Las peores brechas de seguridad del siglo XXI
En ComputerWorld recopilamos en este especial las 15 mayores violaciones y ataques a la seguridad de los últimos tiempos, desde el sector sanitario al bancario hasta la amenaza iraní. Los ciberataques y las brechas de seguridad ocurren tan a diario y en tantos lugares a la vez que es imposible llevar la cuenta. Sin embargo, ¿Qué diferencia a una gran brecha frente a una pequeña? Con un poco de perspectiva, en ComputerWorld echamos un vistazo a los quince mayores incidentes en esta materia de la historia reciente.
1. Heartland Payment Systems
Fecha: Marzo 2008
Impacto: 134 millones de tarjetas de crédito expuestas a través de la instalación de un spyware en la base de datos SQL de Heartland.
Un gran jurado federal acusó al cubano-estadounidense Alberto González (condenado a 20 años en prisión) y dos cómplices rusos no identificados de haber planeado la operación internacional en que se robaron las tarjetas de crédito y de débito de la compañía. La vulnerabilidad en la base de datos SQL era bien conocida por la empresa y los analistas de seguridad habían advertido sobre ella durante varios años antes del ataque.
2. TJX Companies Inc.
Fecha: Diciembre de 2006
Impacto: 94 millones de tarjetas de crédito al descubierto.
Hay versiones contradictorias acerca de cómo sucedió este ataque. Se supone que un grupo de hackers se aprovecharon de un sistema de cifrado de datos débil y robaron datos de tarjetas de crédito durante una transferencia inalámbrica entre dos tiendas en Miami, Florida La otra versión es la de que los ladrones irrumpieron en la red de TJX a través de puntos electrónicos en las tiendas que permitían solicitar puestos de trabajo online. En este caso, Alberto González, la leyenda del hacking y cabecilla de la violación de Heartland, fue declarado también culpable por este delito y condenado a 40 años más de prisión, mientras que otras once personas relacionadas con el ataque fueron arrestadas.
3. Epsilon
Fecha: Marzo de 2011
Impacto: Se publicaron los nombres y correos electrónicos de millones de clientes almacenados en más de 108 tiendas minoristas, además de varias firmas financieras como Citigroup.
La fuente de este ataque todavía es desconocida pero los expertos en tecnología dicen que podría dar lugar a numerosos fraudes de phishing y un sinnúmero de reclamaciones por robo de identidad. Pero sí está claro que, dado que Epsilon tiene una lista de clientes de más de 2.200 marcas globales y se ocupa de más de 40 mil millones de correos electrónicos al año, podría ser el más grande, si no el más caro, ataque de la seguridad de todos los tiempos.
4. RSA Security
Fecha: Marzo de 2011
Impacto: Es posible que 40 millones de registros de empleados hayan sido robados.
Otro caso sin resolver. La compañía afirmó que dos grupos de hackers independientes trabajaron junto a un gobierno extranjero para poner en marcha una serie de ataques de phishing contra los empleados de RSA, haciéndose pasar por personas de confianza para los empleados, para penetrar así en la red de la empresa. EMC informó en julio pasado que se había gastado al menos 66 millones de dólares en la rehabilitación del sistema. Sin embargo, se
gún los ejecutivos de la empresa, los datos de los clientes no fueron atacados, aspecto que ha sido puesto en duda por numerosos expertos.
5. Stuxnet
Fecha: En algún momento de 2010, pero sus orígenes se remontan a 2007
Impacto: Destinado a atacar el programa nuclear de Irán pero también puede ser empleado como un modelo para la interrupción del servicio de redes eléctricas, abastecimiento de agua o transporte público en el mundo real.
Los efectos inmediatos de Stuxnet fueron mínimos pero los analistas consideran que se encuentra entre las principales violaciones a gran escala porque "fue el primero que unió los mundos reales y virtuales. Cuando un código puede tener un efecto tangible en una nación, ciudad o persona, entonces realmente hemos llegado a un mundo nuevo y extraño.
6. Veteranos de Estados Unidos
Fecha: Mayo de 2006
Impacto: Una base de datos nacional sin cifrar con nombres, números de seguridad social y fechas de nacimiento de 26,5 millones de veteranos, así como personal militar en servicio activo y de sus cónyuges.
Una vez más el elemento humano es el eslabón más débil de la cadena de seguridad. La base de datos estaba en una unidad de disco duro portátil externo que fue robada en la casa de un analista de la organización en Maryland. El analista informó el 3 de mayo de 2006 el robo a la policía, pero el Secretario de Asuntos de Veteranos R. James Nicholson no fue informado de ello hasta el 16 de mayo. Nicholson informó el FBI al día siguiente, pero los Veteranos no emitieron ningún comunicado al público hasta el 22 de mayo. Un desconocido devolvió los objetos robados el 29 de junio 2006.
7. Sony PlayStation Network
Fecha: 20 de abril 2011
Impacto: 77 millones de cuentas de PlayStation Network hacheadas, mientras que Sony asegura que han perdido millones. El sitio web estuvo deshabilitado más de un mes.
El caso más reciente y el primero que afectó a una comunidad de videojuegos. De los más de 77 millones de cuentas afectadas, sólo 12 millones habían cifrado el número de tarjetas de crédito. De acuerdo con Sony aún no ha encontrado la fuente del ataque. Los ciberdelincuentes tuvieron acceso a nombres, contraseñas, correos electrónicos, direcciones, historial de compras, números de tarjetas de crédito, así como a datos para los inicios de sesión y contraseñas.
8. ESTsoft
Fecha: Julio-agosto 2011
Impacto: Los datos personales de 35 millones de coreanos del Sur fueron expuesto después de que unos piratas violaran la seguridad de un popular proveedor de software.
Es el ataque a la seguridad más grande de la historia de Corea del Sur. Las agencias de noticias de Corea del Sur informaron de que los atacantes contaban con direcciones IP de China y enviaron el ataque de malware a través de un servidor que se utilizaba para actualizar la aplicación de compresión ESTsoft ALZip. Los atacantes fueron capaces de robar los nombres, IDs de usuario, contraseñas, fechas de nacimiento, sexo, números de teléfono e incluso las direcciones de correo contenidas en una base de datos conectada a la misma red.
9. Gawker Medi
