Exfiltración de datos en Latinoamérica: una mina de oro para los hackers
Por Max Heinemeyer, director of Threat Hunting, Darktrace:
La exfiltración de datos se ha convertido en una de las técnicas más populares entre los ciberdelincuentes de todo el mundo. Para ellos, Latinoamérica es un blanco debido a que su economía se está digitalizando; sin embargo, su protección contra este tipo de ciberamenazas es deficiente.
Los grupos de Ransomware-as-a-Service (RaaS, por sus siglas en inglés) han desarrollado un nuevo tipo de “extorsión”, el cual se enfoca exclusivamente en la exfiltración de datos sin encriptar. Todas las organizaciones, tanto en el sector público como en el privado, poseen información delicada, la cual, en caso de robo, podría ser utilizada como medio de extorsión, para tener una ventaja competitiva o bien para infiltrarse en los sistemas de una empresa. Esto es lo que hace que el secuestro de datos sea tan lucrativo.
En México, los casos recientes de estos ciberataques se han dirigido notoriamente a entidades públicas. El ejemplo más reciente fue la extracción de datos confidenciales de la Lotería Nacional para solicitar su rescate por más de 40,000 dólares por parte del grupo Avaddon el mayo pasado. Sin embargo, esto está lejos de ser un caso aislado. El Banco Central de México, por ejemplo, informó que durante el 2019 los bancos comerciales tuvieron una pérdida de 784 millones de pesos debido a ataques de ransomware.
Una de las causas de esto es que muchas organizaciones en la región, incluidas grandes empresas, no se ocupan lo suficiente incluso de aspectos básicos de ciberseguridad. Recientemente, Darktrace detectó una gran exfiltración de datos sin encriptación de un instituto de fabricación farmacéutica de América Latina.
El ataque comenzó cuando un servidor interno recibió una conexión inusual a través de RDP (Protocolo de Escritorio Remoto) desde una IP externa, que duró cinco horas. Luego, la IP externa estableció una nueva sesión en el mismo servidor utilizando credenciales administrativas que aprovechó para acceder a un archivo que parecía contener contraseñas no cifradas. A partir de ahí, la IP externa descargó más de 18.000 archivos a través de SMB, lo que equivale a aproximadamente 150 MB de datos altamente confidenciales.
La Inteligencia Artificial de Autoaprendizaje detectó que la dirección IP era 100% desconocida para la organización y el servidor, lo que apuntaba a un ataque. La transferencia de datos también se detectó como inusual para el «patrón de vida» de la organización. Desafortunadamente, dado que la Respuesta Autónoma de Darktrace se estaba probando en modo pasivo en el servidor, esta no pudo intervenir e interrumpir el ataque. Sin embargo, Darktrace mandó varias alertas para advertir al equipo de seguridad sobre el ataque.
La organización era un blanco atractivo ya que las compañías farmacéuticas poseen una gran cantidad de datos valiosos incluyendo información personal de pacientes, razón por la cual varias empresas similares han sido objeto de ataques a lo largo de este año, sobre todo debido al interés de grupos de hackers y países por infiltrarse a la investigación y distribución de vacunas.
Más allá de estas ciberdefensas generalmente débiles, en la mayoría de las organizaciones latinoamericanas, la región es un tesoro para los ciberdelincuentes. El crecimiento económico significativo en los últimos años, la rápida digitalización de las principales industrias, muchas como respuesta al COVID-19, y las regulaciones cibernéticas deficientes han dejado a las organizaciones extremadamente vulnerables. Estas organizaciones también han recibido un apoyo limitado de sus gobiernos para adoptar la tecnología de defensa cibernética adecuada y desarrollar la resiliencia cibernética.
En México, dos iniciativas legales de ciberseguridad que fueron enviadas al Congreso siguen “congeladas” mientras que la tasa de ataques sigue en aumento. De mismo modo, a pesar de que Brasil ha sufrido pérdidas estimadas de 8 mil millones de reales brasileños por causa de los ciberataques, este país todavía no cuenta con leyes de protección vigentes.
Por otro lado, es probable que el crimen organizado comenzará a aprovechar el mundo digital, en particular a través del fraude y la suplantación de identidad, como una posible fuente de ingresos, especialmente a medida que sus cadenas de suministro continúan siendo afectadas por los efectos de la pandemia.
A pesar del creciente número de amenazas que enfrenta América Latina, tanto las organizaciones privadas como los gobiernos de la región han tardado en adoptar tecnología y regulación defensivas. Si bien algunas de las condiciones estructurales de Latinoamérica pueden persistir, las organizaciones que deseen tomar medidas proactivas pueden confiar en la tecnología de IA de autoaprendizaje como una forma eficiente para establecer una protección confiable y actualizada.
WhatsApp eSemanal 55 7360 5651
