Panorama Dataleak primer semestre 2022

Durante el primer semestre de 2022 se ha identificado un constante aumento en la cantidad de data leaks generados tanto en el territorio LATAM como en el global, los cuales afectan a usuarios domésticos, a grandes corporaciones que manejan grandes cantidades de registros y a dispositivos tecnológicos expuestos a internet, los cuales cuentan con vulnerabilidades que permiten el robo de registros de login, esto hace cada vez más necesario el implementar políticas de seguridad robustas y en constante actualización.

Uno de los eventos más críticos en relación a dataleak de los últimos años, corresponde a Comb2021, el cual registró más de 3.2 billones de cuentas de usuario y contraseña siendo uno de los compilados más grandes de la historia y que ha sentado precedentes para que actores maliciosos identifiquen patrones de contraseñas identificando la reutilización y la baja robustez, como consecuencia de esto se ha actualizado uno de los diccionarios de contraseñas más importantes llamado RockYou2021, el cual se utiliza principalmente para realizar ataques de fuerza bruta a través de diccionario.

Los dataleak tienen diferentes orígenes y van a depender directamente de los interés y fines del atacante, pudiendo ser la compilación de grandes cantidades de credenciales de todo tipo, la obtención de credenciales de  usuarios específicos que cumplan cierto perfil, espionaje industrial o político e incluso motivos oportunistas, como la recopilación de credenciales de plataformas tecnológicas por medio de vulnerabilidades conocidas o zero-day.

Dentro de los dataleaks, estos se pueden identificar en 3 tipos de orígenes principales, detallados a continuación.

• Bases de Datos: Este tipo de enfoque apunta principalmente a la vulneración de servicios web que cuentan con grandes cantidades de suscriptores y que han mantenido un mal manejo en la seguridad de sus bases de datos, permitiendo que mediante accesos no autorizados se logre sustraer los datos ahí contenidos, sin necesidad de atacar a cada uno de sus usuarios, de esta forma se logran obtener cantidades masivas de información con un gran número de credenciales.
• Ataques dirigidos: Si bien no suelen ser públicamente mencionados, ocurren cuando actores maliciosos por diferentes medios se centran en el ataque a una organización específica, pudiendo ser motivada por causas políticas, estratégicas, comerciales o simplemente lucrativas, como los realizados a través de los diferentes tipos de ransomware.

• Botnet/Troyano: Como se ha mencionado anteriormente en los boletines de amenazas, este ataque suele estar dado principalmente por infostealers que se ocultan en software maliciosos que ofrecen características de pago de forma gratuita y pese a que suelen realmente entregar el servicio prometido, en segundo plano se realiza la instalación de una botnet diseñada específicamente para sustraer todo tipo de credenciales almacenadas en el equipo, junto a billeteras de criptomonedas, cookies y documentos de texto normal o de texto enriquecido, desde el equipo de la víctima.

Las víctimas suelen ser aleatorias o escasamente dirigidas, ya que estos software maliciosos se disponen públicamente en internet para que todo aquel que haga uso de ellos, resulte infectado con malware. 

• Ataque dirigido: Si bien resulta un evento menos común, también es posible que usuarios específicos sean atacados dirigidamente mediante correos phishing, mediante vulnerabilidades en su sistema operativo o aplicaciones como las ya conocidas extensiones en navegadores, que permiten a un atacante capturar credenciales de un usuario que ha sido seleccionado por diferentes razones, como por ejemplo, ser usuario VIP (Very Important Person) o VAP (Very Attacked Person) de una organización o poseer información relevante por su desempeño en algún área específica que maneje o conozca información sensible y/o confidencial.

• Oportunismo: En múltiples ocasiones han surgido vulnerabilidades en diferentes plataformas tecnológicas que por diversas vías han permitido la obtención de credenciales de usuario con mayor o menor dificultad, logrando así que actores maliciosos con el conocimiento adecuado, aprovechen este descubrimiento y hagan escaneos masivos en internet en busca de la mayor cantidad de credenciales posibles, mediante herramientas automatizadas específicamente diseñadas para esta tarea, por lo que muchas veces no depende directamente del foco de los atacantes sino más bien de lo que sus herramientas son capaces de capturar.
• Campañas dirigidas: Así como existen ataques oportunistas muchas veces estos ataques suelen ser dirigidos a áreas productivas específicas, como por ejemplo, infraestructura crítica, sistemas de control industrial o competencias de diferentes industrias, las cuales en el mayor de los casos son ejecutadas principalmente por APT’s o grupos organizados de ciberactores.

