En ComputerWorld recopilamos en este especial las 15 mayores violaciones y ataques a la seguridad de los últimos tiempos, desde el sector sanitario al bancario hasta la amenaza iraní. Los ciberataques y las brechas de seguridad ocurren tan a diario y en tantos lugares a la vez que es imposible llevar la cuenta. Sin embargo, ¿Qué diferencia a una gran brecha frente a una pequeña? Con un poco de perspectiva, en ComputerWorld echamos un vistazo a los quince mayores incidentes en esta materia de la historia reciente.
1. Heartland Payment Systems
Fecha: Marzo 2008
Impacto: 134 millones de tarjetas de crédito expuestas a través de la instalación de un spyware en la base de datos SQL de Heartland.
Un gran jurado federal acusó al cubano-estadounidense Alberto González (condenado a 20 años en prisión) y dos cómplices rusos no identificados de haber planeado la operación internacional en que se robaron las tarjetas de crédito y de débito de la compañía. La vulnerabilidad en la base de datos SQL era bien conocida por la empresa y los analistas de seguridad habían advertido sobre ella durante varios años antes del ataque.
2. TJX Companies Inc.
Fecha: Diciembre de 2006
Impacto: 94 millones de tarjetas de crédito al descubierto.
Hay versiones contradictorias acerca de cómo sucedió este ataque. Se supone que un grupo de hackers se aprovecharon de un sistema de cifrado de datos débil y robaron datos de tarjetas de crédito durante una transferencia inalámbrica entre dos tiendas en Miami, Florida La otra versión es la de que los ladrones irrumpieron en la red de TJX a través de puntos electrónicos en las tiendas que permitían solicitar puestos de trabajo online. En este caso, Alberto González, la leyenda del hacking y cabecilla de la violación de Heartland, fue declarado también culpable por este delito y condenado a 40 años más de prisión, mientras que otras once personas relacionadas con el ataque fueron arrestadas.
3. Epsilon
Fecha: Marzo de 2011
Impacto: Se publicaron los nombres y correos electrónicos de millones de clientes almacenados en más de 108 tiendas minoristas, además de varias firmas financieras como Citigroup.
La fuente de este ataque todavía es desconocida pero los expertos en tecnología dicen que podría dar lugar a numerosos fraudes de phishing y un sinnúmero de reclamaciones por robo de identidad. Pero sí está claro que, dado que Epsilon tiene una lista de clientes de más de 2.200 marcas globales y se ocupa de más de 40 mil millones de correos electrónicos al año, podría ser el más grande, si no el más caro, ataque de la seguridad de todos los tiempos.
4. RSA Security
Fecha: Marzo de 2011
Impacto: Es posible que 40 millones de registros de empleados hayan sido robados.
Otro caso sin resolver. La compañía afirmó que dos grupos de hackers independientes trabajaron junto a un gobierno extranjero para poner en marcha una serie de ataques de phishing contra los empleados de RSA, haciéndose pasar por personas de confianza para los empleados, para penetrar así en la red de la empresa. EMC informó en julio pasado que se había gastado al menos 66 millones de dólares en la rehabilitación del sistema. Sin embargo, según los ejecutivos de la empresa, los datos de los clientes no fueron atacados, aspecto que ha sido puesto en duda por numerosos expertos.
5. Stuxnet
Fecha: En algún momento de 2010, pero sus orígenes se remontan a 2007
Impacto: Destinado a atacar el programa nuclear de Irán pero también puede ser empleado como un modelo para la interrupción del servicio de redes eléctricas, abastecimiento de agua o transporte público en el mundo real.
Los efectos inmediatos de Stuxnet fueron mínimos pero los analistas consideran que se encuentra entre las principales violaciones a gran escala porque "fue el primero que unió los mundos reales y virtuales. Cuando un código puede tener un efecto tangible en una nación, ciudad o persona, entonces realmente hemos llegado a un mundo nuevo y extraño.
