Mes a mes cómo fueron los mayores hechos de robo de datos en la red. Servidores y bases de datos no protegidos permiten las vulneraciones.
Por Rae Hodge
La imagen recurrente de las vulneraciones de datos de 2019 es la de un conjunto de ejecutivos y profesionales de la seguridad llamando ansiosamente a sus abogados y escribiendo mea culpas por haber dejado sus servidores desbloqueados.
Cada mes en 2019, una empresa le pedía a sus clientes cambiar sus contraseñas o que reportaran daños. Las empresas de almacenamiento en la nube como Amazon Web Services y ElasticSearch vieron sus nombres surgir en artículos sobre empresas negligentes en los ámbitos del cuidado de la salud, hotelería, gobierno y más. Estas empresas dejaron los datos de sus clientes a la intemperie en Internet, víctimas de la compra y venta de información que realizan los cibercriminales.
El número total de hackeo de datos subió 33 por ciento con respecto al año pasado, de acuerdo con un estudio de la firma de seguridad Risk Based Security. Los segmentos más afectados fueron los servicios médicos, las comercios minoristas y las entidades públicas. Esto se traduce en 5,183 vulneraciones de datos y 7,900 millones de datos expuestos.
La firma de seguridad calificó el 2019 como "el peor año" en materia de hackeos.
¿Cuánto le cuesta un hackeo promedio a una empresa u organización? De acuerdo con los cifras más recientes de IBM, el costo puede totalizar unos US$3.92 millones por gastos de investigación, control de daños, reparaciones, demandas legales y multas. Esto representa un aumento de 12 por ciento en los últimos cinco años, y no hay señal de que este crecimiento vaya a parar.
Lo que es más difícil cuantificar es cuál es el costo para el consumidor individual, y cuál será el costo esperado para 2020. Números de pasaporte, documentos médicos, detalles de las cuentas bancarias, credenciales de redes sociales, números de seguro social… los hackeos afectaron nuestra información más sensible en 2019. A continuación listamos los peores hackeos del años.
Enero
Marriott inició el 2019 con un hackeo récord cuando la cadena de hoteles anunció que unos criminales accedieron los datos de unos 383 millones de huéspedes. Entre los datos se encuentran números de pasaporte y datos de tarjeta de crédito. Esta cifra es más del doble de los afectados en el hackeo de Equifax (147.7 millones). Es más, el investigador Troy Hunt encontró las direcciones de correo electrónico de 773 millones de usuarios en una colección de archivos almacenados en la nube.
Febrero
Febrero fue un mes brutal para la seguridad en línea. En un ataque, más de 617 millones de cuentas fueron extraídas de 16 sitios Web y fueron puestas a la venta en la Web oscura. Los datos de los usuarios de los sitios Dubsmash, Armor Games, 500px, Whitepages y ShareThis fueron robados y vendidos por menos de US$20,000 en bitcoin. Por otra parte, una serie de vulneraciones menores dieron un vistazo a lo peligroso que son los hackeos de datos médicos: un hacker secuestró los registros médicos de 15,000 pacientes en Australia, el acceso no autorizado a emails expuso los datos de 326,000 pacientes en Connecticut, la información de casi 1 millón de pacientes en Washington estuvo expuesta en una base de datos abierta, y se grabaron 2.7 millones de llamadas a una línea telefónica de salud en Suecia que quedaron expuestas.
Marzo
Las credenciales de cientos de millones de usuarios de Facebook e Instagram fueron expuestos debido a la mala gestión de almacenamiento de contraseñas de la empresa de redes sociales.
Abril
Los datos de 540 millones de usuarios de Facebook, incluyendo sus nombres y contraseñas, quedaron expuestos en servidores que no estaban protegidos. Ese mismo mes, Facebook admitió que almacenaba millones de contraseñas de sus usuarios en formato de texto sencillo. Por otra parte, los datos médicos de 12.5 millones de mujeres embarazadas fueron expuestos, gracias a un servidor no protegido de una agencia de salud gubernamental de India.
Mayo
La gigante de bienes raíces First American Financial Corp. sufrió la filtración de cientos de millones de documentos financieros. En mayo, una base de datos no protegida de Burger King dejó expuestos los datos de 40,000 clientes de su tienda digital KoolKing Shop.
Junio
Al menos 20 millones de pacientes vieron sus datos expuestos cuando el recaudador de deudas American Medical Collection Association (AMCA) fue hackeado. Se interpusieron varias demandas colectivas contra AMCA por la exposición de datos de pago, números de seguro social, información médica, fachas de nacimiento, números telefónicos, direcciones postales y más. AMCA se declaró en bancarrota.
Julio
Cien millones de solicitudes de tarjetas de crédito, 140,000 números de seguridad social y 80,000 números de cuentas bancarias de Capital One fueron hackeados en julio. El FBI arrestó a la hacker Paige A. Thompson por acceder los datos. Ese mismo mes, Equifax llegó a un acuerdo con las autoridades para pagar US$700 millones por el hackeo que vivió en 2017, y Facebook pagó una multa de US$5,000 millones a raíz del escándalo de Cambridge Analytica.
Agosto
Una investigación descubrió que 160 millones de datos de MoviePass no estaban cifrados en una base de datos de la empresa. Los datos no estaban protegidos por contraseña, lo que dejó expuesta la información de tarjeta de crédito de los clientes. Por otra parte, los apps de citas Grindr, Romeo, 3Fun y Recon experimentaron fallas de seguridad que revelaban la ubicación precisa de los usuarios.
Septiembre
Más de 218 millones de cuentas de usuarios del juego Words with Friends fueron afectados cuando un hacker accedió a las bases de datos de los juegos. Entre los datos afectados se encuentran correos electrónicos, nombres, identificación de acceso y más. Por otra parte, una base de datos mal configurada del gobierno de Ecuador expuso los datos de unos 20.8 millones de usuarios.
Octubre
Unos 4,000 millones de datos de perfil de cuentas de redes sociales fueron expuestos en un servidor no protegido de ElasticSearch. Por otra parte, Adobe dejó expuestos los datos de 7.5 millones de clientes de Creative Cloud en una base de datos no protegida.
Noviembre
Facebook vuelve a aparecer en esta lista luego de que se le dio a 100 desarrolladores de apps acceso indebido a datos de perfil. En noviembre también se dio a conocer que un empleado de la firma de ciberseguridad Trend Micro se robó los datos personales de unos 70,000 clientes de la firma y luego utilizó esta información para estafar a los clientes.
Diciembre
Unas 100 mujeres fueron víctimas de una filtración de fotos íntimas. El culpable: un antiguo político danés, quien hackeó las cuentas personales en iCloud de las mujeres con las credenciales que se revelaron en hackeos previos de bases de datos públicas.
Fuente: https://www.cnet.com/es/noticias