Atrás dejamos un año en el que los incidentes de ciberseguridad, con violaciones de datos que afectaron a numerosos sectores e influyeron en las conversaciones mundiales sobre la confianza y la seguridad digitales. El aumento de los costes por las vulnerabilidades se ha incrementado y los sectores afectados también. Han sido muchos los incidentes de los que hemos sido testigo, sin embargo, la brecha del software MOVEit destaca por encima de todos ellos.
Desarrollado por Progress Software Corporation (PSC), MOVEit, el software de transferencia y automatización de archivos que se ganó la confianza mundial de millones de clientes al garantizar la seguridad de los archivos confidenciales tanto en reposo como en tránsito, asegurar la fiabilidad de los procesos empresariales y responder a los requisitos de cumplimiento de la normativa en materia de seguridad de datos, se vio expuesto a un ataque de inyección SQL en mayo de 2023.
A medida que se conocieron los detalles de la brecha y filtración de datos de MOVEit, quedó claro que el impacto no se limitaba a un solo país o sector. Los datos de Emsisoft, extraídos de revelaciones públicas tales como notificaciones de brechas estatales y archivos de la Comisión de Seguridad e Intercambio («SEC»), revelaban que más de 2.000 organizaciones y 62 millones de individuos en todo el mundo se habían visto afectadas en el momento de escribir este artículo. Es más, Emsisoft advierte que es probable que las cifras aumenten a medida que salgan a la luz más filtraciones.
Estados Unidos, con el 83,9 % de las empresas afectadas, encabeza la lista de países perjudicados. Le siguen otras economías importantes como Alemania (3,6 %), Canadá (2,6 %), Reino Unido (2,1 %), Australia y varios países25 de la Unión Europea.
Un estudio de Censys destaca que el sector de servicios financieros fue el más afectado, con un considerable 30,86 % de los hosts MOVEit perjudicados. El sector sanitario le siguió de cerca con un 15,96 %, el informático (8,82 %), las entidades gubernamentales y militares (7,56 %), el energético (4,41 %), el industrial (4,06 %) o el educativo (3,64 %), han sido otros de los sectores con más víctimas. Otros sectores afectados son el energético (4,41 %), el manufacturero (4,06 %) y el educativo (3,64 %). Esta dispersión pone de relieve la amplia y variada dependencia de MOVEit en múltiples sectores, lo que amplifica las posibles repercusiones de la brecha.
Consecuencias legales, esto es solo el principio
Esta brecha es un profundo reflejo de las vulnerabilidades a las que se enfrentan incluso los sistemas más robustos. Para PSC, el camino por recorrer se ve empañado por una cascada de demandas y el enorme reto de restaurar su ya delicada reputación.
La tormenta legal en la que se encuentra actualmente PSC es nada menos que monumental. A medida que la magnitud y gravedad de la filtración de datos se ha ido revelando, también lo hacían las crecientes presiones legales sobre la compañía. A día de hoy, la empresa está inmersa en una serie de demandas individuales y colectivas en diferentes jurisdicciones de todo el mundo.
El núcleo de las acusaciones gira en torno a la falta de seguridad de la información de identificación personal, la imprudencia temeraria con los datos y otros delitos relacionados con la protección de la información de los clientes durante los ataques zero-day, todos ellos asociados con el caso MOVEit.
Instituciones del mundo de la banca y finanzas, aseguradoras, proveedores sanitarios o empresas de TI son solo algunos de los colectivos que están emprendiendo acciones legales contra PSC. Aunque la mayoría de los litigios se centran en ciudadanos estadounidenses, sus implicaciones se dejan sentir en todo el mundo y los expertos jurídicos afirman que su resultado podría allanar el camino para demandas similares en otros países, dado el carácter internacional de la brecha.
En términos de volumen de datos, el contratista estadounidense Maximus reveló una exposición potencial que ponía en peligro los datos personales de hasta 11 millones de personas. No muy lejos, la agencia nacional de empleo de Francia, Pôle emploi, indicó que los datos vinculados a 10 millones de sus usuarios podrían estar en peligro. La Oficina de Vehículos de Motor de Luisiana, el Departamento de Política y Financiación de la Atención Sanitaria de Colorado y el Departamento de Transporte de Oregón también sufrieron importantes filtraciones de datos.
El efecto dominó de este caso empujará inevitablemente a otras empresas a reevaluar sus medidas de ciberseguridad por temor a litigios similares. Mientras, el futuro para la compañía PSC se presenta bastante negro.
Ciberseguridad proactiva: un imperativo
A la luz de lo ocurrido, ¿cómo pueden las organizaciones reforzar sus defensas y reducir las consecuencias de las filtraciones de datos? El informe de IBM arroja luz sobre algunas estrategias eficaces:
- Adopción de DevSecOps: la integración de las pruebas de seguridad en el proceso de desarrollo de software, a menudo denominado DevSecOps, ha reportado importantes beneficios a las organizaciones. Los datos indican un claro retorno de la inversión (ROI), ya que las organizaciones que aplican altos niveles de DevSecOps ahorran 1,68 millones de dólares en comparación con sus homólogas que adoptan poco o nada esta estrategia.
- Planificación y pruebas de respuesta a incidentes: esta otra área vital para las organizaciones que pretenden contener los costes de las filtraciones de datos. Aquellas que invirtieron en la planificación y pruebas de respuesta ante incidentes consiguieron un ahorro de 1,49 millones de dólares en comparación con las que no estaban preparadas o lo estaban mínimamente.
- Tiempo de identificación y contención de la brecha: el ciclo de vida de la brecha sigue siendo fundamental para determinar las repercusiones financieras. Una respuesta rápida es beneficiosa desde el punto de vista financiero, ya que las brechas identificadas y contenidas en un plazo de 200 días supusieron unos costes medios de 3,93 millones de dólares. Por el contrario, las que superaron este umbral de 200 días tuvieron un coste medio de 4,95 millones de dólares, lo que supone una notable diferencia5 de costes del 23%.
Estos datos subrayan la importancia primordial de una detección rápida, una planificación meticulosa y unos protocolos de seguridad eficaces para minimizar las repercusiones de las brechas de datos.
Para reforzar aún más las defensas, son indispensables las evaluaciones continuas de ciberseguridad realizadas por terceros, como las que ofrece Vaultinum. Ayudarse por tecnologías de escáner de código avanzado no solo identifica vulnerabilidades comunes, como inyecciones SQL, sino que también proporciona una evaluación integral de la salud de la ciberseguridad de una organización.
Recordemos que, a día de hoy, cuando la dependencia del software de terceros es omnipresente, contar con herramientas de escáner de código son fundamentales en la construcción de marcos de ciberseguridad dinámicos y resilientes.
Enrique O´Connor
Director general de Vaultinum para Iberia y Latam
