A principios de 2019 salía a la luz la que es, hasta el momento, la mayor brecha de datos de la historia, involucrando a más de 2.200 millones de direcciones de correo electrónico, además de nombres de usuario y contraseñas. Y es que este año se perfila como el de los datos personales y la privacidad.

Esa brecha fue la mayor, pero no la única. Prácticamente cada semana se suceden las noticias de nuevos fallos de seguridad que las empresas deben reportar, ya que están involucrados los datos de sus usuarios.

En este artículo iremos actualizando (de las más recientes a las más antiguas) las brechas de datos conocidas más relevantes, así como el número de notificaciones de brechas de seguridad que recibe mensualmente la Agencia Española de Protección de Datos, que en lo que va de año ha recibido 1.460 notificaciones de brechas de seguridad por parte de empresas y organizaciones tanto públicas como privadas.

En 2018 se recibieron un total de 547 notificaciones en total. El 90% de ellas, por parte de organizaciones del ámbito privado. Eso sí, hay que tener en cuenta que se empezaron a recibir a partir del 25 de mayo, fecha de entrada en vigor de GDPR y por tanto, cuando se ha hecho obligatoria la notificación de este tipo de incidentes ante el organismo de protección de datos.

Se observa un importante repunte de las brechas de seguridad en el último trimestre. Octubre, a falta de conocerse las cifras de diciembre, ha sido el mes que más brechas han sufrido las empresas. O por lo menos, en el que más se han notificado. Dos de las notificaciones de brechas del mes de octubre han indicado aproximadamente 1 millón de personas afectadas. 

En 2018, diciembre fue el mes en el que más notificaciones se recibieron de todo el año (104), así que cabe esperar que se repita la tendencia.

Informes AEPD:

Diciembre 2019: 164 notificaciones de brechas de seguridad

Noviembre 2019: 209 notificaciones de brechas de seguridad

Octubre 2019: 266 notificaciones de brechas de seguridad

Septiembre 2019: 133 notificaciones de brechas de seguridad

Agosto 2019: 42 notificaciones de brechas de seguridad

Julio 2019: 83 notificaciones de brechas de seguridad

Junio 2019: 92 notificaciones de brechas de seguridad

Mayo 2019: 84 notificaciones de brechas de seguridad

Abril 2019: 95 notificaciones de brechas de seguridad

Marzo 2019: 113 notificaciones de brechas de seguridad.

Febrero 2019: 101 notificaciones de brechas de seguridad.

Enero 2019: 78 notificaciones de brechas de seguridad recibidas.

En el siguiente gráfico elaborado por Bit Life Media se puede observar a simple vista cómo el último trimestre ha sido el más atareado para la AEPD, en el que ha aumentado notablemente el número de notificaciones recibidas. Coincide esta tendencia con el significativo aumento de los ciberataques a grandes empresas e instituciones durante estos meses, en especial víctimas del ransomware.

brechas de datos seguridad notificadas aepd españa ciberseguridad agencia española proteccion datos bitlife bit life media grafico
Brechas de datos notificadas 2019. Fuente: AEPD. Elaboración: bilifemedia.com

Principales brechas de datos (a nivel mundial) de 2019

La tendencia al alza en cuanto a brechas de datos no se ha limitado lógicamente al territorio español. En todo el mundo empresas, organizaciones e instituciones de todos los sectores y tamaños han visto cómo sus datos pasaban a manos de ciberdelincuentes. Realizamos aquí una recopilación de las principales brechas de datos que nos ha dejado 2019, empezando por las más recientes.

Twitter II

Twitter ha acabado el año como lo empezó, ya que en enero sufrió un problema de seguridad en el que se deshabilitó la opción de proteger los tweets para algunos usuarios.  Según publica en diciembre TechCrunch, un investigador de ciberseguridad ha descubierto que debido a un fallo de seguridad en la red social Twitter permitía subir listas de números de teléfono a la aplicación  y relacionarlas con cuentas de usuarios de la plataforma.

En concreto, ha sido capaz de relacionar 17 millones de números de móvil de todo el mundo con sus respectivas cuentas de Twitter. La compañía ha asegurado que ha solucionado el problema mediante una actualización y recomendaron a los usuarios de Android que actualizasen a la última versión, ya que al parecer los usuarios de iOS no fueron afectados.

