Volvemos a enumerar gran parte del mismo mal comportamiento por parte de una clase completamente nueva de empresas, además de algunas menciones (des)honorables que podrías haberte perdido.
23andMe culpó a los usuarios de la filtración masiva de datos
El año pasado, el gigante de las pruebas genéticas 23andMe perdió los datos genéticos y de ascendencia de cerca de 7 millones de clientes, gracias a una filtración de datos en la que piratas informáticos accedieron por fuerza bruta a miles de cuentas para extraer datos de millones más. 23andMe introdujo tardíamente la autenticación multifactor, una función de seguridad que podría haber evitado el pirateo de las cuentas.
Pocos días después de Año Nuevo, 23andMe empezó a culpar a los usuarios afectados por el robo masivo de datos, alegando que no habían protegido suficientemente sus cuentas. Los abogados que representan al grupo de cientos de usuarios de 23andMe que demandaron a la empresa tras el pirateo afirmaron que la acusación era «absurda». Poco después, las autoridades británicas y canadienses anunciaron una investigación conjunta sobre la filtración de datos de 23andMe el año pasado.
A finales de año, 23andMe despidió al 40 % de su plantilla, en un momento en que la empresa se enfrenta a un futuro financiero incierto, al igual que el vasto banco de datos genéticos de sus clientes.
Change Healthcare tardó meses en confirmar que los piratas informáticos habían robado la mayoría de los datos sanitarios de Estados Unidos
Change Healthcare es una empresa de tecnología sanitaria de la que pocos habían oído hablar hasta que, el pasado mes de febrero, un ciberataque obligó a la compañía a desconectar toda su red, lo que provocó cortes inmediatos y generalizados en todo Estados Unidos y paralizó gran parte del sistema sanitario estadounidense. Change, propiedad del gigante de los seguros médicos UnitedHealth Group, gestiona la facturación y los seguros de miles de proveedores sanitarios y consultas médicas de todo el país, y procesa entre un tercio y la mitad de todas las transacciones sanitarias que se realizan en Estados Unidos cada año.
La gestión del pirateo por parte de la empresa —causado por la violación de una cuenta de usuario básica que carecía de autenticación multifactor— fue criticada por los estadounidenses que no podían obtener sus medicamentos o la aprobación de sus estancias hospitalarias, por los proveedores sanitarios afectados que se arruinaban como consecuencia del ciberataque y por los legisladores que interrogaron al director ejecutivo de la empresa sobre el pirateo durante una audiencia celebrada en mayo en el Congreso. Change Healthcare pagó un rescate de 22 millones de dólares a los piratas informáticos, pero tuvo que pagar otro rescate para pedir a otro grupo de piratas informáticos que borraran los datos robados, algo que los servicios federales llevan tiempo advirtiendo que solo ayuda a los ciberdelincuentes a sacar provecho de los ciberataques.
Finalmente, en octubre, pasaron siete meses, se reveló que más de 100 millones de personas habían sufrido el robo de su información sanitaria privada en el ciberataque. Es cierto que se tardó bastante, ya que, según todos los indicios, fue la mayor filtración de datos sanitarios del año, si no de la historia.
El pirateo de Synnovis interrumpió los servicios sanitarios del Reino Unido durante meses
El Servicio Nacional de Salud sufrió interrupciones durante meses después de que Synnovis, un proveedor de servicios de patología con sede en Londres, sufriera un ataque de ransomware en junio. El ataque, reivindicado por el grupo de ransomware Qilin, dejó a los pacientes del sureste de Londres sin poder recibir análisis de sangre de sus médicos durante más de tres meses y provocó la cancelación de miles de citas ambulatorias y de más de 1700 intervenciones quirúrgicas.
A la luz del ataque, que según los expertos podría haberse evitado si se hubieran utilizado dos factores de autenticación, Unite, el principal sindicato del Reino Unido, anunció que el personal de Synnovis hará huelga durante cinco días en diciembre. Unite afirmó que el incidente tuvo «un impacto alarmante en el personal, que se ha visto obligado a trabajar horas adicionales y sin acceso a sistemas informáticos esenciales durante meses mientras se solucionaba el ataque».
Todavía se desconoce cuántos pacientes se han visto afectados por el incidente. El grupo de ransomware Qilin afirma haber filtrado 400 gigabytes de datos sensibles supuestamente robados a Synnovis, incluidos nombres de pacientes, números de registro del sistema sanitario y descripciones de análisis de sangre.