Con todo lo anterior, es posible entender que es lo buscan mediante este tipo de ataque, entre estos se encuentran:

• Perfilar usuarios de una organización que permita identificar a aquellos que posean mayor valor, ya sea monetario o en cuanto a información y que posteriormente pueda desarrollarse un ataque dirigido.
• Lograr accesos iniciales para sistemas, plataformas o red de alguna organización o en su defecto que estas sean utilizados para la elevación de privilegios en caso de ya contar con algún acceso.
• Espionaje industrial o gubernamental por medio de APT’s que permitan tomar ventaja comercial, política o económica frente a algún adversario.
• Lucrar mediante venta de credenciales en Deep y Dark Web, siendo esta una forma característica de monetizar ataques por medio de infostealer o de hackers solitarios, que de alguna forma logran capturar grandes bases de datos.  

Dataleak corporativo, ha sido constantemente visualizado junto a amenazas como ransomware, que entre sus funciones es publicar la información secuestrada cuando los responsables no pagan por su rescate. En este tipo de leak, suelen incluirse registros de usuarios de Active Directory.

Existen víctimas de estos ataques en múltiples organizaciones de todo LATAM, incluido Chile.

Por otra parte también existen Dump de bases de datos de sitios web, sin embargo esto suele ser mayormente enfocado en el secuestro de tarjetas bancarias, más que de acceso a sus cuentas corporativas.

Dataleak a usuarios individuales en Chile y LATAM, principalmente han sido comprometidos por infostealers como:

Dataleak por vulnerabilidades, tiene gran similitud con dataleak corporativo, ya que al ser un ataque dirigido, usualmente se suelen explotar vulnerabilidades perimetrales para acceder a sus sistemas o aplicar técnicas como el phishing, pero que sin embargo estos también finalmente utilizan vulnerabilidades del software para concretar la infección, por lo que suele ser una generalidad de que los ataques dirigidos involucran explotación de vulnerabilidades del sistema en algún momento de la intrusión.

Se ha identificado que el gigante tecnológico Twitter también ha sido víctima de una filtración masiva que abarca cerca de 5.5 millones de cuentas de usuario de todo el mundo, entre las que se incluyen datos personales de celebridades y usuarios normales. Este leak de cuentas de usuarios, esta siendo vendido en foros underground por un valor mínimo de 30.000 USD.

Cabe destacar que las cuentas de usuario fueron comprometidas durante enero de 2022 y contempla únicamente a usuarios que hayan iniciado sesión a través de dispositivos android.

Usuario de foro underground ofreciendo dataleak de twitter

De acuerdo al objetivo final de las filtraciones es que se determina como va a ser manejada esta información; ya que si corresponde a temas gubernamentales o APT es altamente probable que se mantenga en secreto para usos posteriores, mientras que si se trata de Bases De Datos comerciales o empresariales no auspiciadas por estados, es factible ver su ofrecimiento en foros de la Deep y Dark Web, en donde se pueden vender por fracciones o en su totalidad, de acuerdo a las necesidades del comprador. En variados casos estos costos monetarios son elevados, es por esto que es altamente probable que se utilice la información obtenida para realizar ataques posteriores, ya que de alguna forma esta “inversión” se debe compensar.

Por otra parte la sustracción de credenciales personales de gente aleatoria suele ser ofrecida por Malware as a Service (MaaS), que por medio de suscripciones entregan a los compradores toda la data que sea robada de las víctimas para que estos la utilicen con los fines que estimen convenientes, mientras que aquellos que consiguen esta data y la filtran, podrían luego publicar estos leaks en otros foros asignándoles un valor según la información contenida.

Valores de membresía METAStealer

En base a la colección de registros realizado por la conocida web Have i Been Pwned , que permite identificar si correos electrónicos se han visto involucrados en dataleaks masivos, se detecta que el total de dataleaks que han sido agregados a su base de datos durante 2022 no necesariamente han sido sustraídos recientemente y existen brechas de tiempo de incluso 12 años.

Esto se puede explicar debido al proceso de venta y explotación que existe por entes maliciosos antes de que esto sea liberado públicamente, ocupando este tiempo para llevar a cabo operaciones o análisis de contenidos como por ejemplo reutilización de contraseñas, robustez de las mismas y que permiten conocer características claves de los usuarios al ser registros tan extensos, en donde es posible identificar parámetros coincidentes que permitan levantar estadísticas y otros datos de relevancia para intrusiones de mayor sofisticacion.

A continuación, el listado de las filtraciones en conjunto a la cantidad de registros de cada una de ellas, en donde el valor más alto corresponde a 23 millones de registros, mientras que el valor más bajo corresponde a 42 mil registros.

