles de usuarios de 2 grandes proveedoras de nube en Asia, GDS Holding y STT GDC.
Los clientes afectados por esta fuga masiva de contraseñas se cifra en torno a las 2.000 empresas, entre las que se encuentran gigantes como Alibaba —propietaria de AliExpress—, Amazon, Apple, BMW, Goldman Sachs, Huawei, Microsoft o Walmart, según el informe de Resecurity y la documentación a la que ha tenido acceso Bloomberg.
Por ahora, de los 2 proveedores señalados solo GDS ha reconocido en un comunicado que sufrieron una fuga en su base de datos en 2021, mientras que STT GDC dice que no existen evidencias de que hayan sufrido un incidente similar este año. Ambas han defendido que una posible filtración de esos datos no supone ningún riesgo para sus clientes.
Pero tanto el informe de Resecurity como altos cargos de 4 multinacionales que han pedido no revelar su identidad ante Bloomberg reflejan la importancia de este incidente. El robo de estas credenciales, que se ha puesto a la venta en un conocido foro de hacking por 175.000 euros, implica un "inusual y serio peligro" para las entidades que usn los centros de datos de las citadas firmas.
Los criminales informáticos que han dispuesto esta ingente cantidad de usuarios y contraseñas a la venta reconocían en el foro estar un poco "abrumados" por la cantidad de información que manejaban, y reconocían que habían aprovechado algo de esos datos. Sin embargo, aunque muchas contraseñas ya no sean válidas, el valor de esta información sigue siendo enorme.
Las consecuencias podrían haber sido catastróficas
Pocas empresas han querido reconocer que se han visto afectadas, aunque sea indirectamente, por este incidente. Solo Microsoft y Goldman Sachs reconocen en comunicados genéricos que tienen medidas adicionales que evitan que ante incidentes como este sus datos no estén en peligro. BMW sí reconoció ser consciente del problema y emplazaron a GDS a mejorar su ciberseguridad.
GDS y STT GDC son 2 mastodónticas firmas que ofrecen servicios en la nube y alojamiento en sus centros de datos. Son 2 de las compañías más grandes de su sector en Asia. Una enclavada en China, la otra en Singapur, se puede explicar que muchos clientes sean de origen estadounidense ante la obligatoriedad que hace China a firmas extranjeras de asociarse con firmas locales.
El comunicado de GDS, de hecho, reivindica que la información robada no es crítica y que las credenciales solo pueden emplearse para solicitar soporte a los centros de datos, calendarizar repartos físicos de equipos y revisar informes de mantenimiento.
Sin embargo, el número de datos filtrados, el número de potenciales víctimas —más de 2.000 compañías de todo el mundo—, el valor de esta ilícita oferta, convierten el incidente con estas firmas de centros de datos asiáticas en un importante recordatorio de los desafíos a los que se enfrenta la industria de la ciberseguridad a la hora de segurizar las cadenas de valor.
Michael Henry, exresponsable de Información de Digital Realty Trust, uno de los principales proveedores de centros de datos para el mercado estadounidense, reconoce por ejemplo a Bloomberg que este episodio es "una pesadilla que se esperaba vivir". Los peores escenarios hubiesen implicado que los ladrones hubiesen logrado acceso físico a los servidores.
Con acceso físico a los servidores, los criminales informáticos habrían podido instalar código malicioso y propagarlo por múltiples sistemas y, en consecuencia, empresas de todo el mundo.
Aunque muchas de estas contraseñas ya no sean válidas, el hecho de que también se hayan filtrado un sinfín de correos electrónicos también implica que 2.000 empresas de todo el planeta están en peligro. Tanto los ciberdelincuentes que venden la información como el posible postor que se haga con ella los podría reaprovechar para lanzar nuevas campañas de phishing.
Campañas de phishing, además, que perseguirían estafar a cargos responsables de sistemas informáticos en múltiples compañías.
En el sector de la seguridad informática se habla de la cadena de la ciberseguridad, en la que las personas son el eslabón más débil: los trabajadores que no estén debidamente formados aumentan el riesgo de sufrir un ataque en una organización. Lo sucedido con GDS y STT GDC en Asia apunta también a los riesgos de confiar en exceso en proveedores.
Otros eslabones también pueden ser peligrosos.
Otros artículos interesantes:
Descubre más sobre Alberto R. Aguiar, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.