Durante el primer semestre de 2022 se ha identificado un constante aumento en la cantidad de data leaks generados tanto en el territorio LATAM como en el global, los cuales afectan a usuarios domésticos, a grandes corporaciones que manejan grandes cantidades de registros y a dispositivos tecnológicos expuestos a internet, los cuales cuentan con vulnerabilidades que permiten el robo de registros de login, esto hace cada vez más necesario el implementar políticas de seguridad robustas y en constante actualización.
Uno de los eventos más críticos en relación a dataleak de los últimos años, corresponde a Comb2021, el cual registró más de 3.2 billones de cuentas de usuario y contraseña siendo uno de los compilados más grandes de la historia y que ha sentado precedentes para que actores maliciosos identifiquen patrones de contraseñas identificando la reutilización y la baja robustez, como consecuencia de esto se ha actualizado uno de los diccionarios de contraseñas más importantes llamado RockYou2021, el cual se utiliza principalmente para realizar ataques de fuerza bruta a través de diccionario.
Los dataleak tienen diferentes orígenes y van a depender directamente de los interés y fines del atacante, pudiendo ser la compilación de grandes cantidades de credenciales de todo tipo, la obtención de credenciales de usuarios específicos que cumplan cierto perfil, espionaje industrial o político e incluso motivos oportunistas, como la recopilación de credenciales de plataformas tecnológicas por medio de vulnerabilidades conocidas o zero-day.
Dentro de los dataleaks, estos se pueden identificar en 3 tipos de orígenes principales, detallados a continuación.
Las víctimas suelen ser aleatorias o escasamente dirigidas, ya que estos software maliciosos se disponen públicamente en internet para que todo aquel que haga uso de ellos, resulte infectado con malware.
Con todo lo anterior, es posible entender que es lo buscan mediante este tipo de ataque, entre estos se encuentran:
Dataleak corporativo, ha sido constantemente visualizado junto a amenazas como ransomware, que entre sus funciones es publicar la información secuestrada cuando los responsables no pagan por su rescate. En este tipo de leak, suelen incluirse registros de usuarios de Active Directory.
Existen víctimas de estos ataques en múltiples organizaciones de todo LATAM, incluido Chile.
Por otra parte también existen Dump de bases de datos de sitios web, sin embargo esto suele ser mayormente enfocado en el secuestro de tarjetas bancarias, más que de acceso a sus cuentas corporativas.
Dataleak a usuarios individuales en Chile y LATAM, principalmente han sido comprometidos por infostealers como:
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
Dataleak por vulnerabilidades, tiene gran similitud con dataleak corporativo, ya que al ser un ataque dirigido, usualmente se suelen explotar vulnerabilidades perimetrales para acceder a sus sistemas o aplicar técnicas como el phishing, pero que sin embargo estos también finalmente utilizan vulnerabilidades del software para concretar la infección, por lo que suele ser una generalidad de que los ataques dirigidos involucran explotación de vulnerabilidades del sistema en algún momento de la intrusión.
Se ha identificado que el gigante tecnológico Twitter también ha sido víctima de una filtración masiva que abarca cerca de 5.5 millones de cuentas de usuario de todo el mundo, entre las que se incluyen datos personales de celebridades y usuarios normales. Este leak de cuentas de usuarios, esta siendo vendido en foros underground por un valor mínimo de 30.000 USD.
Cabe destacar que las cuentas de usuario fueron comprometidas durante enero de 2022 y contempla únicamente a usuarios que hayan iniciado sesión a través de dispositivos android.
Usuario de foro underground ofreciendo dataleak de twitter
De acuerdo al objetivo final de las filtraciones es que se determina como va a ser manejada esta información; ya que si corresponde a temas gubernamentales o APT es altamente probable que se mantenga en secreto para usos posteriores, mientras que si se trata de Bases De Datos comerciales o empresariales no auspiciadas por estados, es factible ver su ofrecimiento en foros de la Deep y Dark Web, en donde se pueden vender por fracciones o en su totalidad, de acuerdo a las necesidades del comprador. En variados casos estos costos monetarios son elevados, es por esto que es altamente probable que se utilice la información obtenida para realizar ataques posteriores, ya que de alguna forma esta “inversión” se debe compensar.
Por otra parte la sustracción de credenciales personales de gente aleatoria suele ser ofrecida por Malware as a Service (MaaS), que por medio de suscripciones entregan a los compradores toda la data que sea robada de las víctimas para que estos la utilicen con los fines que estimen convenientes, mientras que aquellos que consiguen esta data y la filtran, podrían luego publicar estos leaks en otros foros asignándoles un valor según la información contenida.
Valores de membresía METAStealer
En base a la colección de registros realizado por la conocida web Have i Been Pwned , que permite identificar si correos electrónicos se han visto involucrados en dataleaks masivos, se detecta que el total de dataleaks que han sido agregados a su base de datos durante 2022 no necesariamente han sido sustraídos recientemente y existen brechas de tiempo de incluso 12 años.
Esto se puede explicar debido al proceso de venta y explotación que existe por entes maliciosos antes de que esto sea liberado públicamente, ocupando este tiempo para llevar a cabo operaciones o análisis de contenidos como por ejemplo reutilización de contraseñas, robustez de las mismas y que permiten conocer características claves de los usuarios al ser registros tan extensos, en donde es posible identificar parámetros coincidentes que permitan levantar estadísticas y otros datos de relevancia para intrusiones de mayor sofisticacion.
A continuación, el listado de las filtraciones en conjunto a la cantidad de registros de cada una de ellas, en donde el valor más alto corresponde a 23 millones de registros, mientras que el valor más bajo corresponde a 42 mil registros.
Cantidad de registros filtrados por organizacion
Dentro de estos registros, el TOP 15 de los datos sustraídos es:
Es común pensar que las grandes filtraciones se suelen encontrar ajenas a nuestro alcance, siempre y cuando no correspondan a filtraciones de nuestro país de residencia, sin embargo, esta afirmación presenta un sesgo que no contempla los servicios que utilizamos en internet, pudiendo haber sido afectado por filtraciones masivas sin siquiera conocerlo, como por ejemplo una de las más recientes publicaciones que data del 2021 abarcó cerca de 530 millones de registros de usuarios de la plataforma Facebook alrededor del mundo, en donde cerca de 7 millones de estos corresponden a Chile, ubicándose en el puesto número 6 de los data leak más grandes conocidos, justo después del leak de LinkedIn que expuso cerca de 700 millones de registros a nivel global.
Puesto |
Organización |
Cantidad de registros |
Año |
---|---|---|---|
1 |
Yahoo |
3.000.000.000 |
2013 |
2 |
River City Media |
1.370.000.000 |
2017 |
3 |
aadhaar |
1.100.000.000 |
2018 |
4 |
Spambot |
711.000.000 |
2017 |
5 |
|
700.000.000 |
2021 |
6 |
|
533.000.000 |
2021 |
7 |
Syniverse |
500.000.000 |
2021 |
8 |
Yahoo |
500.000.000 |
2016 |
9 |
Myspace |
427.000.000 |
2016 |
10 |
Friend Finder |
412.000.000 |
2016 |
Top 10 de filtraciones conocidas por cantidad de registros
Mapa generado en base registros sustraidos de carabineros
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Producto | Versión |
---|---|
. |
. |