Las filtraciones de datos a clientes de Snowflake se han convertido en un caso de importantes filtraciones de datos
El gigante de la computación en nube Snowflake se ha visto este año en el centro de una serie de pirateos masivos dirigidos a sus clientes corporativos, como AT&T, Ticketmaster y el Banco Santander. Los piratas informáticos, que posteriormente fueron acusados penalmente de las intrusiones, utilizaron datos de acceso robados por un malware encontrado en los ordenadores de empleados de empresas que confían en Snowflake para entrar. Debido a que Snowflake no exige el uso de seguridad multifactor, los piratas informáticos pudieron entrar y robar enormes bancos de datos almacenados por cientos de sus clientes y pedir un rescate por ellos.
Snowflake, por su parte, dijo poco sobre los incidentes en ese momento, pero admitió que las brechas fueron causadas por una «campaña dirigida a usuarios con autenticación de un solo factor». Más tarde, Snowflake activó la autenticación multifactor de forma predeterminada para sus clientes con la esperanza de evitar que se repitiera el incidente.
Columbus (Ohio) demandó a un investigador de seguridad por informar verazmente sobre un ataque de ransomware
Cuando la ciudad de Columbus, Ohio, denunció un ciberataque durante el verano, el alcalde de la ciudad, Andrew Ginther, se movilizó para tranquilizar a los residentes preocupados diciendo que los datos de la ciudad robados estaban «cifrados o corrompidos», y que eran inutilizables para los hackers que los robaron. Mientras tanto, un investigador de seguridad que rastrea filtraciones de datos en la dark web por su trabajo, encontró pruebas de que el equipo del ransomware tenía acceso a los datos de medio millón de residentes, incluidos sus números de la Seguridad Social y permisos de conducir, así como registros de arrestos, información sobre menores y supervivientes de violencia doméstica. El investigador alertó a los periodistas sobre el alijo de datos.
La ciudad consiguió una orden judicial contra el investigador para que no compartiera las pruebas que había encontrado de la filtración, lo que se consideró un intento de la ciudad de silenciar al investigador de seguridad en lugar de remediar la filtración. Posteriormente, la ciudad retiró la demanda.
Salt Typhoon pirateó proveedores de telefonía e Internet gracias a una ley estadounidense sobre puertas traseras
Una ley de puertas traseras de hace 30 años volvió a la carga este año después de que se descubriera a unos hackers, apodados Salt Typhoon —uno de los varios grupos de piratas informáticos respaldados por China que preparan el terreno digital para un posible conflicto con Estados Unidos— en las redes de algunas de las mayores compañías estadounidenses de telefonía e Internet. Los piratas informáticos accedieron en tiempo real a llamadas, mensajes y metadatos de comunicaciones de altos cargos políticos y funcionarios de alto rango de Estados Unidos, incluidos candidatos presidenciales.
Al parecer, los piratas informáticos accedieron a algunos de los sistemas de escuchas telefónicas de las compañías, que las empresas de telecomunicaciones estaban obligadas a establecer tras la aprobación de la ley CALEA en 1994. Ahora, gracias al continuo acceso a estos sistemas y a los datos que las compañías de telecomunicaciones almacenan sobre los estadounidenses, el gobierno de Estados Unidos está aconsejando a los ciudadanos estadounidenses que utilicen aplicaciones de mensajería cifradas de extremo a extremo para que nadie, ni siquiera los hackers chinos, pueda acceder a sus comunicaciones privadas.
MoneyGram aún no ha dicho cuántas personas han sido afectadas por la violación de datos en la que robaron datos de transacciones
MoneyGram, el gigante estadounidense de la transferencia de dinero con más de 50 millones de clientes, fue atacado por piratas informáticos en septiembre. La empresa confirmó el incidente más de una semana después de que los clientes sufrieran cortes inexplicables durante días, y reveló únicamente un «problema de ciberseguridad» sin especificar. MoneyGram no informó de si se habían sustraído datos de clientes, pero el organismo de control de protección de datos del Reino Unido informó a finales de septiembre de que había recibido un informe de violación de datos de la empresa con sede en Estados Unidos, en el que se indicaba que se habían sustraído datos de clientes.
Semanas después, MoneyGram admitió que los piratas informáticos habían robado datos de clientes durante el ciberataque, incluidos números de la Seguridad Social y documentos de identidad oficiales, así como información sobre transacciones, como las fechas y los importes de cada operación. La empresa admitió que los piratas informáticos también sustrajeron información sobre investigaciones penales de «un número limitado» de clientes. MoneyGram aún no ha comunicado cuántos clientes han sufrido el robo de datos ni a cuántos ha informado directamente.
Hot Topic guarda silencio tras la filtración de 57 millones de registros de clientes
Con 57 millones de clientes afectados, la filtración de datos del gigante minorista estadounidense Hot Topic en octubre es una de las mayores de la historia. Sin embargo, a pesar de la magnitud del incidente, Hot Topic no lo ha confirmado públicamente ni ha alertado a los clientes ni a las oficinas estatales de los fiscales generales sobre la filtración de datos. El minorista también ha ignorado las múltiples peticiones de comentarios de TechCrunch.