Facebook V

Un nuevo capítulo (y el último del año) para la red social, que resulta «ganadora» en número de incidentes relacionados con la privacidad y las brechas de datos. De acuerdo a un informe de Comparitech se han filtrado datos de más de 267 millones de usuarios de Facebook. El investigador Bob Diachenko ha descubierto esta fuga que ha expuesto una base de datos de libre acceso. Esta mostraba tanto nombres como números de teléfono de más de dos centenares de usuarios. Al parecer, los datos han estado al alcance de cualquiera durante dos semanas, hasta que el investigador lo dio a conocer en diciembre a la compañía.

Caja Rural

La entidad bancaria Caja Rural sufrió en diciembre una filtración de datos privados de 637 clientes, y una semana más tarde fue víctima de una segunda brecha de seguridad. Esta afecta, según informa El Confidencial, a varias decenas de exempleados de la compañía y solicitantes de empleo. Sus nombres figuran en dos bases de datos en las que además se han filtrado datos personales como DNI, clave de acceso a la entidad o la propia copia del correo electrónico enviado a la entidad. El medio apunta que el incidente no se ha debido a un ciberataque sino a una mala protección de los datos.

Microsoft

No se trata de una brecha de datos, pero es reseñable en términos de privacidad y protección de datos. El equipo de detección de amenazas de Microsoft realizó un análisis de todas sus cuentas, descubriendo que 44 millones de sus usuarios utilizan la misma contraseña para otros perfiles y servicios en la red. La investigación se llevó a cabo entre enero y marzo de 2019 (aunque se dio a conocer a finales de año) a través del escaneo de una base de datos con 3.000 millones de credenciales filtradas de distintas fuentes como las bases de datos públicas. La compañía se puso en contacto con ellos y les han obligado a resetear su contraseña.

Gekko Group

La plataforma de reservas B2B subsidiaria de AccorHotels ha sufrido una intrusión que afecta a la base de datos de clientes de 600.000 proveedores de todo el mundo. La base de datos expuesta contiene más de 1 terabyte de datos, que incluye datos de las marcas de Gekko Group y de sus clientes, peor también de sitios web y plataformas externas con las que sus sistemas se comunican, como Booking.

Disney

A las pocas horas del lanzamiento del servicio de streaming Disney+ algunos de los usuarios avisaron de que sus cuentas habían sido secuestradas. Los perfiles empezaron a venderse en la dark web para la venta por 3 dólares.

Wallapop

La plataforma de compraventa de segunda mano sufrió una brecha de datos de la que alertó a los usuarios, obligando a cambiar la contraseña para proteger las cuentas. La propia compañía envió un comunicado a los usuarios a través del correo electrónico informando sobre la intrusión indebida a su plataforma a principios de noviembre.

Malindo Air

Malindo Air, aerolínea subsidiaria de Lion Group explicó en septiembre que estaba investigando una brecha de datos que involucraba datos personales de sus clientes. al parecer la información de 30 millones de pasajeros estuvo colgada en foros online. Los datos incluían datos de los pasajeros como pasaportes, direcciones o números de teléfono.

Facebook IV

419 millones de números de teléfono vinculados a cuentas de Facebook han sido encontradas online. Un servidor expuesto sin contraseña contenía esta información. Cada uno de los datos filtrados incluía el identificador único de Facebook y el númeo de teléfono asociado a la cuenta. Ese Facebook ID es un número público que puede ser encontrado fácilmente en la red social. Pero los números no son públicos desde que el año pasado la red social restringiera el acceso a esta información.

Datos médicos de EEUU

Solamente hay que disponer de un navegador web (como el que estás usando ahora mismo) y manejar algunas líneas de código para tener acceso a los datos médicos e imágenes de millones de personas. Una investigación de ProPublica ha desvelado que la seguridad de cientos de servidores que almacenan pruebas médicas es prácticamente nula.

En Estados Unidos este caso podría afectar a cinco millones de personas. Hay más de 13 millones de exámenes médicos disponibles en la red a la vista de cualquiera. A nivel mundial, aún no se sabe a cuánto podría ascender. Hasta septiembre, la investigación había encontrado 187 servidores vulnerables en los que se almacena este tipo de información. Que no estaba protegida con contraseñas ni medidas de seguridad básicas.

Ecuador

El Gobierno de Ecuador comenzó a investigar en septiembre de 2019 la posible filtración de millones de datos de sus ciudadanos. En concreto de la mayor parte de la población: unos 16 millones de habitantes.

