2023 ha sido testigo de un aumento sin precedentes de los incidentes de ciberseguridad, con violaciones de datos que afectaron a numerosos sectores e influyeron en las conversaciones mundiales sobre la confianza y la seguridad digitales. Se ha producido un aumento de los costes por las vulnerabilidades y los sectores, todos ellos, son más susceptibles de verse expuestos a un ciberataque. Sin embargo, entre los múltiples incidentes, la brecha del software MOVEit ha marcado un antes y un después, y sus consecuencias todavía se dejan sentir.
Desarrollado por Progress Software Corporation (PSC), MOVEit se había ganado la confianza mundial por sus capacidades de transferencia segura de archivos que, en algunos casos, contenían datos sensibles.
En este artículo examinamos en primer lugar la evolución del panorama de las brechas de datos y, a continuación, los pormenores de la brecha de MOVEit para comprender mejor los costes y consecuencias reales de este tipo de incidentes.
Aumento de las brechas de datos
Según un estudio de IBM, la frecuencia, gravedad y complejidad de las filtraciones de datos han aumentado drásticamente. La filtración de datos media cuesta ahora a las empresas la alarmante cifra de 4,24 millones de dólares, un 10% más respecto al año anterior. Además, el tiempo medio que se tarda en identificar y contener una filtración ha aumentado a 287 días. Estas estadísticas reflejan no solo las implicaciones financieras, sino también las posibles interrupciones de las operaciones, la erosión de la confianza y el daño reputacional a largo plazo de las entidades afectadas.
Si se profundiza en las causas, más del 52% de estas brechas se deben a ataques maliciosos que explotan las vulnerabilidades de los sistemas y los errores humanos. Las campañas de phishing y las brechas a través de credenciales comprometidas, las violaciones por vulnerabilidades de «día cero» o aquellas vulnerabilidades conocidas que no se han abordado, son algunas de las técnicas más utilizadas por los ciberatacantes.
Ahondando en las implicaciones específicas de cada sector, es evidente que aquellos que gestionan cantidades importantes de datos personales son con mayor frecuencia objetivo de los ciberatacantes, de hecho, experimentan unos costes por brechas de datos 1,5 veces superiores a la media mundial.
MOVEit, el punto de inflexión
En este inquietante panorama de filtraciones de datos, destaca un incidente en particular, tanto por su magnitud como por las lecciones que ofrece. La brecha del software MOVEit profundiza en los retos y respuestas asociados a las ciberamenazas de hoy en día. La filtración del software MOVEit, una importante perturbación en el ámbito de las transferencias seguras de archivos, ofrece una visión microcósmica de los retos y respuestas asociados a las ciberamenazas de hoy en día. A medida que conocemos más detalles del incidente de MOVEit, nos sirve de recordatorio de que las vulnerabilidades pueden abarcar incluso a los sistemas más avanzados y fiables.
A través de la lente del hackeo de MOVEit
En los anales de los ciberataques, pocos incidentes han golpeado con la magnitud y profundidad de la brecha de software MOVEit. Propiedad y operado por Progress Software Corporation (PSC), MOVEit es un «software gestionado de transferencia de archivos y automatización que garantiza la seguridad de los archivos sensibles tanto en reposo como en tránsito, garantiza la fiabilidad de los procesos empresariales y responde a los requisitos de seguridad de los datos». Lo utilizan innumerables entidades de todo el mundo. Lo que muchos de sus usuarios no previeron fue una escalofriante secuencia de acontecimientos que comenzó a finales de mayo de 2023, cuando los ciberdelincuentes encontraron una grieta en la armadura de MOVEit.
Según los investigadores de la C.I.S.A. y el F.B.I., la brecha fue llevada a cabo por Cl0p, una banda rusa de ransomware que consiguió acceder casi sin restricciones a los datos confidenciales y a la información de identificación personal (PII) de sus clientes y a partir de la cual intentó explotar los datos a los que había accedido para pedir un rescate. Señalemos de paso que el pago del rescate no garantiza la eliminación permanente de los datos comprometidos. La naturaleza digital de los datos hace que sean fáciles de replicar y almacenar en múltiples ubicaciones, por lo que los datos duplicados podrían conservarse para su uso futuro, venderse en la dark web o utilizarse con fines de extorsión más adelante. De la investigación llevada a cabo, parece que la vulnerabilidad explotada está relacionada con una debilidad de inyección SQL, un tipo de amenaza que ha figurado sistemáticamente como riesgo de seguridad crítico en la lista de los 10 principales de OWASP.
Las inyecciones SQL son un tipo de técnica de inyección de código que los atacantes utilizan para explotar vulnerabilidades en la capa de base de datos de una aplicación web. Esencialmente, los atacantes manipulan consultas SQL dentro de una aplicación web insertando sentencias SQL maliciosas en los datos de entrada. Esto puede concederles acceso no autorizado para ver, modificar o incluso eliminar datos.
El impacto de la brecha se extendió mucho más allá de la geografía, afectando a diversos sectores de la sociedad. Organismos gubernamentales, instituciones sanitarias, grandes empresas y centros educativos sintieron sus repercusiones.
Destaca la complejidad de las conexiones en muchos incidentes de MOVEit, ya que las organizaciones se vieron afectadas no sólo directamente, sino a través de una cadena estratificada de proveedores, contratistas y subcontratistas que utilizaban MOVEit. Es decir, el ataque fue contra MOVEit, pero las víctimas son los clientes de MOVEit y los clientes de estos clientes, que han visto cómo sus datos sensibles han quedado expuestos públicamente. Se estima que más de 2.000 organizaciones y 62 millones de individuos en todo el mundo se han visto afectados por este incidente en el momento de redactar este texto, aunque es probable que las cifras aumenten
A medida que las capas de la brecha de MOVEit se despliegan, revelando las enmarañadas relaciones y los múltiples puntos de contacto del impacto, se hace cada vez más evidente que las secuelas no son sólo técnicas o de reputación. La siguiente etapa de consecuencias para PSC y otras entidades afectadas es un campo de batalla legal, repleto de desafíos y cuestiones de responsabilidad. El análisis del impacto jurídico de este incidente se analizará con más detalle en la parte 2 que sigue a este texto.
Enrique O´Connor
Director general de Vaultinum para Iberia y Latam