El sitio web de notificación de filtraciones Have I Been Pwned, que obtuvo una copia de los datos violados, alertó a cerca de 57 millones de clientes afectados de que los datos robados incluían sus direcciones de correo electrónico, direcciones físicas, números de teléfono, compras, sexo y fecha de nacimiento. Los datos también incluían datos parciales de tarjetas de crédito, como el tipo de tarjeta, la fecha de caducidad y los cuatro últimos dígitos del número de la tarjeta.
Menciones (honoríficas) adicionales:
AT&T negó una filtración masiva de datos hasta que no pudo sostenerlo más
La primera filtración de datos de AT&T del año supuso la publicación en Internet de más de 73 millones de registros de clientes, tres años después de que un pirata informático publicara una muestra más pequeña en un conocido foro de ciberdelincuencia. AT&T negó insistentemente que la caché perteneciera a la empresa y alegó que no tenía pruebas de que se hubiera producido una violación de datos. Pero todo cambió cuando un investigador de seguridad descubrió que algunos de los datos cifrados encontrados en el conjunto de datos eran fáciles de descifrar. Esos registros descifrados resultaron ser códigos de acceso a cuentas que podían utilizarse para acceder a las cuentas de los clientes de AT&T. El investigador avisó que a su vez alertó a AT&T, lo que llevó al gigante de la telefonía a restablecer masivamente las claves de acceso de unos 7,6 millones de clientes actuales y a notificarlo a decenas de millones más.
La SEC multa a cuatro empresas de ciberseguridad por restar importancia a sus propias filtraciones
Ni siquiera las empresas de ciberseguridad son inmunes a las filtraciones, pero la forma en que cuatro empresas han gestionado sus escándalos de ciberseguridad este año ha llevado a los reguladores a imponer multas poco comunes por su mala conducta. Las empresas, Avaya, Check Point, Mimecast y Unisys, pagaron un total de 6,9 millones de dólares en multas por una serie de infracciones que incluyeron restar importancia y minimizar el daño de sus propias brechas derivadas del ataque de espionaje de SolarWinds en 2019, según la Comisión de Bolsa y Valores de Estados Unidos.
El propietario del programa espía pcTattletale borró los datos de las víctimas en lugar de notificarles la filtración
En mayo, piratearon una aplicación de software espía llamada pcTattletale y desfiguraron su sitio web con enlaces descargables a archivos de datos robados de los servidores de la empresa, lo que expuso datos de unos 138 mil clientes que se inscribieron para utilizar el servicio de vigilancia. En lugar de notificar la filtración a los afectados y a aquellos cuyos dispositivos se vieron comprometidos sin su conocimiento, el fundador de la empresa declaró que «borró todo porque la filtración de datos podría haber expuesto a mis clientes». pcTattletale, que posteriormente cerró tras la filtración, es el último de una larga lista de fabricantes de programas espía y de acecho que han perdido o expuesto datos de víctimas de programas espía en los últimos años.
Brainstack reveló su relación con mSpy tras la filtración
Otro prolífico programa espía, mSpy, también sufrió una importante violación de datos este año que expuso correos electrónicos enviados desde y hacia el sistema de correo electrónico de soporte al cliente que se remontan a 2014. Los correos electrónicos también expusieron la empresa ucraniana real de Brainstack, que estaba secretamente detrás de la operación. La compañía no desmintió la información cuando se puso en contacto con ella. Semanas más tarde, Brainstack emitió un aviso de retirada al proveedor de alojamiento de DDoSecrets, un colectivo de transparencia que aloja una copia de los datos filtrados de mSpy, exigiendo que el alojamiento web retire el sitio por alojar «datos corporativos confidenciales pertenecientes a MSpy, una marca de nuestra empresa». El proveedor de alojamiento web, FlokiNET, denegó la petición y, en su lugar, publicó el aviso de retirada, que confirmaba que Brainstack estaba detrás de la operación de mSpy, tal y como sugerían las pruebas anteriores.
Evolve Bank fue pirateado y amenazó con demandar a un periodista que escribió sobre ello
Evolve Bank, un gigante financiero que da servicio a una serie de startups fintech en crecimiento, reveló en mayo que había sido hackeado por la banda de ransomware LockBit, lo que expuso datos financieros privados de alrededor de 7,6 millones de personas. Mientras las startups afectadas empezaban a evaluar la magnitud del impacto de la brecha en sus negocios, Evolve optó por enviar una carta de cese y desistimiento a un redactor de un respetado boletín financiero que estaba informando sobre el incidente en curso, quien continuó haciéndolo a pesar de la espuria amenaza legal del banco.
