A principios de 2019 salía a la luz la que es, hasta el momento, la mayor brecha de datos de la historia, involucrando a más de 2.200 millones de direcciones de correo electrónico, además de nombres de usuario y contraseñas. Y es que este año se perfila como el de los datos personales y la privacidad.

Esa brecha fue la mayor, pero no la única. Prácticamente cada semana se suceden las noticias de nuevos fallos de seguridad que las empresas deben reportar, ya que están involucrados los datos de sus usuarios.

En este artículo iremos actualizando (de las más recientes a las más antiguas) las brechas de datos conocidas más relevantes, así como el número de notificaciones de brechas de seguridad que recibe mensualmente la Agencia Española de Protección de Datos, que en lo que va de año ha recibido 688 notificaciones de brechas de seguridad.

Informes AEPD:

Agosto 2019: 42 notificaciones de brechas de seguridad

Julio 2019: 83 notificaciones de brechas de seguridad

Junio 2019: 92 notificaciones de brechas de seguridad

Mayo 2019: 84 notificaciones de brechas de seguridad

Abril 2019: 95 notificaciones de brechas de seguridad

Marzo 2019: 113 notificaciones de brechas de seguridad.

Febrero 2019: 101 notificaciones de brechas de seguridad.

Enero 2019: 78 notificaciones de brechas de seguridad recibidas.

brechas de datos en españa notificadas aepd agencia española protección de datos noticias ciberseguridad bit life media brechas de seguridad 2019

Principales brechas de datos de 2019:

Datos médicos de EEUU

Solamente hay que disponer de un navegador web (como el que estás usando ahora mismo) y manejar algunas líneas de código para tener acceso a los datos médicos e imágenes de millones de personas. Una investigación de ProPublica ha desvelado que la seguridad de cientos de servidores que almacenan pruebas médicas es prácticamente nula.

En Estados Unidos este caso podría afectar a cinco millones de personas. Hay más de 13 millones de exámenes médicos disponibles en la red a la vista de cualquiera. A nivel mundial, aún no se sabe a cuánto podría ascender. La investigación ha encontrado por el momento (septiembre de 2019) 187 servidores vulnerables en los que se almacena este tipo de información. Que no estaba protegida con contraseñas ni medidas de seguridad básicas.

Ecuador

El Gobierno de Ecuador comenzó a investigar en septiembre de 2019 la posible filtración de millones de datos de sus ciudadanos. En concreto de la mayor parte de la población: unos 16 millones de habitantes.

Ha sido una empresa israelí de seguridad informática, vpnMentor, quien sacó a la luz esta  brecha de seguridad. Los investigadores Noam Rotem y Ran Lokar descubrieron una base de datos con los datos personales de millones de personas. Entre la información se encuentran datos sensibles sobre relaciones personales, la situación financiera, salarios o incluso puestos de trabajo. El sueño de cualquier ciberdelincuente o ingeniero social.

Hostinger

La empresa de alojamiento web y dominios sufría en agosto de 2019 una brecha de seguridad en la que se han visto afectados datos de sus 14 millones de usuarios.

El pasado 23 de agosto de 2019 recibieron la advertencia de una persona no autorizada había accedido a uno de sus servidores. Éste contenía un token de acceso, que pudieron usar para obtener mayores privilegios de acceso y acceder a otras zonas del sistema sin necesidad de contar con usuario y contraseña. Finalmente accedieron a la API del servidor, que contiene datos de los clientes de Hostinger.

Esta información a la que los que los atacantes han tenido acceso incluye los nombres de usuario, correo electrónico, contraseñas (aunque estaban hasheadas, es decir: ilegibles para los atacantes), direcciones IP, direcciones físicas y el número de teléfono.

La buena noticia es que por el momento no se tiene constancia de que los atacantes hayan logrado acceder a información de pagos, como números de tarjetas de crédito u otros datos bancarios.