Ha sido una empresa israelí de seguridad informática, vpnMentor, quien sacó a la luz esta  brecha de seguridad. Los investigadores Noam Rotem y Ran Lokar descubrieron una base de datos con los datos personales de millones de personas. Entre la información se encuentran datos sensibles sobre relaciones personales, la situación financiera, salarios o incluso puestos de trabajo. El sueño de cualquier ciberdelincuente o ingeniero social.

Hostinger

La empresa de alojamiento web y dominios sufría en agosto de 2019 una brecha de seguridad en la que se han visto afectados datos de sus 14 millones de usuarios.

El pasado 23 de agosto de 2019 recibieron la advertencia de una persona no autorizada había accedido a uno de sus servidores. Éste contenía un token de acceso, que pudieron usar para obtener mayores privilegios de acceso y acceder a otras zonas del sistema sin necesidad de contar con usuario y contraseña. Finalmente accedieron a la API del servidor, que contiene datos de los clientes de Hostinger.

Esta información a la que los que los atacantes han tenido acceso incluye los nombres de usuario, correo electrónico, contraseñas (aunque estaban hasheadas, es decir: ilegibles para los atacantes), direcciones IP, direcciones físicas y el número de teléfono.

La buena noticia es que por el momento no se tiene constancia de que los atacantes hayan logrado acceder a información de pagos, como números de tarjetas de crédito u otros datos bancarios.

Biostar 2

Huellas dactilares de más de un millón de personas, así como información de reconocimiento facial, nombres de usuario y contraseñas e información de empleados. Este es el material que se encontró en una base de datos accesible públicamente. La información pertenecía a Biostar 2, una compañía de la que es responsable la empresa de seguridad Suprema. Biostar 2 proporciona servicios de seguridad biométrica a países de todo el mundo, así como departamentos de defensa, policía y bancos.

Así lo publicaba en agosto de 2019 The Guardian, el cual explicaba que dicha base de datos contenía 27,8 millones de datos biométricos  y un total de 23 Gb de información.

Capital One

En julio de 2019 la entidad bancaria norteamericana Capital One, la quinta institución financiera más grande de Estados Unidos, ha sufrido una brecha de datos que ha expuesto la información personal de más de 100 millones de usuarios en Estados Unidos y otros 6 millones en Canadá.

Este incidente tuvo lugar el 22 y 23 de marzo de este año, cuando atacantes pudieron acceder y robar información de los clientes que habían solicitado una tarjeta de crédito entre 2015 y 2019.

El ciberataque ha salido a la luz cuando la responsable del robo de datos lo publicó en su cuenta de GitHub. El FBI ha arrestado a Paige Thompson, una ex trabajadora de Amazon Web Services como autora del ciberataque. Ella trabajó para Capital One entre 2015 y 2016. De acuerdo a las primeras investigaciones, Thompson explotó un firewall mal configurado del servidor de AWS del banco y sustrajo más de 700 carpetas de datos almacenados. 

Los datos afectados incluyen 140.000 números de la seguridad social de ciudadanos estadounidenses y 80.000 números de cuenta, además de 1 millón de números de la seguridad social canadienses. Además de esto, nombres, direcciones, datos de créditos o historia financiera de una cantidad no especificada de usuarios.

Bulgaria

En esta ocasión no es una compañía la afectada, sino un país. A mediados de julio, cinco millones de ciudadanos búlgaros han sido víctimas de una de las mayores brechas de datos de estas características que se han producido.  Un dato alarmante, teniendo en cuenta que el país cuenta con siete millones de habitantes.

Entre los datos robados se encuentran nombres, información sobre ingresos, declaraciones fiscales, préstamos o seguros médicos.

El responsable de esta brecha de datos ya ha sido localizado. Un experto en ciberseguridad de veinte años que se dedicaba precisamente a descubrir fallos de seguridad en los sistemas, entre ellos ministerios del gobierno de Bulgaria. Al parecer, no le hicieron falta sofisticadas técnicas para acceder a la información, lo que ha dejado en evidencia la infraestructura tecnológica búlgara.

Este es un caso similar al que ocurrió justo un año antes en Singapurcuando fueron robados los datos médicos de una cuarta parte de la población.

