Los 16 peores robos de datos por internet

Los 16 peores robos de datos por internet

Ésta es una recopilación de las 16 brechas de seguridad o robos de datos que más han impactado en la ciberseguridad, relacionadas con la pérdida de datos. Esta información es extraída de un estudio realizado por CSO España 21.

Los peores incidentes de Ciberseguridad de este siglo

Muchas de las brechas de seguridad no se descubren en forma inmediata y cuándo lo hacen ya han hecho mucho daño. Como es el caso de eBay, con 229 días y afectó a 145 millones de usuarios.

El robo de datos o filtraciones son pan de cada día, y son incidentes muy graves. No debemos asombrarnos ya que cada día aparece una amenaza nueva de seguridad informática.

Comencemos….

1) Yahoo: 2013/2014. Este ataque se hizo publico en el año 2016, aunque ocurrió en el 2014 comprometiendo los nombres reales, dirección de correo electrónico, fechas de nacimiento y números de teléfonos de 500 millones de usuarios. Dos meses después se sabría que en el año 2013 habría sufrido otro ataque comprometiendo a mil millones de cuentas. Siendo aún más grave, ya que se filtraron además, las preguntas y respuestas de seguridad que los usuarios usaban para la recuperación de contraseñas. Hace poco Yahoo reveló que la estimación de cuentas afectadas fue de 3.000 millones.

2) FriendFinde: octubre de 2016. Página web con contenido para adultos y de conexión casual, sufrió robo de datos. Los ciberdelincuentes recopilaron los datos de 20 años en seis bases de datos que incluían nombres, direcciones de correos electrónicos y contraseñas, la mayoría de ellas estaban protegidas por un algoritmo débil SHA-1 lo que ayudó a que el 99% de ellas fueran descifradas. Afectó a más de 412,2 millones de cuentas.

3) eBay: mayo de 2014. También sufrió robo de información de sus usuarios como los nombres, direcciones, fechas de nacimiento y contraseñas de 145 millones de usuarios. Los ciberdelincuentes ingresaron a la red de la compañía utilizando las credenciales de tres empleados y consiguieron el acceso completo en 229 días. Fue criticada por la falta de información oportuna a sus usuarios, quienes debieron cambiar las contraseñas.

4) Equifax: julio 2017. Fue una tremenda noticia cuando se dio a conocer la brecha de seguridad, incluso la cifra de usuarios afectados fue mucho más que la entregada inicialmente. Los norteamericanos afectados fueron 2,5 millones de usuarios que vieron comprometidos sus datos personales, 8.000 canadienses y 400.000 británicos. En total la cifra de afectados ascendió a los 145,5 millones de usuarios.

5) Heartland: marzo 2008. La compañía Heartland Payment Systems sufrió el robo de información de más de 130 millones de tarjetas de crédito, las cuales quedaron expuestas a través del modus operandi de inyección SQL para instalar spyware en los sistemas de almacenamiento de la compañía. La empresa procesaba, en el momento del incidente, 100 millones de transacciones con tarjetas de pago al mes por parte de 175.000 comerciantes, la mayoría pequeños mayoristas de EE.UU. El incidente se conoció en el año 2009, cuando Visa y MasterCard notificaron a Heartland sobre transacciones sospechosas entre cuentas. Producto de la investigación llevada a cabo por la vulnerabilidad, se descubrió que dicha compañía no cumplía con el Estándar de Seguridad de Datos implantado para la industria de tarjetas de pago.

6) Target Stores: diciembre 2013. Los hackers accedieron a través de los lectores de tarjetas de pago, instalados en los puntos de ventas y gestionados por HVAC, lo que les permitió recopilar 40 millones de números de tarjetas de crédito y débito. Al año siguiente la compañía declaró que la cifra era superior. Se incluía en el robo los nombres completos de las personas, direcciones, correos y números de teléfono. La cifra estimada se elevó a 110 millones de usuarios afectados.

7) TJX Companies: diciembre 2006. A pesar del tiempo que ha pasado esta brecha de seguridad no se ha esclarecido del todo. Afectó a más de 94 millones de tarjetas de crédito. El hacker culpable de este robo se aprovechó de una vulnerabilidad en el sistema de encriptación de datos excesivamente débil para robar los datos de las tarjetas de crédito. Después de analizar los hechos, el Gobierno calculó en 200 millones de dólares las pérdidas de bancos y aseguradoras.

8) JP Morgan: julio 2014. Uno de los bancos más grandes de EE.UU fue víctima de un ataque, mediante el cual, más de la mitad de los hogares quedaron comprometidos y además, la información de 7 millones de pequeñas empresas. Los datos filtrados incluían mucha información de los usuarios. Los piratas cibernéticos al tener el control de la información de los usuarios del banco, podían hacer transferencias de fondos o cerrar las cuentas. Finalmente los afectados fueron 76 millones de hogares y 7 millones de Pymes.

