Hemos hablado de la importancia de contar con buena ciberseguridad ya que las empresas de alto reconocimiento les han surgido muchos problemas por fallas en este tema. Es por eso que les compartiremos algunos casos reales que sucedieron en los últimos años de compañías que tuvieron problemas con su seguridad digital.
La primera red social por número de usuarios nunca se ha destacado en sus aspecto de seguridad y privacidad, pero el año pasado ha supuesto un antes y un después como empresa y 2018 cerró como el año en el que se ha conocido los más graves incumplimientos de Facebook de su deber de proteger los datos de los usuarios, su intimidad y privacidad.
El escándalo de Cambridge Analytics tuvo extorsiones al más puro estilo mafioso con sobornos, espías y prostitutas, por el que la consultora tuvo acceso no autorizado a datos e información privada de hasta 87 millones de usuarios. Fue seguido de un hackeo más reciente que se convirtió en el error de seguridad más grave de la historia de la compañía, comprometiendo la información personal de 30 millones de usuarios.
Otro de los casos sonados afectó gravemente a la privacidad cuando la red social convirtió la seguridad en negocio vendiendo los números de teléfono 2FA proporcionados por los usuarios con el objetivo de mejorar la seguridad en el acceso a servicios de Internet, para enviar anuncios publicitarios personalizados.
Reguladores de medio mundo tienen a Facebook en su punto de mira con múltiples investigaciones, mientras que la compañía ha perdido miles de millones en bolsa. Mark Zuckerberg prometió grandes cambios y mejoras.
Hoteles Marriott
La cadena de hoteles Marriott informó de una de las mayores violaciones de seguridad de la historia, con robo de datos personales y financieros de 500 millones de clientes. La brecha de seguridad se remonta a 2014 y se habría originado en la cadena de hoteles Starwood adquirida por Marriott en 2016. La brecha no fue detectada ni en el proceso de fusión ni en los años siguientes.
Marriott dice que no tuvo conocimiento del acceso no autorizado a la base de datos de reservas hasta el 19 de noviembre de 2018. La base de datos robada acumuló más de 4 años de información e incluyó una información personal y financiera amplísima.
Para empeorar las cosas, Marriott dice que probablemente también se robaron los números de las tarjetas de crédito. Aunque los números estaban cifradas con el estándar AES-128, Marriott dice que no puede descartar que los piratas informáticos también robaron las claves para descifrar la información de los números de las tarjetas.
The Washington Post dijo que no estaba claro si los piratas informáticos eran “delincuentes que recopilan datos por robo de identidad o espías que recopilan información sobre viajeros de todo el mundo, incluidos posiblemente diplomáticos, empresarios o funcionarios de inteligencia mientras se desplazan por todo el mundo”.
Caso Vault7
El pasado 7 marzo de 2017, la organización Wikileaks reveló una serie de 8,761 documentos, hecho al que bautizaron Vault7. La información que contenían estos archivos confirmaría una de las mayores preocupaciones de la población, y es que afirman que la CIA (Agencia Central de Inteligencia) habría desarrollado un malware no eliminable que infectaría específicamente los sistemas operativos Mac e iOS.
De acuerdo con los documentos filtrados, la agencia tendría a los iPhones como objetivo de sus operaciones de infiltración desde el año 2007. Estos vectores atacantes, según afirman los informes, habrían sido creados por un área especial de CIA llamada EDB (Subdivisión de Desarrollo Integrado), cuyo objetivo sería implantar el malware en los dispositivos y este afectaría al firmware de tal manera que permanecería activo sin importar que el sistema operativo fuese desinstalado.
Campaña de Emmanuel Macron
En mayo del pasado 2017 y antes de la segunda vuelta da las elecciones presidenciales de Francia, un grupo de hackers intentaron replicar lo ocurrido en los Estados Unidos con la excandidata presidencia, Hillary Clinton. Los ciberdelincuentes liberaron alrededor de 9 GB de correos electrónico del partido político de Macron. Sin embargo, en este caso no se obtuvieron los mismos resultados, ya que la información de los correos no consiguió impactar a la opinión pública.
Después de algunas investigaciones, las autoridades francesas llegaron a la conclusión de que un grupo de hackers vinculados con el gobierno ruso, denominado FancyBear, estaba detrás de la filtración.
Google+
En 2018 se anunció una vulnerabilidad en Google+ que expuso los datos personales de hasta 500,000 usuarios entre el año 2015 y marzo de 2018. El error fue descubierto por Google como parte de una revisión interna llamada Project Strobe y afectaba a una API llamada “People” a la que tuvieron acceso hasta 438 desarrolladores de aplicaciones en Google+.
La equivocación permitió a esas aplicaciones acceso a la información privada en el perfil de usuario de Google+. Ello incluyó detalles como direcciones de correo electrónico, género, edad, imágenes, estados de relaciones, lugares vividos y ocupaciones.
Hasta 438 aplicaciones en Google+ tuvieron acceso a esta API “People”, aunque la compañía dijo que “no tenían pruebas que los desarrolladores fueran conscientes de la vulnerabilidad”. Según un informe publicado por el Wall Street Journal, la compañía no reveló la vulnerabilidad cuando la reparó en marzo ante los “daños reputacionales” y porque “no quería que los legisladores la sometieran a un examen normativo”. El CEO de Google, Sundar Pichai, fue informado sobre la decisión de no revelar la vulnerabilidad después que un comité interno hubiera decidido el plan, explica WJS.
Ya en diciembre del mismo año, Google descubrió un nuevo bug que esta vez afectó a una gran cantidad de clientes. El fallo permitió que las aplicaciones que usaban la API vieran la información completa del perfil de los usuarios, incluso si ese perfil estaba configurado como privado. Google solucionó el bug en una semana y aseguró que los datos expuestos “no incluían información sensible” como contraseñas o datos financieros. Sin embargo, para “asegurar la protección de nuestros usuarios”, Google ha decidido cerrar la red social para consumidores en abril de 2019.
Neta Systems 