Biostar 2

Huellas dactilares de más de un millón de personas, así como información de reconocimiento facial, nombres de usuario y contraseñas e información de empleados. Este es el material que se encontró en una base de datos accesible públicamente. La información pertenecía a Biostar 2, una compañía de la que es responsable la empresa de seguridad Suprema. Biostar 2 proporciona servicios de seguridad biométrica a países de todo el mundo, así como departamentos de defensa, policía y bancos.

Así lo publicaba en agosto de 2019 The Guardian, el cual explicaba que dicha base de datos contenía 27,8 millones de datos biométricos  y un total de 23 Gb de información.

Capital One

En julio de 2019 la entidad bancaria norteamericana Capital One, la quinta institución financiera más grande de Estados Unidos, ha sufrido una brecha de datos que ha expuesto la información personal de más de 100 millones de usuarios en Estados Unidos y otros 6 millones en Canadá.

Este incidente tuvo lugar el 22 y 23 de marzo de este año, cuando atacantes pudieron acceder y robar información de los clientes que habían solicitado una tarjeta de crédito entre 2015 y 2019.

El ciberataque ha salido a la luz cuando la responsable del robo de datos lo publicó en su cuenta de GitHub. El FBI ha arrestado a Paige Thompson, una ex trabajadora de Amazon Web Services como autora del ciberataque. Ella trabajó para Capital One entre 2015 y 2016. De acuerdo a las primeras investigaciones, Thompson explotó un firewall mal configurado del servidor de AWS del banco y sustrajo más de 700 carpetas de datos almacenados. 

Los datos afectados incluyen 140.000 números de la seguridad social de ciudadanos estadounidenses y 80.000 números de cuenta, además de 1 millón de números de la seguridad social canadienses. Además de esto, nombres, direcciones, datos de créditos o historia financiera de una cantidad no especificada de usuarios.

Bulgaria

En esta ocasión no es una compañía la afectada, sino un país. A mediados de julio, cinco millones de ciudadanos búlgaros han sido víctimas de una de las mayores brechas de datos de estas características que se han producido.  Un dato alarmante, teniendo en cuenta que el país cuenta con siete millones de habitantes.

Entre los datos robados se encuentran nombres, información sobre ingresos, declaraciones fiscales, préstamos o seguros médicos.

El responsable de esta brecha de datos ya ha sido localizado. Un experto en ciberseguridad de veinte años que se dedicaba precisamente a descubrir fallos de seguridad en los sistemas, entre ellos ministerios del gobierno de Bulgaria. Al parecer, no le hicieron falta sofisticadas técnicas para acceder a la información, lo que ha dejado en evidencia la infraestructura tecnológica búlgara.

Este es un caso similar al que ocurrió justo un año antes en Singapurcuando fueron robados los datos médicos de una cuarta parte de la población.

Amazon

No es una brecha de datos como tal, pero en julio Amazon ha reconocido que guarda las conversaciones con Alexa… de forma indefinida. La compañía cuenta con miles de trabajadores que «escuchan» las grabaciones que los usuarios mantienen con su asistente virtual para mejorar sus sistemas de reconocimiento. La polémica se completa porque la empresa no se deshace del historial o los datos de compra aunque el usuario lo borre.

Wetransfer

En junio, Wetransfer ha informado que ha sufrido un ciberataque que ha conllevado una fuga de datos masiva, comprometiendo a más de 200.000 usuarios. La plataforma de intercambio de archivos ha recomendado a los usuarios de pago que cambien sus contraseñas y que verifiques que sus envíos del último mes han llegado correctamente, ya que los ciberatacantes incluyeron direcciones de correo electrónico no deseadas a los envíos de los archivos, por lo que los archivos compartidos llegaron a más destinatarios que los que deseaban sus remitentes.

Netflix

A finales de junio una filtración de datos revelada por UpGuard sacaba a la luz que empresas como Netflix o Ford se han visto afectadas por una exposición de datos. El problema puede estar relacionado con un servidor de Amazon Web Services que almacenaba terabytes de información sensible de esas compañías.