9) Uber: octubre 2016. Esta brecha de seguridad afectó a más de 600.000 conductores del servicio de EE.UU, así como información personal de 57 millones de usuarios de su servicio en todo el mundo. El propio CEO de la empresa declaró que se filtraron datos personales de los usuarios, pero no los datos de tarjetas ni información de pagos de los usuarios. Uber mantuvo la brecha en silencio por más de un año y con el agravante de haber pagado la suma de 100.000 dólares a los piratas para eliminar los datos.

10) Sony Play Station Network: abril 2011. Fue la peor infracción de datos de la comunidad de usuarios de juegos online de todos los tiempos. Más de 77 millones de cuentas se vieron afectadas, de las cuales 12 millones tenían asociados sus números de tarjetas de crédito. Las pérdidas de la compañía se estimaron en 171 millones de dólares.

11) Himno: febrero 2015. Compañía especializada en seguros médicos, conocida anteriormente como Wellpoint. Los afectados fueron 78,8 millones de clientes y el coste total del ataque ascendió a los 100 millones de dólares. Del estudio de los hechos, se dedujo que un simple correo a modo de phishing fue el culpable del robo de información.

12) RSA: marzo de 2011. RSA es la división de seguridad de EMC, fue víctima de un ataque cibernético, mediante el cual se robó información de los “tokens” de autenticación de SecuriD de más de 40 millones de registros de empleados. La compañía se gastó cerca de 66 millones de dólares en todo el proceso de remediación. RSA estaba considerada un verdadero ícono de la seguridad, pero aún así fue víctima de ciberdelincuentes.

13) Stuxnet: entre 2005 y 2010. Fue una de las principales infracciones a gran escala con el fin de atacar infraestructuras críticas de gobiernos y países. Se vio afectado el programa de energía nuclear de Irán, que sirvió como ejemplo para la intrusión en el mundo real y la interrupción de servicios de suministro de redes eléctricas, suministro de agua o sistemas de transporte de países. El malware consiguió dañar el programa nuclear de Irán al destruir aproximadamente 984 centrifugadoras encargadas de procesar el enriquecimiento de uranio, procediendo con su autodestrucción. El código malicioso logró reprogramar las centrifugadoras y su velocidad de funcionamiento permaneciendo latente durante un mes, esperando el momento propicio para producir el mayor daño.

14) VeriSign: año 2010. Compañía especializada en códigos y certificaciones SSL, también gestiona infraestructuras públicas críticas. Sufrió un ataque con consecuencias aún desconocidas. Al parecer, los encargados de seguridad de la compañía no informaron del ataque hasta el año 201, unas semanas antes que la misma compañía informara a la SEC, organismo que dirigió la investigación. Se vieron comprometidas numerosas empresas que utilizan estos certificados e incluso recursos vitales como los que representan RSA.

15) Home Depot: septiembre 2014. Empresa estadounidense minorista comercializadora de productos para el hogar, fue víctima de un ataque, mediante el cual una gran parte de sus sistemas POS quedaron infectados por malware. Home Depot pagó al menos 19,5 millones de dólares para compensar a los consumidores estadounidenses. Más de 56 millones de clientes se vieron afectados por el robo de su información, como el correo electrónico. Como 40 millones de personas se vieron afectados con el robo de datos de sus tarjetas de pago.

16) Adobe: octubre 2013. Uno de los tantos robos de información que ha sufrido Adobe ha sido este, donde diversos piratas informáticos robaron casi 3 millones de registros de tarjetas de crédito de clientes, además de inicios de sesión para un número indeterminado de cuentas de usuario. Adobe confirmó que los ciberdelincuentes habían accedido a identificaciones y contraseñas encriptadas, con una estimación de 38 millones de usuarios activos. La compañía debió pagar la suma de 1,1 millones de dólares en honorarios y una cantidad no revelada a los usuarios afectados con el fin de cumplir la ley.


Si deseas tener los conocimientos necesarios para asegurar los datos de información de tu empresa, estudia con nosotros todo lo relacionado con la Ciberseguridad. En INISEG tenemos una variedad de cursos pensando en la necesidad del mundo cibernético.

Te recomendamos el curso Máster en Ciberseguridad.

Con este Máster en Dirección y Gestión de la Ciberseguridad, modalidad online, aprenderás a formular estrategias de Ciberseguridad y realizar consultoría a nivel estratégico. Convocatoria abierta, reserva plaza ya.


Fuente: https://cso.computerworld.es/pubs/cso21/index.html?page=18

 

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someonePrint this page