Los riesgos de terceros son una amenaza seria para las organizaciones.
La seguridad de los sistemas de información de una organización puede ser puesta riesgo por parte de terceros, por ejemplo proveedores, organizaciones de soporte y otros eslabones de la cadena de suministro que brindan un servicio en modo de outsourcing, y, por tanto, este aspecto merece una atención considerable.
Que dichas compañías no cuenten con controles y procesos de seguridad debidamente establecidos y con un grado de madurez importante, puede provocar un impacto muy negativo para cualquier tipo de organización. Debido a esta razón, se ha convertido una prioridad para las compañías contratantes, el levantamiento y control de la información acerca de la madurez que tengan dichas empresas terceras sobre los controles de la seguridad de la información. El objetivo es lograr disminuir los posibles riesgos que estos pueden suponer para los servicios de negocio de las empresas contratantes. Y este objetivo se lleva a cabo a través de la ya conocida auditoría a proveedores.
1. TicketMaster, venta de boletos online
(23 Junio 2018) Ticketmaster sufre el robo de datos de miles de clientes en el Reino Unido, Un software malicioso de una compañía externa provoca la filtración de nombres, correos, números de teléfono e información de tarjetas de crédito de unas 40.000 personas.
La razón, un fallo informático derivado de un programa malicioso o «malware» en un producto de atención al cliente proporcionado por su proveedor Inbenta Technologies. El robo se produjo el pasado sábado 23 de junio, según admitió la corporación norteamericana en un comunicado, en el que también dijo que "tan pronto como descubrimos el software malicioso, desconectamos el producto de Inbenta".
El incidente, ya resuelto, ha puesto en peligro información sensible tales como las direcciones de correo electrónico, nombres, números de teléfono, detalles de pago y de las tarjetas de crédito asociadas a la plataforma.
El «malware» se ha detectado ya se ha «limpiado». «Se ha confirmado que el origen de la violación de datos fue un código JavaScript, que fue personalizado por Inbenta para cumplir con los requisitos particulares de Ticketmaster», explican a ABC fuentes de la empresa tecnológica.
En el comunicado, Ticketmaster asegura haber contactado a los afectados, a los que pidió que cambiaran sus contraseñas lo más pronto posible. Además, reconoció que podría verse afectado cualquier usuario que hubiera comprado una entrada a través de su sistema en Reino Unido entre febrero y el 23 de junio de este año, o bien clientes internacionales que utilizasen su web entre septiembre de 2017 y el 23 de junio de 2018, a excepción de aquellos que operen desde Norteamérica. "Si no has recibido un correo electrónico, no creemos que estés afectado por este incidente de seguridad basado en nuestras investigaciones.
Expertos en seguridad están trabajando a contrarreloj para entender cómo los datos pudieron ser revelados", dice el comunicado. Ticketmaster aseguró estar trabajando con las autoridades, así como con bancos y empresas de tarjetas de crédito, para esclarecer los hechos. La empresa ha ofrecido a los clientes afectados un servicio de monitorización de seguridad de sus cuentas durante 12 meses.
2. Maersk Line, transporte y logística
(2017) En un mundo globalizado e interconectado gracias a la tecnología a veces cuesta comprender el doble filo que representan los avances tecnológicos, dura lección que aprendió el año pasado la danesa Maersk al ver sus archivos encriptados por el ataque de un virus ransomware que puso en jaque las operaciones de la naviera.
La escala de afectados fue exponencial cuando se piensa en la cadena logística de contenedores en su totalidad. De acuerdo a estimaciones, todas las líneas navieras de Maersk: Maersk Line, Safmarine, Seago, MCC Transport y Sealand, fuerón afectadas, representando un volumen de 3.300 TEU/hora (alrededor de US$2,7 M/hora). Por lo tanto, el ciberataque no solo comprometió las operaciones y cargas propias de la naviera, sino que también afecta a contenedores a bordo y en puerto pertenecientes a terceros, sin dejar de mencionar las operaciones de APM Terminals, donde recalan naves de múltiples operadores.
La compañía rusa Laboratorio Kaspersky, una de las grandes multinacionales en el ámbito de la ciberseguridad, confirmo que la empresa ucraniana MeDoc fue una de las fuentes de distribución del virus informático que ha afectado masivamente a instituciones y grandes empresas por todo el mundo.
"Confirmamos que una de las fuentes de distribución del malware es la compañía de software contable ucraniana MeDoc. Su web fue hackeada y los usuarios recibieron la actualización maliciosa de forma automática".