NASA

El titular de la ciberseguridad en junio ha sido claro: la NASA «ha sido hackeada». La institución confirmó que su Laboratorio de Propulsión a Chorro (JLP) había sido comprometido. En concreto, un pequeño dispositivo no controlado, una Rasperri Pi, ha sido el causante. El dispositivo no autorizado estaba conectado a los servidores de la entidad, y fue comprometido por ciberdelincuentes que lograron acceder desde allí a la red de la NASA; llegando incluso a la red de radiotelescopios de Deep Space Network.

WhatsApp 

No se puede considerar una brecha de información como tal, aunque ha causado un gran revuelo, ya que el fallo sí permitía acceder a datos de usuarios. WhatsApp reconoció en mayo que había tenido un problema de seguridad que permitía a los atacantes espiar a los usuarios a través de una llamada en la aplicación.

StackOverflow

Stack Overflow, la plataforma para compartir conocimiento sobre temas de desarrollo de software, ha sufrido un importante ciberataque en mayo, aunque ellos afirman que los datos de los usuarios no se han visto afectados.

Facebook III

Facebook ha reconocido que recopiló 1,5 millones de direcciones de correo electrónico de usuarios y sus contraseñas sin su consentimiento. ¿El motivo? Acceder a las agendas y los contactos de los usuarios para tener más gente a la que recomendar.

Xiaomi

Una vulnerabilidad en la app de seguridad de Xiaomidescubierta en abril ha dejado a sus usuarios expuestos a ataques. Se estima que podría estar preinstalada en 150 millones de dispositivos del fabricante. La vulnerabilidad dejaba expuestos a los usuarios frente a ataques denominados Man-in-the-Middle (MiTM), lo que significa que alguien podría interceptar la comunicación emitida por el dispositivo.

Facebook II

La red social no levanta cabeza, en lo que a escándalos relacionados con la privacidad de los datos de los usuarios se refiere. A principios de abril se ha descubierto que los nombres, cuentas y datos de 540 millones de usuarios de la red social estaban almacenados en servidores de Amazon sin ninguna seguridad.

Los datos realmente fueron recolectados a una aplicación que se conecta a Facebook, una plataforma de medios mejicana llamada Cultura Colectiva, que es la dueña de esos millones de datos. Esa información era accesible y descargable por cualquiera que la encontrara online, como explican desde Bloomberg.

Toyota

A finales de marzo, Toyota ha reconocido que una brecha de seguridad ha expuesto los datos de 3,1 millones de clientes, incluyendo también su gama Lexus. Ciberatacantes han aprovechado un fallo en su sistema para acceder a la información de los servidores de la compañía.

No se ha confirmado si han accedido a todos los datos o si han sido filtrados, pero la marca asegura que los datos bancarios de los usuarios no estaban en los sistemas afectados.

Facebook

Entre 200 y 600 millones de contraseñas se han almacenado en texto plano al alcance de los miles de empleados de Facebook.

La noticia saltaba a mediados de marzo. Cientos de millones de contraseñas de usuarios de Facebook eran almacenadas en texto plano (es decir, tal y como estás leyendo estas líneas, sin ningún cifrar) en los sistemas de la red social. Los miles de empleados de Facebook podían hacer búsquedas simples para encontrar estas contraseñas sin proteger.

Nokia

A mediados de marzo, Nokia ha estado en el punto de mira por un fallo de seguridad que ha expuesto información. La publicación noruega NRK publicó que teléfonos Nokia habían estado enviando paquetes de datos sin cifrar a un servidor ubicado en China.

Gearbest

Un servidor mal configurado (al parecer no contaba ni con contraseña) de la empresa china Gearbest provocó que millones de datos de usuarios y clientes se filtraran en internet. Tan mal configurado estaba, que ni siquiera estaba protegido con contraseña.