Amazon

No es una brecha de datos como tal, pero en julio Amazon ha reconocido que guarda las conversaciones con Alexa… de forma indefinida. La compañía cuenta con miles de trabajadores que «escuchan» las grabaciones que los usuarios mantienen con su asistente virtual para mejorar sus sistemas de reconocimiento. La polémica se completa porque la empresa no se deshace del historial o los datos de compra aunque el usuario lo borre.

Wetransfer

En junio, Wetransfer ha informado que ha sufrido un ciberataque que ha conllevado una fuga de datos masiva, comprometiendo a más de 200.000 usuarios. La plataforma de intercambio de archivos ha recomendado a los usuarios de pago que cambien sus contraseñas y que verifiques que sus envíos del último mes han llegado correctamente, ya que los ciberatacantes incluyeron direcciones de correo electrónico no deseadas a los envíos de los archivos, por lo que los archivos compartidos llegaron a más destinatarios que los que deseaban sus remitentes.

Netflix

A finales de junio una filtración de datos revelada por UpGuard sacaba a la luz que empresas como Netflix o Ford se han visto afectadas por una exposición de datos. El problema puede estar relacionado con un servidor de Amazon Web Services que almacenaba terabytes de información sensible de esas compañías.

NASA

El titular de la ciberseguridad en junio ha sido claro: la NASA «ha sido hackeada». La institución confirmó que su Laboratorio de Propulsión a Chorro (JLP) había sido comprometido. En concreto, un pequeño dispositivo no controlado, una Rasperri Pi, ha sido el causante. El dispositivo no autorizado estaba conectado a los servidores de la entidad, y fue comprometido por ciberdelincuentes que lograron acceder desde allí a la red de la NASA; llegando incluso a la red de radiotelescopios de Deep Space Network.

WhatsApp 

No se puede considerar una brecha de información como tal, aunque ha causado un gran revuelo, ya que el fallo sí permitía acceder a datos de usuarios. WhatsApp reconoció en mayo que había tenido un problema de seguridad que permitía a los atacantes espiar a los usuarios a través de una llamada en la aplicación.

StackOverflow

Stack Overflow, la plataforma para compartir conocimiento sobre temas de desarrollo de software, ha sufrido un importante ciberataque en mayo, aunque ellos afirman que los datos de los usuarios no se han visto afectados.

Facebook III

Facebook ha reconocido que recopiló 1,5 millones de direcciones de correo electrónico de usuarios y sus contraseñas sin su consentimiento. ¿El motivo? Acceder a las agendas y los contactos de los usuarios para tener más gente a la que recomendar.

Xiaomi

Una vulnerabilidad en la app de seguridad de Xiaomidescubierta en abril ha dejado a sus usuarios expuestos a ataques. Se estima que podría estar preinstalada en 150 millones de dispositivos del fabricante. La vulnerabilidad dejaba expuestos a los usuarios frente a ataques denominados Man-in-the-Middle (MiTM), lo que significa que alguien podría interceptar la comunicación emitida por el dispositivo.

Facebook II

La red social no levanta cabeza, en lo que a escándalos relacionados con la privacidad de los datos de los usuarios se refiere. A principios de abril se ha descubierto que los nombres, cuentas y datos de 540 millones de usuarios de la red social estaban almacenados en servidores de Amazon sin ninguna seguridad.

Los datos realmente fueron recolectados a una aplicación que se conecta a Facebook, una plataforma de medios mejicana llamada Cultura Colectiva, que es la dueña de esos millones de datos. Esa información era accesible y descargable por cualquiera que la encontrara online, como explican desde Bloomberg.

Toyota

A finales de marzo, Toyota ha reconocido que una brecha de seguridad ha expuesto los datos de 3,1 millones de clientes, incluyendo también su gama Lexus. Ciberatacantes han aprovechado un fallo en su sistema para acceder a la información de los servidores de la compañía.

No se ha confirmado si han accedido a todos los datos o si han sido filtrados, pero la marca asegura que los datos bancarios de los usuarios no estaban en los sistemas afectados.

Facebook

Entre 200 y 600 millones de contraseñas se han almacenado en texto plano al alcance de los miles de empleados de Facebook.

La noticia saltaba a mediados de marzo. Cientos de millones de contraseñas de usuarios de Facebook eran almacenadas en texto plano (es decir, tal y como estás leyendo estas líneas, sin ningún cifrar) en los sistemas de la red social. Los miles de empleados de Facebook podían hacer búsquedas simples para encontrar estas contraseñas sin proteger.