6. Veteranos de Estados Unidos
Fecha: Mayo de 2006
Impacto: Una base de datos nacional sin cifrar con nombres, números de seguridad social y fechas de nacimiento de 26,5 millones de veteranos, así como personal militar en servicio activo y de sus cónyuges.
Una vez más el elemento humano es el eslabón más débil de la cadena de seguridad. La base de datos estaba en una unidad de disco duro portátil externo que fue robada en la casa de un analista de la organización en Maryland. El analista informó el 3 de mayo de 2006 el robo a la policía, pero el Secretario de Asuntos de Veteranos R. James Nicholson no fue informado de ello hasta el 16 de mayo. Nicholson informó el FBI al día siguiente, pero los Veteranos no emitieron ningún comunicado al público hasta el 22 de mayo. Un desconocido devolvió los objetos robados el 29 de junio 2006.
7. Sony PlayStation Network
Fecha: 20 de abril 2011
Impacto: 77 millones de cuentas de PlayStation Network hacheadas, mientras que Sony asegura que han perdido millones. El sitio web estuvo deshabilitado más de un mes.
El caso más reciente y el primero que afectó a una comunidad de videojuegos. De los más de 77 millones de cuentas afectadas, sólo 12 millones habían cifrado el número de tarjetas de crédito. De acuerdo con Sony aún no ha encontrado la fuente del ataque. Los ciberdelincuentes tuvieron acceso a nombres, contraseñas, correos electrónicos, direcciones, historial de compras, números de tarjetas de crédito, así como a datos para los inicios de sesión y contraseñas.
8. ESTsoft
Fecha: Julio-agosto 2011
Impacto: Los datos personales de 35 millones de coreanos del Sur fueron expuesto después de que unos piratas violaran la seguridad de un popular proveedor de software.
Es el ataque a la seguridad más grande de la historia de Corea del Sur. Las agencias de noticias de Corea del Sur informaron de que los atacantes contaban con direcciones IP de China y enviaron el ataque de malware a través de un servidor que se utilizaba para actualizar la aplicación de compresión ESTsoft ALZip. Los atacantes fueron capaces de robar los nombres, IDs de usuario, contraseñas, fechas de nacimiento, sexo, números de teléfono e incluso las direcciones de correo contenidas en una base de datos conectada a la misma red.
9. Gawker Media
Fecha: Diciembre 2010
Impacto: Se vieron comprometidas direcciones de correo electrónico y contraseñas de aproximadamente 1,3 millones de usuarios de blogs como Lifehacker, Gizmodo, y Jezabel, además del robo del código fuente de Gawker.
Los foros en línea y los blogs son uno de los objetivos más populares de los piratas informáticos. Un grupo que se autodenomina la Gnosis se atribuyó la responsabilidad de este ataque, diciendo que estaba justificado por la "arrogancia absoluta" de Gawker hacia la comunidad hacker. El principal problema era que Gawker tenía las contraseñas almacenadas en un formato que era muy fácil de entender para los hackers.
10. Google y otras empresas de Silicon Valley
Fecha: Mediados de 2009
Impacto: Robo de propiedad intelectual
En un acto de espionaje industrial, el gobierno chino lanzó un ataque masivo y sin precedentes que afectó a Google, Yahoo y docenas de otras empresas de Silicon Valley. Los hackers chinos se aprovecharon de una debilidad en una versión antigua de Internet Explorer para obtener acceso a la red interna de Google. En ese momento se anunció por primera vez que China estaba tratando de recopilar información sobre activistas chinos de derechos humanos. No se sabe exactamente qué datos fueron robados de las compañías norteamericanas, pero Google admitió que su propiedad intelectual había sido robada y que pronto dejaría de operar en China.
11. VeriSign
Fecha: A lo largo de 2010
Impacto: No ha sido divulgado el alcance del ataque.
