Cuando los esfuerzos para contener una filtración de datos resultan contraproducentes: Krebs sobre la seguridad


A principios de este mes, el administrador del foro de ciberdelincuencia violado recibió una carta de cese y desistimiento de una empresa de ciberseguridad. La misiva alegaba que una subasta en el sitio de datos robados de 10 millones de clientes del segundo banco más grande de México period una noticia falsa y dañaba la reputación del banco. El administrador respondió a esta amenaza vacía comprando los datos bancarios robados y filtrándolos en el foro para que todos los descargaran.

El 3 de agosto de 2022, alguien usando el alias “Asesino holístico” publicado en Incumplimiento de un hilo que vendía datos presuntamente robados de Grupo Financiero Banortela segunda institución financiera más grande de México por préstamos totales. Holistic-K1ller dijo que la foundation de datos incluía los nombres completos, direcciones, números de teléfono, identificación fiscal mexicana (RFC), direcciones de correo electrónico y saldos de más de 10 millones de ciudadanos.

No había ninguna razón para creer que Holistic-K1ller había inventado su reclamo de incumplimiento. Esta identidad ha estado muy activa en Breached y su predecesor RaidForums durante más de dos años, principalmente vendiendo bases de datos de entidades mexicanas pirateadas. El mes pasado vendieron información de clientes de 36 millones de clientes de la telefónica mexicana Telcel en marzo, vendieron 33,000 imágenes de identificaciones mexicanas, con la foto de frente y una selfie de cada ciudadano. Ese mismo mes, también vendieron datos de 1.4 millones de clientes de la plataforma de préstamos mexicana. Yotepresto.

Pero esta historia fue pasada por alto o ignorada por Grupo-IBla firma de ciberseguridad con sede en Singapur aparentemente contratada por Banorte para ayudar a responder a la violación de datos.

“El equipo de Team-IB ha descubierto un recurso que contiene una publicación fraudulenta que ofrece comprar las bases de datos filtradas de Grupo Financiero Banorte”, dice una carta que el administrador de Breach dijo haber recibido de Group-IB. “Le pedimos que elimine esta publicación que contiene datos de Banorte. Gracias por su cooperación y pronta atención a este asunto urgente”.

El administrador de Breached es “Pompompurí”, la misma persona que alertó a este autor en noviembre de 2021 sobre un evidente agujero de seguridad en un sitio website del Departamento de Justicia de EE. UU. que se utilizó para falsificar alertas de seguridad del FBI. En una publicación para Breached el 8 de agosto, Pompompurin dijo que compraron la foundation de datos de Banorte del hilo de ventas de Hacker-K1ller porque Group-IB estaba enviando correos electrónicos quejándose al respecto.

“También intentaron enviar DMCA contra el sitio web”, escribió Pompompurin, refiriéndose a las solicitudes de eliminación authorized bajo el Ley de derechos de autor del milenio digital. “Asegúrense de decirle a Banorte que ahora deben preocuparse de que se filtren los datos en lugar de simplemente venderlos”.

Banorte no respondió a las solicitudes de comentarios. Tampoco el Grupo-IB. Pero en una breve declaración escrita recogido en TwitterBanorte dijo que no hubo una brecha que involucre su infraestructura y que los datos que se venden son antiguos.

“No ha habido vulneración de nuestras plataformas e infraestructura tecnológica”, dijo Banorte. “El conjunto de información al que se hace referencia es inexacto y desactualizado, y no pone en riesgo a nuestros usuarios y clientes”.

Esa afirmación puede ser 100 por ciento cierta. Aún así, es difícil pensar en un mejor ejemplo de cómo no para hacer una respuesta de incumplimiento. Banorte restando importancia a este incidente como si nada es desconcertante: si bien es casi seguro que la información del saldo bancario en la filtración de Banorte ahora está desactualizada, el resto de la información (identificación fiscal, números de teléfono, direcciones de correo electrónico) es más difícil de cambio.

«¿Hay alguna persona de nuestra comunidad que piense que enviar una carta de cese y desistimiento a un operador de foro de hackers es una buena strategy?» preguntó Ohad Zaidenbergfundador de Liga CTI, una comunidad de voluntarios de respuesta a emergencias que surgió en 2020 para ayudar a combatir las estafas relacionadas con el COVID-19. «¿Quien lo hace? En lugar de ayudar, empujaron a la organización desde la colina”.

kurt seifrieddirector de TI de la CloudSecurityAlliancequedó igualmente perplejo por la respuesta al incumplimiento de Banorte.

«Si los datos no eran reales… ¿el banco pensó que un cese y desistimiento daría lugar a la eliminación de la cotización?» Seifred preguntado en Twitter. “Quiero decir, ¿no es la venta de datos de violación un delito peor que la calumnia o la difamación? ¿Cuál fue su proceso de pensamiento?

Una respuesta más típica cuando un gran banco sospecha una infracción es acercarse al vendedor en privado a través de un intermediario para determinar si la información es válida y cuánto podría costar retirarla del mercado. Si bien puede parecer extraño esperar que los ciberdelincuentes cumplan con sus afirmaciones de vender datos robados a una sola parte, eliminar del inventario los artículos robados vendidos es una función bastante básica de prácticamente todos los mercados de ciberdelincuentes en la actualidad (aparte quizás de los sitios que trafican con identidad robada). datos).

Como mínimo, negociar o simplemente comprometerse con un vendedor de datos puede darle a la organización víctima más tiempo y pistas para investigar el reclamo e, idealmente, notificar a las partes afectadas sobre una infracción antes de que los datos robados terminen en línea.

Es cierto que una gran cantidad de bases de datos pirateadas puestas a la venta en la clandestinidad del ciberdelito se venden solo después de que un pequeño subconjunto de ladrones informados haya cosechado toda la fruta madura en los datos, por ejemplo, el acceso a la criptomoneda. cuentas o credenciales de usuario que se reciclan en varios sitios net. Y ciertamente no es raro que los ciberdelincuentes se retracten de su palabra y revendan o filtren información que han vendido anteriormente.

Pero las empresas que están en medio de responder a un incidente de seguridad de datos no se hacen ningún favor a sí mismas ni a sus clientes cuando subestiman a sus adversarios o intentan intimidar a los ciberdelincuentes con amenazas legales o de otro tipo. Tales respuestas generalmente no logran nada, excepto aumentar innecesariamente las apuestas para todos los involucrados mientras muestran una ingenuidad peligrosa sobre cómo funciona el crimen cibernético clandestino.





Enlace a la noticia authentic