Hackeo masivo al Santander y TicketMaster: lo que la empresa responsable no estaría contando

Tal y como se ha ido contando estos días, el sector de la ciberseguridad tiene por delante un nuevo y gran problema a resolver: un ataque dirigido a los clientes de Snowflake, una empresa de almacenamiento en la nube, que, tal y como explican en The Wired, amenaza con convertirse en una de las mayores violaciones de datos de la historia.

Si aún andas algo perdido o perdida, es el famoso ciberataque que ha afectado a empresas como Ticketmaster y Santander. Se informó que se estaban vendiendo 1,3 TB de datos de Ticketmaster, incluida la información de más de 560 millones de personas. En cuanto al Santander, se sabe que tienen acceso a 68 millones de cuentas de 30 millones de clientes.

Snowflake está trabajando con empresas de ciberseguridad CrowdStrike y Mandiant para investigar el incidente y, por el momento, no se ha encontrado evidencia de que el ataque haya sido causado por credenciales comprometidas del personal de la compañía. Sin embargo, la respuesta de Snowflake ha sido algo escueta y, según muchos, insuficiente.

A todo esto se le suma que a pesar de asegurar también de que sus propios sistemas no han sido comprometidos, la falta de medidas de seguridad eficientes ha sido un punto clave. El problema radica en que los clientes no estaban utilizando la autenticación multifactor (MFA), una capa adicional de seguridad que Snowflake recomienda pero no exige.

La inteligencia artificial como arma de doble filo: ciberataques sofisticados y sistemas de vanguardia

Una situación que Snowflake estaría tratando de aclarar

Tal y como explica la empresa, "no hemos identificado evidencia que sugiera que esta actividad fue causada por una vulnerabilidad, mala configuración o violación de la plataforma de Snowflake". Describieron el problema como una campaña dirigida a usuarios con autenticación de un solo factor, usando credenciales robadas a través de malware o violaciones de datos anteriores.

Snowflake declara que ha notificado a un "número limitado" de clientes afectados, sin especificar cuántos. Para que te hagas una idea, la empresa tiene más de 9.800 clientes, incluyendo grandes empresas como las antes mencionadas y entre las que se incluyen otras como Adobe, Canva y Mastercard, por lo que el alcance del ataque podría ser mayor de lo que se sabe hasta ahora.

El tiempo de respuesta ante el problema también se ha puesto en tela de juicio. Estos afirmaron haberse dado cuenta de la "actividad amenazante" el 23 de mayo, aunque las intrusiones datan de mediados de abril. Este tiempo perdido entra la detección y notificación ha dejado a muchos preguntándose por qué Snowflake no consiguió identificar antes la filtración de grandes cantidades de datos de clientes.

¿Hackear la red de trenes de un país es posible? Expertos en ciberseguridad me demostraron que sí

A todo esto, por último, se le suma la falta de claridad sobre qué datos estaban almacenados en la cuenta comprometida del ex empleado de Snowflake. Aunque aseguran que esta cuenta no tenía datos sensibles, la definición de "datos sensibles" no ha sido clarificada. Snowflake no ha especificado si considera la información de identificación personal como datos sensibles, por lo que la duda —o mejor dicho, las dudas— sigue.

"Seguimos colaborando estrechamente con nuestros clientes a medida que refuerzan sus medidas de seguridad para reducir las ciberamenazas a sus negocios. También estamos desarrollando un plan para exigir a nuestros clientes que implanten controles de seguridad avanzados, como la autenticación multifactor (MFA) o políticas de red, especialmente para las cuentas privilegiadas de clientes Snowflake. Mientras lo hacemos, continuamos comprometiéndonos firmemente con nuestros clientes para ayudarles a habilitar MFA y otros controles de seguridad como un paso crítico en la protección de su negocio", añade Brad Jones, CISO de Snowflake, por su parte.

Conoce cómo trabajamos en ComputerHoy.

Etiquetas: MalwareSoftware, Ciberseguridad