Cantidad de registros filtrados por organizacion

Dentro de estos registros, el TOP 15 de los datos sustraídos es:

1.  Direcciones de correo electrónico.
2.  Contraseñas.
3.  Nombres.
4.  Números de teléfono.
5.  Direcciones IP.
6.  Nombres de usuario.
7.  Direcciones físicas.
8.  Fechas de nacimiento.
9.  Géneros.
10.  Compras.
11.  Ubicaciones geográficas.
12.  Perfiles en las redes sociales.
13.  Estado civil.
14.  Ocupaciones.
15.  Números de cuentas bancarias.

Es común pensar que las grandes filtraciones se suelen encontrar ajenas a nuestro alcance, siempre y cuando no correspondan a filtraciones de nuestro país de residencia, sin embargo, esta afirmación presenta un sesgo que no contempla los servicios que utilizamos en internet, pudiendo haber sido afectado por filtraciones masivas sin siquiera conocerlo, como por ejemplo una de las más recientes publicaciones que data del 2021 abarcó cerca de 530 millones de registros de usuarios de la plataforma Facebook alrededor del mundo, en donde cerca de 7 millones de estos corresponden a Chile, ubicándose en el puesto número 6 de los data leak más grandes conocidos, justo después del leak de LinkedIn que expuso cerca de 700 millones de registros a nivel global.

Top 10 de filtraciones conocidas por cantidad de registros

• FACH: El 2014 se dio a conocer una filtración de datos que ocurrió a la Fuerza Aérea de Chile, esta habría afectado también a organizaciones de Defensa de Chile, esta filtración se originó por la captura de credenciales de correo de dos usuarios, esta captura fué perpetrada y adjudicada por el usuarios desde territorio Peruano, en la cual se mencionaba que se habían filtrado diferentes tipos de información de Seguridad Nacional, como compras de armamentos, entre otros. Todo esto fue desmentido por la FACH.
• Correos de Chile: Esta filtración ocurrida durante 2019, habría afectado el registro de tarjetas bancarias que eran almacenadas en servidores de Miami EE. UU. y que estarían vinculadas a usuarios que contrataron los servicios de casilla en dicho lugar. Estas casillas sirven para la importación de productos desde EEUU. Después de conocida esta noticia, se presentó una demanda colectiva a la institución, la cual fue avalada por el Sernac.
• Clave Única: Según lo reportado por un investigador, se detectó que existía una base de datos expuesta a internet y que contenía un token que conformaba parte del mecanismo de autenticación de las claves únicas, pero que no correspondía a la clave propiamente tal, sin embargo no debiese ser accesibles, por lo que se recomendó como medida de mitigación, el generar cambios en las contraseñas.
• Pandora Papers: Esta filtración si bien afectó intereses de múltiples países, en el caso de Chile se logró que a través de esta información se lograra identificar diferentes métodos para la triangulación y lavado de dinero por mecanismos desconocidos para las policías, esto logró levantar causas contra instituciones que habían realizado malas prácticas, logrando sumar millones de dólares en impuestos no cobrados. Entre los identificados utilizando paraísos fiscales se encontraban autoridades de Chile, en estas filtraciones se revelaron conflictos de intereses entre las partes e información privilegiada.
• Facebook: Esta filtración si bien fue de carácter global y contenía el registro de 500 millones de cuentas, se identificó que tambien existian vícctimas de Chile abarcando cerca de 7 millones de accesos.
• Servel: Si bien desde la institución se anunció que se trataba de un error, en abril de 2022 por un periodo breve de tiempo se disponibilizó la descarga desde la web del mismo servel a una base de datos solicitada desde un partido político para fines estadísticos, esta contenía un detalle de los rut de todos los votantes de Chile junto a su opción de voto, entre otros datos y que si bien fue corregido, alcanzó a ser descargado por múltiples usuarios, por lo que este ya podía ser disponibilizado a la venta en los foros de mercado negro.
• Carabineros de Chile: Durante el 2020 se dio a conocer una filtración que involucra a Carabineros de Chile, en donde era posible obtener accesos masivos a sus plataformas junto a manuales de caracter confidencial, además se entregaba una base de datos que contenía el detalle de miles de carabineros activos y que detalla su nombre, rut, cargo, dirección, entre otros, lo que en algún momento llegó incluso a ser subido a internet mediante una plataforma interactiva que permitía buscar mediante un mapa satelital donde se encontraban las viviendas de los carabineros. 

Mapa generado en base registros sustraidos de carabineros

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• En el caso de identificar filtraciones es imperante tomar contacto con los usuarios identificados para gestionar la limpieza y eliminación del malware desde su equipo a la brevedad.
• En el caso de identificar filtraciones es imperante formatear el equipo afectado en su totalidad para eradicar la amenaza.
• Es importante conocer si el usuario afectado corresponde a un proveedor conocido y si cuenta con un equipo organizacional o con equipo propio para que cada uno según corresponda, actúe de acuerdo con sus protocolos de contención de amenazas.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.