Gearbest es una de las plataformas de comercio electrónico más populares. Entre los datos filtrados se encuentran correos electrónicos, contraseñas, perfiles de usuario, órdenes de compra, correos electrónicos e incluso datos de métodos de pago.

Verifications IO

En marzo se descubrió una carpeta con 150 GB de información procedente de Verifications IO. En total, 800 millones de e-mails y datos que contenían información sensible y datos personales. Posteriormente, salió a la luz que en total los usuarios afectados habían sido 2.000 millones, como publicaba la revista Forbes. El problema derivaba de una base de datos MongoDB desprotegida.

Rubrik

La compañía de gestión de datos y recuperación en la nube tuvo accesible un servidor con decenas de gigabytes de datos de sus clientes, como informaba TechCrunch. Rubrik confirmaba que mientras desarrollaban una nueva solución en un entorno aislado algunos datos corporativos y de soporte estuvieron accesibles potencialmente por un corto periodo de tiempo.

Twitter

Un fallo en la red social dejó en enero expuestos los tweets protegidos de aquellos usuarios que tenían sus perfiles cerrados. En concreto, de los que realizaron algún cambio en sus cuentas o configuración entre 2014 y 2019 en la app de Twitter para Android.

Fornite

Varias vulnerabilidades afectaron en enero a los registros de cuentas del popular juego Fortnite, que dejaron expuestos datos personales y de tarjetas de crédito de los jugadores. Los fallos de seguridad permitían que los atacantes pudieran hacerse con el control de las cuentas de usuario, y realizar compras y pagos dentro del juego. Otra vulnerabilidad permitía acceder a información personal de los usuarios además de escuchar las conversaciones dentro del juego, a través del sonido captado por el micrófono de los jugadores.

Collection #1 al #5

El 17 de enero, el experto en seguridad informática Troy Hunt sacaba a la luz una gigantesca filtración de datos. Denominada Collection #1, en esta brecha de datos 773 millones de direcciones de correo electrónico y más de 20 millones de contraseñas fueron filtradas.

Unos días después, se filtraron otras cuatro carpetas como parte de la misma recopilación de datos personales. 2.200 millones de direcciones de correo electrónico, además de nombres de usuario y contraseñas han sido expuestas en esta nueva entrega.

Estas llevaban por nombre Collection#2, Collection#3, Collection#4 y Collection#5 y en total tienen un tamaño de 993.36 GB.

Amadeus

A mediados de enero de 2019, los datos de millones de pasajeros de avión se vieron expuestos por una brecha de seguridad en Amadeus, proveedora de soluciones tecnológicas en la industria turística. 141 aerolíneas de todo el mundo pudieron estar afectadas.

Ciberataque en Alemania

A principios de enero, Alemania admitía que había sufrido el mayor «hackeo» de su historia. Centenares de datos personales de políticos (incluyendo a la canciller, Angela Merkel) se publicaron en una cuenta de Twitter. Teléfonos, direcciones o datos de tarjetas de crédito fueron algunos de los datos que se filtraron. Pocos días después, un estudiante alemán de 20 años confesó ser el autor del ciberataque.

Chromecast de Google

El 2019 empezó con la noticia de que miles de dispositivos Chromecast de Google habían sido atacados para publicar vídeos sin el consentimiento de los usuarios. Los responsables del ataque aprovecharon una vulnerabilidad en los Chromecast para promocionar al youtuber PewDiePie.

 

¿Están tus datos entre ellos?

Si quieres comprobar si alguno de tus datos ha sido filtrado en una de estas brechas de seguridad (y deberías hacerlo) puedes acudir a servicios como https://haveibeenpwned.com/

Se trata de una web con una enorme base de datos de cuentas filtradas, que al poner tu correo electrónico te dirá si este ha sido expuesto en alguna de las filtraciones (conocidas, eso sí).

1 COMENTARIO

Deja un comentario