{"id":11574,"date":"2017-10-12T06:21:29","date_gmt":"2017-10-12T12:21:29","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=11574"},"modified":"2018-12-14T02:37:05","modified_gmt":"2018-12-14T08:37:05","slug":"data-leaks-2017","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/data-leaks-2017\/11574\/","title":{"rendered":"El top 5 de las peores fugas de datos del 2017 (hasta ahorita)"},"content":{"rendered":"

La fuga de datos personales es algo que ocurre a diario. Algunos de los casos aparecen en las noticias, y otros no se dan a conocer. Solo en Estados Unidos se han registrado 163 millones de cuentas que se vulneraron a lo largo del a\u00f1o (seg\u00fan los datos recogidos por el Centro de Recursos para el Robo de Identidad). Para los que no llevan la cuenta, las cifras se han multiplicado por cuatro con respecto al a\u00f1o anterior<\/a>.<\/p>\n

\"\"<\/p>\n

Aunque este a\u00f1o todav\u00eda no haya terminado, no queremos esperar para contarte las cinco fugas de datos m\u00e1s graves registradas a principios del 2017, o m\u00e1s bien las sucedidas en el primer trimestre del a\u00f1o para ser m\u00e1s precisos. La lista deber\u00eda de empezar con Yahoo y sus tres mil millones de cuentas filtradas, sin embargo, esa filtraci\u00f3n tuvo lugar en 2013; adem\u00e1s, en octubre, que corresponde al cuarto trimestre, se public\u00f3 m\u00e1s informaci\u00f3n sobre el alcance de la filtraci\u00f3n. Y finalmente, la informaci\u00f3n se actualiz\u00f3 respecto al fallo de seguridad que todos conocemos.<\/p>\n

5. Avanti Markets: 1.6 millones de cuentas<\/a><\/h3>\n

Puede que no hayas o\u00eddo hablar de Avanti, pero seguro que tu empresa s\u00ed, incluso quiz\u00e1 hayas comprado un tentempi\u00e9 en alguna de sus m\u00e1quinas expendedoras. Los atacantes consiguieron infectar varias de las m\u00e1quinas con un software<\/i> malicioso creado especialmente para interceptar el n\u00famero de tel\u00e9fono de las tarjetas de cr\u00e9dito, fechas de caducidad y sus CVV. Todav\u00eda se desconoce c\u00f3mo consiguieron infectar los distintos dispositivos y, en algunos casos, los atacantes llegaron a acceder a informaci\u00f3n biom\u00e9trica de los consumidores \u2013 algunos terminales inclu\u00edan lectores de huellas dactilares. Gracias a las diferentes configuraciones de los quioscos, no se hacke\u00f3<\/i> la red entera. Por la misma raz\u00f3n, la compa\u00f1\u00eda no pudo calcular de manera exacta los da\u00f1os causados y anunci\u00f3 que se vieron afectadas, al menos, 1.6 millones de cuentas.<\/p>\n

4. Election Systems & Software: 1.8 millones de cuentas<\/a><\/h3>\n

En agosto, expertos en seguridad inform\u00e1tica descubrieron una brecha en la nube de los servicios web de Amazon (AWS por sus siglas en ingl\u00e9s). Conten\u00eda una copia de seguridad de Election Systems & Software (ES&S), una compa\u00f1\u00eda que fabricaba m\u00e1quinas de votaci\u00f3n y sistemas de gesti\u00f3n de elecciones. Entre los datos figuraban un total de al menos 2 millones de cuentas con sus nombres, direcciones, fechas de nacimiento y el partido de afiliaci\u00f3n de los habitantes de Illinois. Por defecto, el acceso a AWS es solo posible mediante verificaci\u00f3n, pero por alguna raz\u00f3n, los ajustes del dispositivo estaban mal configurado, por lo que la informaci\u00f3n del contenedor era p\u00fablica. No hay manera de saber si alguien descubri\u00f3 los contenedores antes que los expertos, pero la informaci\u00f3n personal de 1.8 millones de personas era p\u00fablica y accesible, por lo que este accidente es un claro ejemplo de fuga de datos.<\/p>\n

3. Dow Jones & Compay: 2.2 millones de cuentas<\/a><\/h3>\n

El incidente de Dow Jones es muy similar al ejemplo anterior ya que est\u00e1 involucrado otro repositorio de AWS con un archivo de datos. El problema, de nuevo, fue la configuraci\u00f3n, aunque, en esta ocasi\u00f3n, la informaci\u00f3n no estaba disponible para todo el mundo, pero s\u00ed para los usuarios de AWS. El incidente comprometi\u00f3 la informaci\u00f3n personal y confidencial de millones de suscriptores de Wall Street Journal, Barron\u2019s y otros peri\u00f3dicos y revistas editados por una de las agencias de informaci\u00f3n financiera m\u00e1s importantes del mundo. Se desconoce la raz\u00f3n por la que los ciberdelincuentes pudieron acceder a la nube.<\/p>\n