Los expertos en seguridad son unánimes en decir que lo más preocupante de la violación de Verisign no es el que los piratas informáticos obtuvieran acceso a los sistemas y a la información privilegiada de la empresa, sino la forma en que la empresa manejó este asunto. VeriSign no anunció los ataques hasta que un nuevo CEO lo comunicara a la SEC en 2011. VeriSign aseguró entonces que los sistemas críticos tales como los servidores DNS o los servidores de certificados no se vieron comprometidos.
12. CardSystems Solutions
Fecha: Junio 2005
Impacto: 40 millones de cuentas de tarjetas de crédito al descubierto. CSS, uno de los principales procesadores de pagos de Visa, MasterCard o American Express fue finalmente forzado a ser adquirido.
Los hackers irrumpieron en la base de datos de CardSystems con un ataque troyano al sistema SQL, insertando el código en la base de datos a través de la página del navegador cada cuatro días, colocando los datos en un archivo zip y enviándolo de vuelta a través de un FTP. Dado que la información que la compañía nunca cifraba los datos personales de los usuarios, los hackers tuvieron acceso a nombres, números de cuenta y códigos de verificación de más de 40 millones de titulares de tarjetas.
13. AOL
Fecha: 6 de agosto 2006
Impacto: Los datos de más de 20 millones de consultas web y 650.000 usuarios, incluidas las compras y los datos bancarios se colgaron al público en un sitio web.
Uno de los momentos “más tontos en el mundo de los negocios” como lo tituló una publicación norteamericana. Michael Arrington, abogado y fundador del sitio de blogs TechCrunch, lo resumió en “la estupidez de esto es asombroso”. Una investigación de AOL, dirigida por el Dr. Abdur Chowdhury, creó un archivo de texto comprimido en uno de sus sitios web que contenía 20 millones de palabras clave de búsqueda provenientes de más de 650.000 usuarios durante tres meses. Si bien estaba previsto para fines de investigación, se publicó por error públicamente. AOL eliminó el archivo al día siguiente, pero no antes de que se hubiera visto reflejado y distribuido en Internet. El incumplimiento llevó a la renuncia del director de tecnología de AOL, Maureen Govern, el 21 de agosto de 2006.
14. Monster.com
Fecha: Agosto 2007
Impacto: La información confidencial de 1,3 millones de personas que buscaban empleo fueron robados y utilizados en una estafa.
Los piratas informáticos accedieron a la base de datos del popular portal para encontrar empleo y se llevaron los datos de más de un millón de personas. Reuters informó que el ataque fue lanzado a través de dos servidores en Ucrania y un grupo de ordenadores personales que los piratas informáticos lograron controlar después de haberlos infectado con un programa de software malicioso. La compañía afirmó que la información robada se limitaba a los nombres, direcciones, números de teléfono y direcciones de correo electrónico. Sin embargo, el principal problema fue de nuevo que Monster.com se enteró de la violación el 17 de agosto, pero no lo hizo público hasta cinco días después. Una vez que la información fue robada, los hackers enviaron por correo electrónico a las víctimas un mail en que aseguraban haber infectado sus ordenadores con un virus y les amenazaban con borrar los archivos a menos que las víctimas pagaran un dinero a los delincuentes.
15. Fidelity National Information Services
Fecha: Julio 2007
Impacto: Un empleado de los servicios de la FIS robó 3,2 millones de registros de clientes, incluyendo los datos de tarjetas de crédito, información bancaria y personal.
Un administrador llamado William Sullivan, dueño de una empresa llamada S&S Computer Services en Largo, Florida, había sido despedido de la Fidelity National Information Services. Sullivan supuestamente vendió los datos del organismo a un intermediario que a su vez lo vendió a unas empresas de comercialización. Una demanda colectiva fue presentada contra la FIS acusándola de negligencia en relación con la violación de los datos. Sullivan accedió a declararse culpable de cargos de fraude federal y fue condenado a cuatro años y nueve meses de prisión, así como a pagar una multa de 3.2 millones de dólares.