Nokia

A mediados de marzo, Nokia ha estado en el punto de mira por un fallo de seguridad que ha expuesto información. La publicación noruega NRK publicó que teléfonos Nokia habían estado enviando paquetes de datos sin cifrar a un servidor ubicado en China.

Gearbest

Un servidor mal configurado (al parecer no contaba ni con contraseña) de la empresa china Gearbest provocó que millones de datos de usuarios y clientes se filtraran en internet. Tan mal configurado estaba, que ni siquiera estaba protegido con contraseña.

Gearbest es una de las plataformas de comercio electrónico más populares. Entre los datos filtrados se encuentran correos electrónicos, contraseñas, perfiles de usuario, órdenes de compra, correos electrónicos e incluso datos de métodos de pago.

Verifications IO

En marzo se descubrió una carpeta con 150 GB de información procedente de Verifications IO. En total, 800 millones de e-mails y datos que contenían información sensible y datos personales. Posteriormente, salió a la luz que en total los usuarios afectados habían sido 2.000 millones, como publicaba la revista Forbes. El problema derivaba de una base de datos MongoDB desprotegida.

Rubrik

La compañía de gestión de datos y recuperación en la nube tuvo accesible un servidor con decenas de gigabytes de datos de sus clientes, como informaba TechCrunch. Rubrik confirmaba que mientras desarrollaban una nueva solución en un entorno aislado algunos datos corporativos y de soporte estuvieron accesibles potencialmente por un corto periodo de tiempo.

Twitter

Un fallo en la red social dejó en enero expuestos los tweets protegidos de aquellos usuarios que tenían sus perfiles cerrados. En concreto, de los que realizaron algún cambio en sus cuentas o configuración entre 2014 y 2019 en la app de Twitter para Android.

Fornite

Varias vulnerabilidades afectaron en enero a los registros de cuentas del popular juego Fortnite, que dejaron expuestos datos personales y de tarjetas de crédito de los jugadores. Los fallos de seguridad permitían que los atacantes pudieran hacerse con el control de las cuentas de usuario, y realizar compras y pagos dentro del juego. Otra vulnerabilidad permitía acceder a información personal de los usuarios además de escuchar las conversaciones dentro del juego, a través del sonido captado por el micrófono de los jugadores.

Collection #1 al #5

El 17 de enero, el experto en seguridad informática Troy Hunt sacaba a la luz una gigantesca filtración de datos. Denominada Collection #1, en esta brecha de datos 773 millones de direcciones de correo electrónico y más de 20 millones de contraseñas fueron filtradas.

Unos días después, se filtraron otras cuatro carpetas como parte de la misma recopilación de datos personales. 2.200 millones de direcciones de correo electrónico, además de nombres de usuario y contraseñas han sido expuestas en esta nueva entrega.

Estas llevaban por nombre Collection#2, Collection#3, Collection#4 y Collection#5 y en total tienen un tamaño de 993.36 GB.

Amadeus

A mediados de enero de 2019, los datos de millones de pasajeros de avión se vieron expuestos por una brecha de seguridad en Amadeus, proveedora de soluciones tecnológicas en la industria turística. 141 aerolíneas de todo el mundo pudieron estar afectadas.

Ciberataque en Alemania

A principios de enero, Alemania admitía que había sufrido el mayor «hackeo» de su historia. Centenares de datos personales de políticos (incluyendo a la canciller, Angela Merkel) se publicaron en una cuenta de Twitter. Teléfonos, direcciones o datos de tarjetas de crédito fueron algunos de los datos que se filtraron. Pocos días después, un estudiante alemán de 20 años confesó ser el autor del ciberataque.

Chromecast de Google

El 2019 empezó con la noticia de que miles de dispositivos Chromecast de Google habían sido atacados para publicar vídeos sin el consentimiento de los usuarios. Los responsables del ataque aprovecharon una vulnerabilidad en los Chromecast para promocionar al youtuber PewDiePie.

 

¿Están tus datos entre ellos?

Si quieres comprobar si alguno de tus datos ha sido filtrado en una de estas brechas de seguridad (y deberías hacerlo) puedes acudir a servicios como https://haveibeenpwned.com/

Se trata de una web con una enorme base de datos de cuentas filtradas, que al poner tu correo electrónico te dirá si este ha sido expuesto en alguna de las filtraciones (conocidas, eso sí).

1 COMENTARIO

Deja un comentario