2. America\u2019s Job Link Alliance: 5.5 millones de cuentas<\/a><\/h3>\n

Una vulnerabilidad en el software<\/i> de la aplicaci\u00f3n de una gran web de b\u00fasqueda de trabajo permit\u00eda a los hackers<\/i> conocer el nombre, la fecha de nacimiento y el n\u00famero de la seguridad social de los usuarios de m\u00e1s de diez estados. En febrero, el hacker<\/i> cre\u00f3 una cuenta en el sistema y, mediante la vulnerabilidad, obtuvo acceso a m\u00e1s de 5.5 millones de cuentas. El robo se descubri\u00f3 dos semanas despu\u00e9s, cuando la vulnerabilidad hab\u00eda desaparecido. Oficialmente, en un comunicado de prensa, America\u2019s Job Link Alliance explic\u00f3 que la vulnerabilidad se dio porque la actualizaci\u00f3n de una aplicaci\u00f3n de octubre 2016 no estaba \u201cbien configurada\u201d.<\/p>\n

1. Equifax: 145.5 millones de cuentas<\/a><\/h3>\n

Y ahora la peor filtraci\u00f3n: la de Equifax. En septiembre, los representantes de la compa\u00f1\u00eda revelaron que unos hackers<\/i> hab\u00edan tenido acceso a su base de datos y, por tanto, al nombre de sus clientes, sus n\u00fameros de la seguridad social, fechas de nacimiento y direcciones. La filtraci\u00f3n dur\u00f3 m\u00e1s de un mes, desde mediados de mayo hasta finales de julio. Para acceder a la informaci\u00f3n, los hackers<\/i> usaron la vulnerabilidad de la estructura de Apache Struts 2. En la evaluaci\u00f3n inicial de Equifax, el ataque afect\u00f3 a la informaci\u00f3n de 143 millones de personas, pero m\u00e1s tarde la empresa inform\u00f3 de que habr\u00eda afectado a m\u00e1s de 145.5 millones. Entre otras cuestiones, el ataque comprometi\u00f3 m\u00e1s de 209,000 tarjetas de cr\u00e9dito, as\u00ed como la informaci\u00f3n personal de 182,000 personas. La vulnerabilidad que permiti\u00f3 que sucediese la filtraci\u00f3n fue eliminada por Oracle (los desarrolladores de Apache Struts) en marzo, pero dos meses despu\u00e9s de lo sucedido, Equifax, una de las mayores agencias sobre informaci\u00f3n de cr\u00e9dito de Estados Unidos, a\u00fan no ha instalado las actualizaciones.<\/p>\n

Para resumir lo aprendido de las mayores cinco filtraciones: en al menos cuatro de ellas (se desconoce la causa de la primera), la filtraci\u00f3n se hubiera podido prevenir por completo. En los incidentes producidos con Election Systems & Software y con Dove Jones & Company, la informaci\u00f3n qued\u00f3 desprotegida debido a diferentes errores de configuraci\u00f3n. La filtraci\u00f3n de America\u2019s Job Link Alliance se debi\u00f3 a una vulnerabilidad conocida de la aplicaci\u00f3n web. En el caso de Equifax, la vulnerabilidad se habr\u00eda evitado si se hubiese instalado a tiempo un parche. En conclusi\u00f3n, estas filtraciones se hubieran podido evitar mediante una auditor\u00eda de la infraestructura inform\u00e1tica, algo que deber\u00eda hacerse con frecuencia en todas las compa\u00f1\u00edas, sin importar su tama\u00f1o.
\n\"\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Muchas de estas filtraciones podr\u00edan haberse evitado si la infraestructura inform\u00e1tica hubiera contado con la protecci\u00f3n necesaria.<\/p>\n","protected":false},"author":2484,"featured_media":11575,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3540],"tags":[2134,1527,3150,1646,1464],"class_list":{"0":"post-11574","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-brecha-de-seguridad","10":"tag-datos-personales","11":"tag-evaluacion-de-la-seguridad","12":"tag-filtracion-de-datos","13":"tag-fuga-de-datos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/data-leaks-2017\/11574\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/data-leaks-2017\/14572\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/data-leaks-2017\/14319\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/data-leaks-2017\/18993\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/data-leaks-2017\/4261\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/data-leaks-2017\/19723\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/data-leaks-2017\/8320\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/data-leaks-2017\/18442\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/brecha-de-seguridad\/","name":"brecha de seguridad"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/11574","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=11574"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/11574\/revisions"}],"predecessor-version":[{"id":11577,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/11574\/revisions\/11577"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/11575"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=11574"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=11574"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=11574"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}