Además de cargar con la responsabilidad del ataque de malware, la empresa ucraniana también tuvo que afrontar cargos criminales por haber sido consciente de la vulnerabilidad del sistema y no hacer nada al respecto. El responsable de la policía cibernética de Ucrania, Serhiy Demydiuk, afirmó en una entrevista con Associated Press que MeDoc había sido advertida en varias ocasiones y que su descuido tendrá consecuencias penales.
3. DynDNS, servicios de Internet
(2016) Una oleada de ciberataques masivos contra la empresa americana proveedora de Internet DynDNS, puso en jaque el servicio de páginas web de algunas de las principales corporaciones globales. El brutal ataque afectó a grandes organizaciones y medios de comunicación internacionales como Netflix, Twitter, Amazon o The New York Times. El servicio se vio interrumpido durante casi 11 horas, afectando a más de mil millones de clientes en todo el mundo
Fue producido por un ataque DDoS, en el cual muestran el nuevo enfoque diseñado por los Black Hat a la hora de activar campañas más poderosas y destructivas, conectando estos dispositivos inteligentes con un malware que los convierte en una especie de ejército altamente peligroso y preparado para lanzar estos ataques DDoS.
Este tipo de ataques de denegación de servicio satura con datos inservibles a los servidores, en este caso, los de DynDNS, de manera que impide a los usuarios reales acceder a las páginas por la sobrecarga del ancho de banda provocada por la acción de los hackers. El servidor no puede atender la cantidad enorme de solicitudes.
El éxito de internet, con miles de millones dispositivos conectados a la red de redes, es lo que a su vez la convierte en algo frágil y vulnerable. Muchos de estos dispositivos no cuentan con medidas básicas de seguridad, por lo que son fácilmente «hackeables» y cualquier empresa, medio de comunicación o red social puede ser la siguiente víctima del próximo ataque.
4. Target, tienda de Almacenes
(2013) Los hackers obtuvieron acceso a la red de Target robando credenciales de una empresa de calefacción y ventilación con sede en Pittsburgh llamada Fazio Mechanical Services. El sistema de Fazio Mechanical Services tenía acceso a la red de Targets para que pudieran monitorear y mantener sus sistemas. Es más eficiente para el objetivo simplemente dar a los contratistas acceso a su red, en lugar de contratar un empleado objetivo para moderar el sistema en casa. Fazio Mechanical Services estaba comprometido por un ataque de spear phishing realizado por los piratas informáticos unos meses antes del ataque a Target. Usando las credenciales de la empresa HVAC, primero instalaron el malware en los dispositivos de punto de venta (POS) en algunas tiendas seleccionadas para probar primero la eficacia del software del 15 de noviembre al 28 de noviembre antes de expandirse a la mayoría de las tiendas. copió datos de tarjetas de crédito y los almacenó en un servidor Target comprometido. El ataque Después de la fase de prueba inicial, los piratas informáticos instalaron y cargaron hasta cinco versiones del malware a la mayoría de los dispositivos POS a partir del 30 de noviembre. El malware se disfrazó como BladeLogic para tratar de imitar un componente utilizado en un producto de gestión de centro de datos. Hasta el 2 de diciembre del 2013, el software recopiló datos. El programa malicioso envió los datos robados a tres puntos diferentes de EE. UU. (Virginia, Utah y California) y solo envió los datos de 10 a.m. a 6 p.m. Este fue un intento de disfrazar los datos comprometidos como tráfico comercial regular. Finalmente, el 2 de diciembre, los datos comenzaron a salir de la red de Target y se enviaron a Moscú. El malware en sí tenía las credenciales para acceder a los servidores de los puntos intermedios y Target podía acceder fácilmente si lo habían tomado como una amenaza. Finalmente, cuando la policía federal se comunicó con Target acerca de la violación el 12 de diciembre, ya era demasiado tarde. Todos los datos robados habían sido enviados y luego eliminados. De quien es la culpa Se creía que el hacker era conocido como Rescator porque el nombre estaba incrustado en el código de exfiltración del malware. Se cree que también es el propietario de rescator.so, que era un sitio popular del mercado negro para las tarjetas de crédito robadas. El blogger de seguridad que originalmente rompió la historia de incumplimiento de Target cree que Rescator es Andrey Khodyrevskiy, un ucraniano de 22 años. Khodyrevskiy había pirateado la experiencia pirateada previamente en el foro de Odesskiy y había robado 190,000 direcciones de correo electrónico. Actualmente no puede ser contactado. Sin embargo, se cree que Khodyrevskiy era solo uno de un grupo de hackers que violaron a Target. Esto se prueba además por el hecho de que la mayoría de los piratas informáticos no dejarían sus nombres en el código del malware. No hay evidencia confirmada que revele la identidad de los piratas informáticos.